售后培訓(xùn)---天融信入侵防御產(chǎn)品配置與維護(hù)(V5)---20121010

1、中中 國國 信信 息息 安安 全全 領(lǐng)領(lǐng) 導(dǎo)導(dǎo) 企企 業(yè)業(yè)天融信天融信IPSIPS產(chǎn)品產(chǎn)品配置與維護(hù)配置與維護(hù) March 19, 2022北京天融信科技有限公司北京天融信科技有限公司目錄IPS系統(tǒng)安裝配置系統(tǒng)安裝配置TP系統(tǒng)安裝配置系統(tǒng)安裝配置典型實(shí)驗(yàn)案例典型實(shí)驗(yàn)案例 網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)是集訪問控制、應(yīng)用識(shí)別、漏洞攻擊防御、蠕蟲檢測(cè)、報(bào)文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備，為用戶提供整體的立體式網(wǎng)絡(luò)安全防護(hù)。與現(xiàn)在市場(chǎng)上的入侵防御系統(tǒng)相比，TopIDP系列入侵防御系統(tǒng)具有更高的性能、更細(xì)的安全控制粒度、更深的內(nèi)容攻擊防御、更大的功能擴(kuò)展空間、更豐富的服務(wù)和協(xié)議支持，代表了最新的網(wǎng)絡(luò)安全設(shè)備和解

2、決方案發(fā)展方向。 五合一防護(hù)五合一防護(hù)DoS/DDoS入侵防御應(yīng)用管控URL過濾卡巴斯基流病毒查殺 特色功能特色功能萬兆網(wǎng)絡(luò)支持WAF增值IPv6環(huán)境產(chǎn)品介紹產(chǎn)品介紹設(shè)備部署拓?fù)湓O(shè)備界面介紹Console配置接口MGMT管理接口IP：Mask：HA連接接口設(shè)備運(yùn)行指示燈指示燈名稱指示燈名稱指示燈狀態(tài)描述指示燈狀態(tài)描述工作燈（工作燈（Run）當(dāng)入侵防御系統(tǒng)進(jìn)入工作狀態(tài)時(shí)，工作燈閃爍。當(dāng)入侵防御系統(tǒng)進(jìn)入工作狀態(tài)時(shí)，工作燈閃爍。主從燈（主從燈（M/S）主從燈亮的時(shí)候，代表這臺(tái)設(shè)備是工作設(shè)備；反之，如果主從燈處于熄滅狀態(tài)，則該入侵防御系主從燈亮的時(shí)候，代

3、表這臺(tái)設(shè)備是工作設(shè)備；反之，如果主從燈處于熄滅狀態(tài)，則該入侵防御系統(tǒng)工作在備份模式。統(tǒng)工作在備份模式。管理燈（管理燈（MGMT）當(dāng)網(wǎng)絡(luò)管理員，如安全審計(jì)管理員，登錄入侵防御系統(tǒng)時(shí)，管理燈點(diǎn)亮。當(dāng)網(wǎng)絡(luò)管理員，如安全審計(jì)管理員，登錄入侵防御系統(tǒng)時(shí)，管理燈點(diǎn)亮。日志燈（日志燈（Log）當(dāng)有日志記錄動(dòng)作發(fā)生時(shí)，且前后兩次日志記錄發(fā)生的時(shí)間間隔超過當(dāng)有日志記錄動(dòng)作發(fā)生時(shí)，且前后兩次日志記錄發(fā)生的時(shí)間間隔超過1秒鐘時(shí)，日志燈會(huì)點(diǎn)亮。秒鐘時(shí)，日志燈會(huì)點(diǎn)亮。擴(kuò)展模塊插槽 參考TOPSEC擴(kuò)展模塊安裝手冊(cè)上線流程設(shè)備安裝設(shè)備安裝 部署位置 依據(jù)設(shè)備的使用目的選擇相應(yīng)的安裝位置 根據(jù)安裝位置環(huán)境對(duì)設(shè)備進(jìn)行軟硬件配

4、置 接口類型 根據(jù)網(wǎng)絡(luò)設(shè)備部署位置配置不同的接口模塊安裝環(huán)境 PC一臺(tái) 擁有COM連接口 具有超級(jí)終端等遠(yuǎn)程操作程序 Console線纜 隨機(jī)附贈(zèng) 相應(yīng)的網(wǎng)絡(luò)線纜/接口卡/模塊 系統(tǒng)升級(jí)補(bǔ)丁 升級(jí)簽名庫準(zhǔn)備工具Console登錄ID：supermanPWD:talentConsole端操作雖然Console端可以對(duì)設(shè)備進(jìn)行完整配置，但是我們建議操作在WebUI下完成。在設(shè)備上線前，對(duì)設(shè)備管理配置可在console端完成：管理接口配置 命令行語法如下：network interface ip add mask 參數(shù)說明：string：網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)物理接口名稱，字符串，例如eth0。管理范

5、圍配置命令行語法如下：定義IP：define host add name ipaddr 定義子網(wǎng)：define subnet add name ipaddr mask 定義地址范圍：define range add name ip1 ip2 參數(shù)說明：string：資源名稱，字符串。WebUI管理ID：supermanPWD:talent默認(rèn)管理：54 系統(tǒng)監(jiān)視 系統(tǒng)管理 網(wǎng)絡(luò)管理 流量管理 資源管理 入侵防御 網(wǎng)站防護(hù) 日志與報(bào)表配置培訓(xùn)配置培訓(xùn) 系統(tǒng)監(jiān)視模塊對(duì)整個(gè)系統(tǒng)的基本狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，支持對(duì)系統(tǒng)總體及系統(tǒng)監(jiān)視模塊對(duì)整個(gè)系統(tǒng)的基本狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，支

