某入侵防御系統(tǒng)產(chǎn)品操作培訓(xùn)課件

1、123TopIDP2000-2205TopIDP2000-22051U機(jī)型，配備硬件加速卡：標(biāo)配5個(gè)10/100BASE-TX端口（4個(gè)作兩路IDP轉(zhuǎn)發(fā)，1個(gè)管理端口） 性能:200MbBypass、Inline切換開(kāi)關(guān)：切換IDP轉(zhuǎn)發(fā)端口Bypass、Inline狀態(tài)USB口：USB key恢復(fù)口RST：重啟設(shè)備TopIDP產(chǎn)品簡(jiǎn)介系列號(hào)：2000系列產(chǎn)品類(lèi)型：低端產(chǎn)品擴(kuò)展口數(shù)量：無(wú)擴(kuò)展口端口數(shù)量：5個(gè)端口4TopIDP2000-2308TopIDP2000-23081U機(jī)型；標(biāo)配8個(gè)10/100BASE-TX端口(4個(gè)作IDP轉(zhuǎn)發(fā)，3個(gè)作通訊轉(zhuǎn)發(fā)，1個(gè)管理端口）性能:400Mb 線速Byp

2、ass、Inline切換開(kāi)關(guān)：切換IDP轉(zhuǎn)發(fā)端口Bypass、Inline狀態(tài)USB口：USB key恢復(fù)口RST：重啟設(shè)備 TopIDP產(chǎn)品簡(jiǎn)介5TopIDP3000-3223TopIDP3000-32234U機(jī)型：標(biāo)配2個(gè)千兆GBIC插槽3個(gè)10/100BASE-TX端口（2個(gè)作IDP轉(zhuǎn)發(fā)，1個(gè)管理端口） 性能:2000Mb 線速 Bypass、Inline切換開(kāi)關(guān)：切換IDP轉(zhuǎn)發(fā)端口Bypass、Inline狀態(tài)USB口：USB key恢復(fù)口RST：重啟設(shè)備TopIDP產(chǎn)品簡(jiǎn)介67直通線直通線注：管理口必須接入網(wǎng)絡(luò)才能進(jìn)注：管理口必須接入網(wǎng)絡(luò)才能進(jìn)行郵件病毒過(guò)濾和在線升級(jí)行郵件病毒過(guò)濾和

3、在線升級(jí)Swich、Hub管理機(jī)管理機(jī)硬件安裝：硬件安裝：TopIDP系統(tǒng)連線系統(tǒng)連線直通線直通線交叉線交叉線路由器、防火墻路由器、防火墻直通線直通線8直通線直通線注：管理口必須接入網(wǎng)絡(luò)才能進(jìn)注：管理口必須接入網(wǎng)絡(luò)才能進(jìn)行郵件病毒過(guò)濾和在線升級(jí)行郵件病毒過(guò)濾和在線升級(jí)Swich、Hub管理機(jī)管理機(jī)硬件安裝：硬件安裝：TopIDP系統(tǒng)連線系統(tǒng)連線光纖跳線光纖跳線直通線直通線路由器、防火墻路由器、防火墻光纖跳線光纖跳線9 加電啟動(dòng)時(shí)，系統(tǒng)檢測(cè)硬件pwr、err、log、chk燈會(huì)閃爍幾次，啟動(dòng)完成后pwr燈常亮、系統(tǒng)有問(wèn)題err燈常亮。 系統(tǒng)出廠ip為192.168.1.254， 出廠用戶(hù)名：su

4、perman，出廠密碼：talent11 系統(tǒng)默認(rèn)開(kāi)放8、80端口，如果連接不正常，請(qǐng)嘗試ping 192.168.1.254或telnet 192.168.1.254 80 首次安裝使用時(shí)，要將所有策略都配置上，響應(yīng)方式設(shè)為檢測(cè)并記錄日志，試運(yùn)行一周，每天觀察并判斷哪些是真正的攻擊，哪些是誤報(bào)，將誤報(bào)的策略從策略組刪除或進(jìn)行調(diào)整10軟件安裝軟件安裝此時(shí)安裝程序會(huì)檢此時(shí)安裝程序會(huì)檢測(cè)是否已經(jīng)安裝過(guò)測(cè)是否已經(jīng)安裝過(guò)低版本的低版本的TopIDP客戶(hù)端軟件，如果客戶(hù)端軟件，如果安裝過(guò)，安裝程序安裝過(guò)，安裝程序會(huì)自動(dòng)將其卸載，會(huì)自動(dòng)將其卸載，軟件安裝后須重新軟件安裝后須重新啟動(dòng)計(jì)算機(jī)啟動(dòng)計(jì)算機(jī)11軟件

