测试目的

本测试针对亚信安全 DeepSecurity 和 BingoCloudOS 品高云操作系统的兼容性、安全应用场景方案进行验证性测试,其中 DeepSecurity 云安全平台包含无代理防病毒、防火墙、入侵防御等模块,本次测试内容包含:DeepSecurity 云安全管理平台在品高云上的安装部署,实现病毒防护、防火墙、入侵防御等项目的测试,通过两种产品的耦合,实现云平台及云安全功能的解决方案交付。

 亚信安全 DeepSecurity 简介

适用于 KVM 虚拟化环境的全方位安全平台。

虚拟化和云计算使当今的数据中心改换了面貌。但随着企业纷纷从物理环境迁移至集物理、虚拟和云于一体的综合环境,许多企业仍沿用之前的多种传统安全解决方案应对当前流行的威胁形势。这可能使实际获得的性能提升与预期不符,从而导致操作复杂性过高并埋下安全隐患,最终的结果是企业无法集中全部资源发展虚拟化和云计算。

亚信安全服务器深度安全防护系统 Deep Security 提供了一种全方位的服务器安全平台,旨在提升虚拟化和云项目投资收益率的同时简化安全操作。企业通过紧密集成的模块轻松扩展该平台,以覆盖到虚拟和云服务器以及虚拟桌面,确保服务器、应用程序和数据的安全。您可以任何方式结合包括防恶意软件、IDS/IPS、虚拟补丁、防火墙在内的安全模块,定制企业专署的无代理安全防护。帮助您最终获得一个全面、高效、自适应的虚拟化安全平台,以防止关键业务中断和数据泄露,避免造成巨大损失。

部署架构图

测试环境(相关软件版本)

KVM Qemu 版本:1.5.3

Libvirt 版本:2.0.0

BingoSDN 版本:3.1.8

BingoCloud 版本:v7.0.0

DeepSecurity 版本:7.5

测试用例介绍

用例一:DSM 安全管理中心在品高云的安装部署

测试目的:测试亚信 DSM 安全管理中心的安装部署,以及品高云计算节点的添加

预期结果:DSM 云安全管理中心成功部署,并且可成功添加品高云节点

用例二:Windows 虚拟机的病毒实时扫描功能

测试目的:验证 DeepSecurity 对品高云平台 Windows 虚拟机的无代理实时病毒防护防护效果

预期结果:病毒查杀成功

用例三:无代理防火墙功能测试

测试目的:验证亚信安全 DS 平台通过无代理防火墙,实现对品高云虚拟机的安全防护

预期结果:防火墙规则设置成功,无法连接测试虚拟机,可查看防火墙事件日志

用例四:深度包检测(DPI)— 应用程序控制

测试目的:亚信 DS 平台可通过无代理的形式,实现虚拟机网络访问的深度包检测功能,可针对访问网络的应用程序提供更进一步的可见性控制能力,本用例测试验证深度包检测功能在品高云虚拟机上的实现效果

预期结果:无法使用 IE 访问网页,并且可查看 DPI 事件截图

测试过程与结果

1. 用例一测试过程及结果

安装 DSM 云安全管理中心

通过品高云中的实例镜像创建 Windows Server 2008 虚拟机,部署 DSM 云安全管理中心

选择品高云 Windows Server 2008 镜像创建实例

在品高云中创建好的 DSM 实例

通过品高云 VNC 登录 Windows Server 2008 实例,完成 DSM 管理服务器的安装(此处省略安装步骤)

DSM 安装成功后,可通过 IE 浏览器访问 DSM 的 Web 管理界面

在 DSM 中添加品高云节点

登录 DSM 管理界面,添加 Central Management,服务器类型选择 KVM,输入品高云节点的 root 用户名和密码

通过 DSM 部署自动安全虚拟机(DSHA)到品高云节点

当 DSHA 部署完成后,即可激活品高云节点,激活成功后设备显示为被管理状态

2. 用例二测试过程及结果

在品高云部署被测虚拟机,安装一台 Windows Server 2008 虚拟机

登录 DSM,激活刚创建的虚拟机,右键点击虚拟机

激活成功后,为虚拟机分配安全策略

选择 Windows 防恶意软件

安全策略部署成功后,虚拟机状态显示 “被管理”

在虚拟机中,执行“病毒脚本源码.bat”该脚本会在当前目录生成 99 个 eicar 测试病毒,因实时扫描已经开启,病毒会被立刻清除。

测试结果:病毒已被清除并在 DSM 中生成相关日志

3. 用例三测试过程及结果

登入 Windows Server 2008 测试虚拟机,关闭“系统防火墙”和开启“远程桌面连接”功能 ,此时通过其他计算机,可以对虚拟机 10.202.80.21 进行远端桌面连接,如下图:

通过 DSM 开启虚拟机的防火墙功能

针对 Windows Server 2008 添加防火墙规则

进入规则编辑,选择动作为拒绝

启用安全策略,并保存

等待策略下发完毕

再次对虚拟机进行远程桌面访问,验证策略有效性,此时已无法连接

在 DSM 上产生的防火墙事件如下图

可查看日志详情

4. 用例四测试过程及结果

远程登录 Windows Server 2008 虚拟机,尝试用 IE 浏览器打开网页

在 DSM 中开启对应虚拟机的深度包检测功能(DPI)

找到 IE 浏览器相关规则,并配置为阻断模式

启用该规则并保存

等待规则下发成功

再次进入虚拟机使用 IE 浏览器访问网页

尝试用 Firefox 浏览器访问网页进行对比

DSM 中的 DPI 事件记录如下图

查看事件记录详情

测试总结

经过本次联合测试,验证品高云平台与亚信安全 DeepSecurity 云安全管理系统具有很好的兼容性。可以满足虚拟机的无代理杀毒功能,可实现云平台的防火墙功能,可对应用程序做到访问控制,对于入侵攻击有良好的防御功能,两款产品的结合,云平台基本安全功能与专业安全产品的结合,可以为用户提供一朵自主可控性能优良的安全的云。

测试过程视频演示