6、持對(duì)系統(tǒng)總體及某一特定對(duì)象（如基于接口、協(xié)議、內(nèi)容或其他規(guī)則）通信量、連接數(shù)、網(wǎng)某一特定對(duì)象（如基于接口、協(xié)議、內(nèi)容或其他規(guī)則）通信量、連接數(shù)、網(wǎng)絡(luò)攻擊、應(yīng)用流量、帶寬等數(shù)據(jù)的采集、統(tǒng)計(jì)和顯示，用以滿足用戶對(duì)各種絡(luò)攻擊、應(yīng)用流量、帶寬等數(shù)據(jù)的采集、統(tǒng)計(jì)和顯示，用以滿足用戶對(duì)各種數(shù)據(jù)統(tǒng)計(jì)以及應(yīng)用層流量管理的需求。數(shù)據(jù)統(tǒng)計(jì)以及應(yīng)用層流量管理的需求。 這個(gè)模塊有這個(gè)模塊有9 9個(gè)子模塊：個(gè)子模塊：n基本信息基本信息n版本信息版本信息n攻擊統(tǒng)計(jì)攻擊統(tǒng)計(jì)n病毒統(tǒng)計(jì)病毒統(tǒng)計(jì)n應(yīng)用統(tǒng)計(jì)應(yīng)用統(tǒng)計(jì)nURLURL統(tǒng)計(jì)統(tǒng)計(jì)n當(dāng)前連接當(dāng)前連接n接口流量統(tǒng)計(jì)接口流量統(tǒng)計(jì)n自定義統(tǒng)計(jì)自定義統(tǒng)計(jì)系統(tǒng)監(jiān)視系統(tǒng)監(jiān)視基本信息基本

7、信息注意事項(xiàng)： 由于刷新頻率不同步會(huì)出現(xiàn)同一參數(shù)在不同頁面數(shù)據(jù)不一致的情況，系統(tǒng)資源和檢測(cè)統(tǒng)計(jì)數(shù)據(jù)差距不大，網(wǎng)絡(luò)接口瞬時(shí)速率會(huì)出現(xiàn)差別比較大的情況?；拘畔⒒拘畔姹拘畔姹拘畔⒐艚y(tǒng)計(jì)攻擊統(tǒng)計(jì)單擊事件號(hào)能夠查看規(guī)則的詳細(xì)信息點(diǎn)擊主機(jī)IP可以查看該主機(jī)所受攻擊的詳細(xì)信息。攻擊統(tǒng)計(jì)攻擊統(tǒng)計(jì)注意事項(xiàng)： 將內(nèi)網(wǎng)監(jiān)控的監(jiān)控級(jí)別設(shè)置為詳細(xì)，才能顯示主機(jī)排名。另外，如果主機(jī)監(jiān)控?cái)?shù)達(dá)到最大值后，則不會(huì)顯示主機(jī)排名。 因?yàn)槭芄糁鳈C(jī)排名列表中的數(shù)據(jù)取自實(shí)時(shí)內(nèi)存，詳細(xì)信息的統(tǒng)計(jì)信息取自日志，所以會(huì)出現(xiàn)兩者數(shù)據(jù)不一致的情況。病毒統(tǒng)計(jì)頁面點(diǎn)擊病毒名稱查點(diǎn)擊病毒名稱查看病毒攻擊源看病毒攻擊源點(diǎn)擊受病毒攻擊主機(jī)地點(diǎn)擊

8、受病毒攻擊主機(jī)地址能夠查看到攻擊的病址能夠查看到攻擊的病毒名稱毒名稱病毒統(tǒng)計(jì)病毒統(tǒng)計(jì)應(yīng)用統(tǒng)計(jì)應(yīng)用統(tǒng)計(jì)點(diǎn)擊某應(yīng)用可以查看是哪些主機(jī)占用了該應(yīng)用協(xié)議的上下行流量。點(diǎn)擊主機(jī)IP可以查看該主機(jī)所占用應(yīng)用協(xié)議流量的詳細(xì)信息注意事項(xiàng) 若監(jiān)控范圍設(shè)為any時(shí)，IP記錄了客戶端和服務(wù)器兩個(gè)IP，每個(gè)IP記錄了上下行流量，這樣記錄了兩次，而應(yīng)用協(xié)議只記錄了一次上下行流量，因此所有IP上下行流量總和約為應(yīng)用協(xié)議上下行流量總和的2倍。當(dāng)內(nèi)網(wǎng)監(jiān)控指定IP時(shí)，應(yīng)用排名中流量統(tǒng)計(jì)與詳細(xì)信息中主機(jī)流量基本相符。應(yīng)用統(tǒng)計(jì)應(yīng)用統(tǒng)計(jì)URL統(tǒng)計(jì)統(tǒng)計(jì)點(diǎn)擊URL名稱可以查看哪些主機(jī)訪問了該類網(wǎng)站以及具體的訪問次數(shù)。點(diǎn)擊主機(jī)IP可以查看