5、界面軟件界面項(xiàng)目區(qū)：向用戶(hù)提供類(lèi)似資源管理器的樹(shù)型列表 實(shí)時(shí)運(yùn)行記錄：當(dāng)TopIDP系統(tǒng)截獲與設(shè)置的安全策略相匹配的數(shù)據(jù)報(bào)文時(shí)，將在此窗口顯示相應(yīng)的信息 系統(tǒng)配置區(qū) ：用戶(hù)在導(dǎo)航菜單選擇不同的菜單時(shí)，在右側(cè)界面顯示相應(yīng)模塊的配置信息，用戶(hù)可以在此對(duì)配置信息進(jìn)行查看、添加、修改、刪除以及其他的管理工作 顯示區(qū)：實(shí)時(shí)顯示網(wǎng)絡(luò)/端口/系統(tǒng)/郵件運(yùn)行狀況 開(kāi)啟實(shí)時(shí)記錄查看功能 關(guān)閉實(shí)時(shí)記錄查看功能 將窗口當(dāng)前的記錄全部清空 1213 網(wǎng)絡(luò)、網(wǎng)絡(luò)組對(duì)象管理 時(shí)間對(duì)象管理 用戶(hù)、用戶(hù)組對(duì)象管理（用戶(hù)名） 報(bào)警對(duì)象管理 路由、NAT、端口轉(zhuǎn)換設(shè)置 接口地址設(shè)置 檢測(cè)&阻斷策略設(shè)置 查看綜合報(bào)表 查看

6、詳細(xì)日志、系統(tǒng)日志 查看配置日志、認(rèn)證日志、完整性檢查日志1415星期選項(xiàng)條目與日期選項(xiàng)相對(duì)應(yīng)16 1718192021設(shè)置防火墻WAN、LAN、DMZ口時(shí)需設(shè)置網(wǎng)口MAC地址，否則無(wú)法使用，MAC地址前6位為0，后6位自己定義防火墻WAN、LAN、DMZ最多可以設(shè)置4個(gè)IP地址管理口必須設(shè)好默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器并能連通internet才能夠進(jìn)行在線升級(jí)、注冊(cè)、郵件病毒過(guò)濾管理口只能設(shè)置一個(gè)IP地址，添加新的IP地址須刪除原IP地址22選擇策略生效的模塊和端口，可以選擇某個(gè)特定的端口或幾個(gè)端口的組合設(shè)置檢測(cè)數(shù)據(jù)的源與目的網(wǎng)絡(luò)，可以選擇網(wǎng)絡(luò)對(duì)象或網(wǎng)絡(luò)組，無(wú)效的網(wǎng)絡(luò)組無(wú)法應(yīng)用設(shè)置應(yīng)用的策略對(duì)象，

7、可以選擇策略對(duì)象或策略組對(duì)象，無(wú)效的策略組無(wú)法應(yīng)用響應(yīng)方式可以選擇檢測(cè)、阻斷、檢測(cè)并記錄日志、阻斷并記錄日志、檢測(cè)并記錄數(shù)據(jù)、阻斷并記錄數(shù)據(jù)，其中檢測(cè)、阻斷不記錄日志也不記錄數(shù)據(jù)包，檢測(cè)并記錄日志與阻斷并記錄日志僅記錄日志，不記錄數(shù)據(jù)包，檢測(cè)并記錄數(shù)據(jù)與阻斷并記錄數(shù)據(jù)不僅記錄日志，而且記錄數(shù)據(jù)包設(shè)置策略的生效時(shí)段新策略添加后必須保存、應(yīng)用后才能生效系統(tǒng)調(diào)試信息設(shè)置某條策略的顏色23綜合報(bào)表分類(lèi)綜合報(bào)表分類(lèi)p 標(biāo)準(zhǔn)報(bào)表p 時(shí)間段報(bào)表p 日?qǐng)?bào)表p 周報(bào)表p 月報(bào)表24標(biāo)準(zhǔn)報(bào)表分為以下幾種：p 網(wǎng)絡(luò)使用情況（Mbps）p 網(wǎng)絡(luò)使用情況（幀）p 字節(jié)分類(lèi)報(bào)表p 允許幀和阻斷幀變化報(bào)表p 病毒報(bào)表25時(shí)