9、該主機(jī)訪問了哪類網(wǎng)站以及具體的訪問次數(shù)當(dāng)前連接當(dāng)前連接接口流量統(tǒng)計(jì)接口流量統(tǒng)計(jì)點(diǎn)擊具體接口，顯示該接口的詳細(xì)流量信息。自定義統(tǒng)計(jì)自定義統(tǒng)計(jì)對(duì)設(shè)備接口流量狀況、安全區(qū)域內(nèi)的受攻擊狀況、病毒感染狀況、對(duì)應(yīng)用流量的使用狀況及內(nèi)主機(jī)訪問URL的狀況進(jìn)行自定義查詢。系統(tǒng)管理雙機(jī)熱備雙機(jī)熱備-基本設(shè)置基本設(shè)置n 進(jìn)入系統(tǒng)管理雙機(jī)熱備，進(jìn)入雙機(jī)熱備的設(shè)置頁面n 身份：選擇主機(jī)時(shí)，默認(rèn)的優(yōu)先級(jí)為254,；選擇從屬機(jī)時(shí)，默認(rèn)的優(yōu)先級(jí)為100，當(dāng)然優(yōu)先級(jí)可以手動(dòng)更改n 地址：分為本地與對(duì)端，需要注意的是，這兩個(gè)地址必須在同一個(gè)網(wǎng)段n 心跳間隔：兩臺(tái)網(wǎng)絡(luò)衛(wèi)士設(shè)備互發(fā)通信報(bào)文的時(shí)間間隔。n 搶占：是指主網(wǎng)關(guān)宕機(jī)后，重

10、新恢復(fù)正常工作時(shí)，是否重新奪回主網(wǎng)關(guān)的地位。優(yōu)先級(jí)相同的兩設(shè)備中不存在搶占，并且只有優(yōu)先級(jí)高設(shè)備搶占優(yōu)先級(jí)低的設(shè)備的主身份n 對(duì)端同步：從對(duì)端機(jī)同步配置到本機(jī)上n 本地同步：從本地機(jī)同步配置到對(duì)端上雙機(jī)熱備雙機(jī)熱備-基本設(shè)置基本設(shè)置n 配置HA接口時(shí)，一定要將“ha-static”勾選，不然配置同步時(shí)會(huì)將該接口的信息覆蓋配置物理接口配置物理接口n 其實(shí)VRID組就是用來選主備的，默認(rèn)的情況下，所有的接口都是屬于VRID 0的，我們可以創(chuàng)建一個(gè)VRID組（組號(hào)在1 到 255 之間），組優(yōu)先級(jí)高的會(huì)優(yōu)先成為主，同時(shí)設(shè)備上也只能創(chuàng)建一個(gè)VRID組，后創(chuàng)建的VRID組會(huì)將前面創(chuàng)建的覆蓋掉n fw36

11、# ha as-vrid 1，在設(shè)備上創(chuàng)建vrid 1，然后將通信接口加入到該組配置物理接口配置物理接口注意：n 目前我們的設(shè)備只支持AS模式。n 創(chuàng)建VRID組后，我們可以將接口加入到該組，如果加入到該組的某個(gè)接口down后，該組的優(yōu)先級(jí)就會(huì)變?yōu)?n 最好用設(shè)備上專用的HA口做雙機(jī)熱備n 設(shè)備處于standy時(shí)，接口不回復(fù)、轉(zhuǎn)發(fā)報(bào)文，所以不能用WEBUI登錄n 設(shè)備只有在配置正確完成后才能上架，不然在直連、交換模式下容易造成環(huán)路配置物理接口配置物理接口網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理n鏈路聚合模塊的作用是使多個(gè)接口的流量匯聚到單條鏈路上，也能使單個(gè)接口收到的流量均衡的從多個(gè)接口發(fā)出，可以起到擴(kuò)充鏈路帶寬和鏈

12、路備份的作用。n這個(gè)功能是topidpv5上新加的功能，設(shè)備上總共可以配置4條聚合鏈路，每條聚合鏈路上可以添加8個(gè)物理成員接口。n負(fù)載均衡算法一共支持11個(gè)，分別根據(jù)不同的目標(biāo)進(jìn)行負(fù)載均衡，例如：根據(jù)源mac地址進(jìn)行負(fù)載均衡，那么同一mac的流量只走聚合鏈路中的一個(gè)接口，不同mac的流量按照接口順序進(jìn)行輪詢。其余算法的原理一樣鏈路聚合鏈路聚合n注：建立起來一個(gè)聚合鏈路，那么這個(gè)聚合鏈路就當(dāng)作一個(gè)邏輯接口來看待，加入聚合鏈路的物理口，其本身的屬性都不生效了。目前聚合鏈路只支持交換和路由兩種模式，不支持直連，不能強(qiáng)制設(shè)定其雙工和速率，不能對(duì)其接口設(shè)定區(qū)域進(jìn)行訪問控制鏈路聚合鏈路聚合流量管理流量管理

13、分為兩個(gè)部分：n帶寬控制n流量異常分布帶寬控制帶寬控制QOS策略屬性策略屬性出廠時(shí)，是沒有任何QOS策略的，單擊添加，出現(xiàn)如上的頁面n添加策略的名稱nQOS策略可以同時(shí)控制上、下行帶寬，根據(jù)需要填寫n在上、下行中可以選擇QOS的類型：1.策略獨(dú)享：當(dāng)多條ACL引用同一策略獨(dú)享策略時(shí)，不同ACL之間的連接獨(dú)享限制帶寬與保證帶寬，同一ACL中的不同連接限制共享限制帶寬與保證帶寬2.獨(dú)享：當(dāng)多條ACL引用同一獨(dú)享策略時(shí)，不同ACL之間的連接獨(dú)享限制帶寬與保證帶寬，同一ACL中的不同連接獨(dú)享限制帶寬與保證帶寬3.共享：匹配ACL的所有連接共享限制帶寬與保證帶寬4.受控：每個(gè)連接的帶寬不超過每主機(jī)限制帶

14、寬，所有連接的帶寬之和不超過總限制帶寬n優(yōu)先級(jí)：優(yōu)先級(jí)只在同種策略中才起效，接口的剩余帶寬優(yōu)先分配給優(yōu)先級(jí)高的鏈接。但前提是不高于限制帶寬n優(yōu)先級(jí)有四個(gè)等級(jí)：特權(quán)、高、中、低 QOS策略屬性策略屬性注意：1.當(dāng)配置的QOS策略中有保證帶寬時(shí)，默認(rèn)的優(yōu)先級(jí)為中，可以手動(dòng)選擇特權(quán)或高；當(dāng)只有限制帶寬時(shí)，優(yōu)先級(jí)只能為低，不可更改。同時(shí)受控類型的策略的優(yōu)先級(jí)也只能時(shí)低。2.只要上、下行中選的不是共享策略，那么其他三種策略可以互相搭配QOS策略屬性策略屬性以下是關(guān)于優(yōu)先級(jí)實(shí)驗(yàn)的截圖這是區(qū)域area_eth3中主機(jī)的下載速度。這是區(qū)域area_eth2中主機(jī)的下載速度（圖片中的兩個(gè)數(shù)據(jù)不是同時(shí)的）從上圖可

15、以看出，接口剩余帶寬優(yōu)先分配給優(yōu)先級(jí)高的連接QOS策略創(chuàng)建好之后，必須在ACL中引用才能起作用n如果ACL引用的策略帶有保證帶寬，那么我們必須要選擇區(qū)域，并且區(qū)域只包含一個(gè)接口，同時(shí)這個(gè)接口設(shè)置了有效帶寬n同一QOS策略被不同ACL引用時(shí)，保證帶寬之和不能超過接口的有效帶寬n其他的選項(xiàng)同ACL，這里不詳細(xì)詳述n打開ACL的“選項(xiàng)”，點(diǎn)擊“高級(jí)”就可以看到創(chuàng)建的QOS策略。我們可以看到上面還有一個(gè)QOS選項(xiàng)，其實(shí)他和受控差不多，只不過他只能控制下載的速率，而不能控制上傳的速率n對(duì)接口或協(xié)議相關(guān)的指標(biāo)設(shè)制相應(yīng)的閥值并制定相應(yīng)的報(bào)警機(jī)制，檔統(tǒng)計(jì)值大于定值時(shí)報(bào)警流量異常檢測(cè)流量異常檢測(cè)入侵防御n 在入

16、侵防御策略的配置方面，策略的源和目的的配置與以前的v1版本相同，可以配置地址對(duì)象和區(qū)域?qū)ο蟆?入侵防御策略配置入侵防御策略配置n 在規(guī)則集引用部分，和v3保持一致，依然采用單選的方式，而動(dòng)作的執(zhí)行在規(guī)則集里進(jìn)行單獨(dú)配置。 入侵防御策略配置入侵防御策略配置n 入侵防御策略里引擎動(dòng)作包括防火墻聯(lián)動(dòng)、阻斷時(shí)禁止連接、阻斷時(shí)加入黑名單、輸出應(yīng)用識(shí)別所有日志、輸出url所有日志。n 防火墻聯(lián)動(dòng)功能：僅在ids監(jiān)聽模式下有效，當(dāng)配置好防火墻聯(lián)動(dòng)的配置以后，需要在引擎里打開這個(gè)開關(guān)后才能正常向防火墻下發(fā)策略n 阻斷時(shí)禁止連接：當(dāng)判斷出連接上存在攻擊時(shí)向客戶端/服務(wù)器雙方向發(fā)rst來關(guān)閉連接，不勾選時(shí)僅為丟包

17、n 阻斷時(shí)加入黑名單：勾選時(shí)會(huì)將識(shí)別為攻擊特征的連接其中的源地址自動(dòng)添加到黑名單，并啟用一個(gè)定時(shí)器，在這個(gè)定時(shí)器時(shí)間范圍內(nèi)此源地址無法穿過idp建立任何連接n 注：黑名單也可以手動(dòng)設(shè)置，入侵防御策略后新加的選項(xiàng)就是添加黑名單，這種方式添加的黑名單是永久生效的，除非手動(dòng)刪除n 輸出應(yīng)用識(shí)別和url日志：默認(rèn)是只在判斷為阻斷的情況下進(jìn)行記錄，如果勾選則只要匹配規(guī)則的都會(huì)進(jìn)行記錄，因?yàn)橛涗洿罅康娜罩緯?huì)消耗大量的系統(tǒng)資源。 入侵防御策略配置入侵防御策略配置-檢測(cè)引擎參數(shù)設(shè)置檢測(cè)引擎參數(shù)設(shè)置 入侵防御策略配置入侵防御策略配置-檢測(cè)引擎參數(shù)設(shè)置檢測(cè)引擎參數(shù)設(shè)置n 引擎工作模式包括：檢測(cè)模式和優(yōu)先模式。n