8、間段報(bào)表分為以下幾種：p Top10攻擊類(lèi)型p Top10受攻擊主機(jī)p Top10攻擊者p Top10病毒類(lèi)型p Top10接收病毒郵件地址p Top10發(fā)送郵件病毒地址26日?qǐng)?bào)表分為以下幾種：p 攻擊事件/流量p Top10攻擊類(lèi)型p Top10受攻擊主機(jī)p Top10攻擊者p Top10病毒類(lèi)型p Top10接收病毒郵件地址p Top10發(fā)送病毒郵件地址p 事件數(shù)量和上一天相比27周報(bào)表分為以下幾種：p 攻擊事件/流量p 事件數(shù)量和上周相比28月報(bào)表分為以下幾種：p 所有檢測(cè)/阻斷列表p 按照類(lèi)型阻斷/檢測(cè)個(gè)數(shù)p 按照類(lèi)型阻斷/檢測(cè)流量29詳細(xì)日志：是在檢測(cè)&阻斷的響應(yīng)方式中選擇了

9、記錄所有數(shù)據(jù)時(shí)，流經(jīng)IPS的數(shù)據(jù)在符合條件時(shí)記錄的數(shù)據(jù)。郵件日志：病毒郵件記錄30系統(tǒng)日志包含以下幾種：p 郵件日志：正常郵件日志p 引擎管理：硬件加速卡啟動(dòng)停止日志p 日志信息：系統(tǒng)啟動(dòng)關(guān)閉日志p 自動(dòng)備份：詳細(xì)日志、郵件日志自動(dòng)備份時(shí)的日志p 報(bào)警信息：報(bào)警日志31配置日志包含配置記錄及自動(dòng)更新日志兩種，其中配置記錄包含配置菜單中的操作及工具菜單中選項(xiàng)菜單中的操作，實(shí)時(shí)更新日志記錄系統(tǒng)升級(jí)信息。認(rèn)證日志包含用戶(hù)登錄、注銷(xiāo)的記錄信息完整性日志包含手動(dòng)完整性檢查的日志和自動(dòng)完整性檢查的日志32l 自定義策略l 恢復(fù)出廠配置l 異常配置l Syslog配置33深度轉(zhuǎn)向代理服務(wù)器，僅郵件病毒過(guò)濾時(shí)

10、需要目前僅支持TCP、UDP、ICMP協(xié)議內(nèi)容過(guò)濾，7層過(guò)濾時(shí)需設(shè)置34偏移：54，深度：0，內(nèi)容（攻擊特征）：5F75702E657865 ，長(zhǎng)度7 目的端口：5554，源端口使用默認(rèn)1024-65635即可，長(zhǎng)度：默認(rèn)0-6553535USB key恢復(fù)內(nèi)容：1）出廠IP地址：192.168.1.2542）superman密碼3）inbound、outbound設(shè)置注意事項(xiàng)： 啟動(dòng)后第一次恢復(fù)時(shí)，插入U(xiǎn)SB key即可，第二次恢復(fù)時(shí)需重新啟動(dòng)系統(tǒng)，待系統(tǒng)啟動(dòng)完成后插入U(xiǎn)SB key即可。配置中所有選項(xiàng)工具菜單中內(nèi)容變更管理口IP地址、日志36異常配置：1）針對(duì)源主機(jī)、目的主機(jī)及TCP、UD

11、P、ICMP協(xié)議配置Dos/DDos檢測(cè)策略以及處理方式2）設(shè)置針對(duì)某臺(tái)主機(jī)或某個(gè)網(wǎng)絡(luò)的某個(gè)策略的異常例外處理阻斷、檢測(cè)、限制流量Summary log（在日志中僅記錄流量統(tǒng)計(jì)信息 ）、Detail log（在日志中記錄流量詳細(xì)信息 ） 、Packet Dump （對(duì)流量數(shù)據(jù)包進(jìn)行轉(zhuǎn)儲(chǔ)到詳細(xì)日志 ）37配置Syslog服務(wù)器設(shè)置配置完成后點(diǎn)擊確定系統(tǒng)即可發(fā)送syslog日志3839Q：設(shè)備無(wú)法ping通，且telnet也無(wú)法連接時(shí)怎么辦？A：首先檢查系統(tǒng)的網(wǎng)絡(luò)連線是否正確，如果連接正確，請(qǐng)嘗試使用USB key恢復(fù)系統(tǒng)出廠IP，恢復(fù)方法參考，恢復(fù)出廠設(shè)置項(xiàng)。如果恢復(fù)出廠IP后仍然無(wú)法ping通，請(qǐng)將問(wèn)題設(shè)備返廠維修。Q：TopIDP能不能攔截未知攻擊？A：可以。我們的產(chǎn)品對(duì)未知攻擊的防御是采用異常設(shè)置，設(shè)置之后，正常的數(shù)據(jù)包可以通行，非正常數(shù)