18、檢測(cè)模式分為智能檢測(cè)和深度檢測(cè)：n 智能檢測(cè)：只檢測(cè)每個(gè)連接的前n個(gè)報(bào)文（n可以用戶指定），能夠起到很好的性能優(yōu)化作用。n 深度檢測(cè)：連接的所有通信報(bào)文都進(jìn)行檢測(cè)，性能會(huì)有很大降低。 入侵防御策略配置入侵防御策略配置-檢測(cè)模式檢測(cè)模式n 優(yōu)先模式分為應(yīng)用優(yōu)先和安全優(yōu)先：n 應(yīng)用優(yōu)先：?jiǎn)?dòng)軟件bypass功能，如果流量增大到檢測(cè)引擎無法處理的情況，則軟件bypass功能發(fā)揮作用，超出的流量不再上送引擎處理，直接轉(zhuǎn)發(fā)，當(dāng)引擎能夠處理后，流量又上送引擎檢測(cè)。在性能優(yōu)化方面起到作用。保證了客戶的正常應(yīng)用，避免因處理能力導(dǎo)致的斷網(wǎng)。n 安全優(yōu)先：不啟動(dòng)軟件bypass功能，如果流量超過檢測(cè)引擎處理能力，

19、那么會(huì)出現(xiàn)丟包現(xiàn)象。 入侵防御策略配置入侵防御策略配置-優(yōu)先模式優(yōu)先模式協(xié)議支持n 協(xié)議支持的作用是針對(duì)用戶可能使用的非標(biāo)準(zhǔn)協(xié)議端口而起作用。如：HTTP8080或者FTP2121等。n 對(duì)應(yīng)的配置在WEBUI上“資源管理協(xié)議”頁面中。本頁面中已經(jīng)預(yù)定義了絕大多數(shù)的應(yīng)用層協(xié)議及其標(biāo)準(zhǔn)服務(wù)端口。n 已經(jīng)預(yù)定義好的協(xié)議包括：ftp、ssh、telnet、smtp、dns、finger、http、pop2、pop3、sunrpc、auth、nntp、smb、imap、snmp、https、rlogin、rsh、mssql、oracle、mysql、oicp、irc。協(xié)議支持協(xié)議支持舉例說明：n 某用

20、戶使用的HTTP服務(wù)器的服務(wù)端口為8080。那么，就需要在http協(xié)議對(duì)應(yīng)的修改頁面中的端口部分修改為8080這個(gè)端口號(hào)，當(dāng)然也可以不刪除原有的80端口，而是寫入8080端口與原有的80端口同時(shí)存在，使用“,”分隔開就可以了。協(xié)議支持協(xié)議支持n 對(duì)某協(xié)議端口的配置還可以通過使用一些符號(hào)來達(dá)到靈活配置的目的。例如上面說到的如果同時(shí)存在HTTP80和HTTP8080的服務(wù)器的話，那么http協(xié)議端口中可以寫入“80,8080”來表示80和8080端口。n 同樣的還有另外兩個(gè)符號(hào)：“!”和“:”。n “!”表示非，例如：“!80”表示除80端口以外的其余端口。n “:”表示范圍，例如：“80:800

21、0”表示從80到8000端口范圍內(nèi)所有端口號(hào)。協(xié)議支持協(xié)議支持注：n 協(xié)議支持頁面中不能增加新的協(xié)議，而只能通過修改系統(tǒng)預(yù)定義好的協(xié)議的端口號(hào)來實(shí)現(xiàn)該目的。n 修改完協(xié)議的端口號(hào)后，系統(tǒng)需要很短的一段時(shí)間來加載新的端口，一般時(shí)間為1、2秒鐘。n 協(xié)議支持和服務(wù)沒有任何關(guān)系，協(xié)議支持只對(duì)ips檢測(cè)起作用協(xié)議支持協(xié)議支持n 設(shè)備第一次上線建議使用智能檢測(cè)和應(yīng)用優(yōu)先模式n 入侵防御策略也是按照從上向下后的順序進(jìn)行匹配的，而且是按照源地址、源區(qū)域、目的地址、目的區(qū)域、時(shí)間五元組來進(jìn)行匹配，按照最先匹配上的策略的規(guī)則和動(dòng)作進(jìn)行處理，不會(huì)再向下進(jìn)行策略的匹配了。 例如：配置兩條入侵防御策略，地址部分相同，

22、但策略1引用的規(guī)則集為木馬攻擊，策略2引用的規(guī)則集為HTTP類攻擊。 當(dāng)有一個(gè)符合這兩條策略地址部分的HTTP類攻擊經(jīng)過設(shè)備檢測(cè)的時(shí)候，會(huì)先匹配策略1，地址部分匹配上以后，就不會(huì)再向后匹配了，直接按照策略1的木馬攻擊類進(jìn)行檢測(cè)，當(dāng)然無法檢測(cè)到該攻擊。 所以，要檢測(cè)同樣地址部分的兩類攻擊，上述的兩條策略的配置是無法實(shí)現(xiàn)的，正確的方法應(yīng)該只配置一條策略，在規(guī)則集中引用兩類攻擊的規(guī)則集。注意事項(xiàng)注意事項(xiàng)DDoS防御防御n DDoS防御包括DDoS防御、CC攻擊防護(hù)、連接數(shù)限制、主機(jī)防護(hù)（syn_cookie）4個(gè)模塊。n DDoS配置l 選擇需要防御的DDoS類型l 選擇閥值優(yōu)先級(jí)l 添加受保護(hù)對(duì)象

23、n 閥值優(yōu)先級(jí)l 閥值優(yōu)先級(jí)分為服務(wù)器優(yōu)先和單機(jī)優(yōu)先（只對(duì)統(tǒng)計(jì)型攻擊和DNS, DHCP-FLOOD和CC攻擊生效）。l 服務(wù)器優(yōu)先時(shí)：設(shè)備將對(duì)每秒攻擊目標(biāo)主機(jī)數(shù)統(tǒng)計(jì)，若大于服務(wù)器閥值，設(shè)備將會(huì)進(jìn)行單機(jī)閥值統(tǒng)計(jì)（統(tǒng)計(jì)源和目標(biāo)地址），若大于單機(jī)閥值則阻斷后續(xù)為該源地址的攻擊。l 單機(jī)優(yōu)先時(shí)：服務(wù)器閥值無效，設(shè)備直接進(jìn)入單機(jī)閥值統(tǒng)計(jì)（統(tǒng)計(jì)源和目標(biāo)地址），當(dāng)源地址的攻擊數(shù)超過單機(jī)閥值，則阻斷后續(xù)為該源地址的攻擊。l 無論是服務(wù)器優(yōu)先，還是單機(jī)優(yōu)先，當(dāng)每秒鐘連接數(shù)超過服務(wù)器高壓閥值，后續(xù)攻擊都將被阻斷。DDoS防御防御n DDoS自學(xué)習(xí)l 開啟自學(xué)習(xí)功能，系統(tǒng)能根據(jù)當(dāng)前網(wǎng)絡(luò)環(huán)境流量在設(shè)置的時(shí)間范圍內(nèi)進(jìn)

24、行分析從而自動(dòng)調(diào)整閾值至符合當(dāng)前網(wǎng)絡(luò)狀況的值，并以“自學(xué)習(xí)結(jié)果”的形式顯示。DDoS防御防御n CC攻擊l CC攻擊是模擬多個(gè)用戶不停的訪問Web服務(wù)器上那些需要大量數(shù)據(jù)操作（即需要CPU長(zhǎng)時(shí)間處理) 的頁面，進(jìn)而導(dǎo)致Web服務(wù)器CPU長(zhǎng)時(shí)間高負(fù)荷運(yùn)轉(zhuǎn)直至宕機(jī)，以達(dá)到攻擊目的。l CC特性：CC目前支持IPV4和V6下的攻擊，目前支持的請(qǐng)求方法為get,post,head,且TCP標(biāo)志位PUSH需置位。l CC配置DDoS防御防御n 連接數(shù)限制l 連接數(shù)限制分為主機(jī)、子網(wǎng)、范圍連接數(shù)限制，除了保護(hù)對(duì)象范圍不一樣外，三者都是針對(duì)源地址進(jìn)行并發(fā)連接數(shù)限制的，其中主機(jī)連接數(shù)限制比子網(wǎng)、范圍多了一個(gè)并

25、發(fā)半連接數(shù)限制。l 并發(fā)連接數(shù)：同一時(shí)刻，允許其它主機(jī)與該主機(jī)建立的最大連接數(shù)。l 并發(fā)半連接數(shù)：同一時(shí)刻，允許其它主機(jī)與該主機(jī)建立的最大半連接數(shù)。l 連接數(shù)限制配置。DDoS防御防御n 主機(jī)防護(hù)（syn_cookie）l Syn_cookie主要功能保護(hù)主機(jī)免受SYN_flood攻擊，與閥值防護(hù)SYN_flood攻擊區(qū)別在于syn_cookie可以保證正常訪問的同時(shí)阻斷syn_flood攻擊。l 說明：主機(jī)防護(hù)目前不支持IPV6。l 主機(jī)防護(hù)配置DDoS防御防御n DDoS模塊注意事項(xiàng)l DDoS模塊支持IPV6攻擊檢測(cè)有：SYN_FLOOD,UDP_FLOOD,ICMP_FLOOD,DNS

26、_FLOOD,DHCP_FLOOD和CC攻擊。l DDoS模塊支持的隧道封裝有：MPLS,GRE,QINQ,802.1Q，其中MPLS需要在系統(tǒng)管理-配置-高級(jí)屬性中開啟MPLS檢測(cè)開關(guān)。DDoS防御防御攻擊檢測(cè)規(guī)則配置n 目前設(shè)備出廠配置中會(huì)有預(yù)定義的一個(gè)攻擊檢測(cè)規(guī)則集，名稱是：精選規(guī)則(默認(rèn)動(dòng)作)。n 規(guī)則條數(shù)為328條，其中警告215條，阻斷113條。其中收集的是一些經(jīng)常碰到的攻擊類型攻擊檢測(cè)規(guī)則配置攻擊檢測(cè)規(guī)則配置n 如果上面系統(tǒng)預(yù)定義的規(guī)則集不符合使用需求的話，用戶可以根據(jù)自己的需要自定義規(guī)則集，在攻擊檢測(cè)規(guī)則頁面中點(diǎn)擊“添加”按鈕，就會(huì)進(jìn)入添加頁面，輸入自定義規(guī)則集的名稱，選擇對(duì)應(yīng)

27、的分類方式、動(dòng)作、是否記錄報(bào)文選項(xiàng)，點(diǎn)擊確定方可生成規(guī)則。攻擊檢測(cè)規(guī)則配置攻擊檢測(cè)規(guī)則配置n 在基本配置中可以按照攻擊類型、風(fēng)險(xiǎn)等級(jí)、流行程度、操作系統(tǒng)、精選這幾種分類方式進(jìn)行選擇。每個(gè)庫中都是按組進(jìn)行劃分，選定一個(gè)組后可以選擇其動(dòng)作、記錄報(bào)文的選項(xiàng)。同時(shí)如果在實(shí)際環(huán)境中產(chǎn)生了誤報(bào)，可以根據(jù)誤報(bào)的事件號(hào)在規(guī)則集里進(jìn)行排除。n 如果對(duì)每個(gè)組內(nèi)的規(guī)則進(jìn)行詳細(xì)定制需要在進(jìn)入頁面時(shí)輸入規(guī)則名并點(diǎn)擊高級(jí)配置n 如果想要根據(jù)某條規(guī)則的編號(hào)或者名稱查找該規(guī)則，則可以直接在搜索框中輸入待查找規(guī)則的編號(hào)，也可以輸入該規(guī)則的名稱的全部或部分內(nèi)容。n 注：如果要根據(jù)規(guī)則名稱進(jìn)行查找的話，則要注意輸入的內(nèi)容包含空格的

28、話，則設(shè)備會(huì)按照空格將輸入的內(nèi)容分成多部分進(jìn)行查找。n 例如：輸入搜索內(nèi)容為“CVE-1999-1511”，則搜索后會(huì)將名稱中包含“CVE-1999-1511”的所有策略都列出來攻擊檢測(cè)規(guī)則配置攻擊檢測(cè)規(guī)則配置病毒檢測(cè)策略配置第一步，配置病毒檢測(cè)規(guī)則選擇需要檢測(cè)選擇需要檢測(cè)的服務(wù)類型的服務(wù)類型選擇處理動(dòng)作選擇處理動(dòng)作病毒檢測(cè)策略配置舉例病毒檢測(cè)策略配置舉例第二步，在入侵防御策略中引用病毒檢測(cè)規(guī)則選擇之前添加的病選擇之前添加的病毒檢測(cè)規(guī)則毒檢測(cè)規(guī)則病毒檢測(cè)策略配置舉例病毒檢測(cè)策略配置舉例病毒檢測(cè)規(guī)則各類服務(wù)下阻斷動(dòng)作和警告動(dòng)作處理方式說明阻斷動(dòng)作阻斷動(dòng)作 警告動(dòng)作警告動(dòng)作 HTTP服務(wù)服務(wù) 斷開

29、訪問連接并且給WEB客戶端返回病毒提示 允許訪問，沒有病毒提示 FTP服務(wù)服務(wù) 斷開FTP傳輸連接，F(xiàn)TP客戶端沒有病毒提示 允許傳輸，沒有病毒提示 SMTP服務(wù)服務(wù) 發(fā)送的郵件中病毒文件被清除，給接收郵件客戶端插入病毒提示附件。允許發(fā)送，給接收郵件的客戶端插入病毒提示附件。 POP3服務(wù)服務(wù) 接收到的郵件中病毒文件被清除，給接收郵件客戶端插入病毒提示附件。 允許接收，給接收郵件的客戶端插入病毒提示附件。 病毒檢測(cè)策略配置舉例病毒檢測(cè)策略配置舉例n 在FTP服務(wù)病毒阻斷的動(dòng)作下，上傳或下載壓縮包文件中如果包含兩個(gè)以上病毒文件只能檢測(cè)出一個(gè)病毒。 n 在POP3/SMTP服務(wù)下，如果郵件客戶端接

30、收的壓縮文件中含有兩個(gè)以上病毒文件，提示附件只有一個(gè) 。n 在HTTP服務(wù)病毒阻斷的動(dòng)作下，如果HTTP服務(wù)器共享壓縮包文件中含有多個(gè)病毒，只能檢測(cè)出一個(gè)病毒 。n 在FTP服務(wù)下，阻斷動(dòng)作和警告動(dòng)作檢測(cè)出來的病毒相差四倍 ，因?yàn)樵谧钄鄤?dòng)作下FTP客戶端會(huì)嘗試下載或上傳連接三次，就是說同一個(gè)病毒文件上傳或下載會(huì)被連續(xù)阻斷4次，所以在在FTP服務(wù)下，阻斷動(dòng)作和警告動(dòng)作檢測(cè)出來的病毒相差四倍 。注意事項(xiàng)應(yīng)用識(shí)別規(guī)則應(yīng)用識(shí)別規(guī)則配置應(yīng)用識(shí)別規(guī)則配置n 用戶根據(jù)需要添加應(yīng)用識(shí)別規(guī)則，在應(yīng)用識(shí)別規(guī)則頁面中點(diǎn)擊“添加”按鈕，就會(huì)進(jìn)入添加頁面。輸入規(guī)則集的名稱，選擇需要的協(xié)議、動(dòng)作，點(diǎn)擊確定即可生成規(guī)則。n

31、 在入侵防御策略中引用應(yīng)用識(shí)別規(guī)則后，規(guī)則生效。應(yīng)用識(shí)別規(guī)則配置應(yīng)用識(shí)別規(guī)則配置n 進(jìn)行配置時(shí)需要注意的事項(xiàng)。應(yīng)用識(shí)別規(guī)則配置應(yīng)用識(shí)別規(guī)則配置n支持對(duì)即時(shí)通訊軟件QQ和MSN進(jìn)行帳號(hào)過濾。首先要在應(yīng)用識(shí)別規(guī)則中選擇QQ登錄/MSN登錄，并且設(shè)置動(dòng)作為帳號(hào)過濾，這樣添加的帳號(hào)過濾規(guī)則才能生效。n系統(tǒng)對(duì)經(jīng)過過濾配置的賬號(hào)執(zhí)行相應(yīng)設(shè)置的操作；對(duì)于未經(jīng)過過濾配置的賬號(hào)則執(zhí)行應(yīng)用識(shí)別規(guī)則中賬號(hào)過濾的配置操作。應(yīng)用識(shí)別規(guī)則配置應(yīng)用識(shí)別規(guī)則配置n 除了系統(tǒng)自帶的應(yīng)用識(shí)別規(guī)則庫，用戶可以根據(jù)自己的需要自行定義應(yīng)用協(xié)議。設(shè)置好的自定義應(yīng)用協(xié)議會(huì)自動(dòng)添加到系統(tǒng)規(guī)則庫，供用戶在設(shè)置應(yīng)用識(shí)別規(guī)則時(shí)引用。n 用戶在添加

32、應(yīng)用識(shí)別規(guī)則時(shí)，選擇自定義協(xié)議即可進(jìn)行引用。應(yīng)用識(shí)別規(guī)則配置應(yīng)用識(shí)別規(guī)則配置n 疑似P2P功能作為應(yīng)用識(shí)別規(guī)則下的P2P下載的補(bǔ)充，通過設(shè)置自定義參數(shù)，來判定主機(jī)是否發(fā)生疑似P2P事件。URL過濾策略配置URL白名單配置輸入白名單地址輸入白名單地址URL過濾策略配置舉例過濾策略配置舉例URL黑名單配置定義黑名單地址定義黑名單地址URL過濾策略配置舉例過濾策略配置舉例黑白名單配置注意事項(xiàng)：n匹配順序是黑名單、白名單、URL規(guī)則庫 n黑白名單可以模糊匹配，例如黑名單中添加后，就無法訪問http:/和http:/這些包含地址了 n黑白名單也支持精確匹配，如果輸入,只匹配，不會(huì)匹配黑名單輸入黑名單輸入

33、 象象或或這這些包含些包含都會(huì)被匹配。白名都會(huì)被匹配。白名單同樣支持模糊匹配單同樣支持模糊匹配選擇精確匹配選擇精確匹配選擇精確匹配后，只會(huì)選擇精確匹配后，只會(huì)匹配匹配不會(huì)不會(huì)匹配匹配。白名單同理。白名單同理。URL過濾策略配置舉例過濾策略配置舉例第一步，添加URL過濾規(guī)則引用白名單引用白名單定義定義URLURL過濾規(guī)則中過濾規(guī)則中URLURL大分類動(dòng)作大分類動(dòng)作引用黑名單引用黑名單設(shè)置阻斷動(dòng)作設(shè)置阻斷動(dòng)作處理方式處理方式URL過濾策略配置舉例過濾策略配置舉例第二步，在入侵防御策略中引用URL過濾規(guī)則選擇選擇URLURL過濾規(guī)則過濾規(guī)則URL過濾策略配置舉例過濾策略配置舉例URL過濾統(tǒng)計(jì)過濾統(tǒng)計(jì)

34、URL過濾統(tǒng)計(jì)過濾統(tǒng)計(jì)點(diǎn)擊點(diǎn)擊URLURL類型名稱能夠查類型名稱能夠查看到訪問源看到訪問源IPIP地址地址點(diǎn)擊訪問源主機(jī)點(diǎn)擊訪問源主機(jī)IPIP可可以查看到該主機(jī)訪問以查看到該主機(jī)訪問哪些類型哪些類型URLURL網(wǎng)站網(wǎng)站網(wǎng)站防護(hù)WEB掃描配置掃描配置輸入掃描網(wǎng)站地址，格輸入掃描網(wǎng)站地址，格式為式為URLURL格式，輸入域格式，輸入域名或名或IPIP地址地址選擇掃描速度選擇掃描速度輸入并發(fā)連接數(shù)（輸入并發(fā)連接數(shù)（1-101-10）輸入掃描深度（輸入掃描深度（1-151-15），最），最多支持多支持1515級(jí)目錄掃描級(jí)目錄掃描選擇掃描文件類型選擇掃描文件類型掃描主機(jī)輸入的是URL,內(nèi)容包括協(xié)議htt

35、p、服務(wù)器的IP地址或域名，例如http:/ 或，需要注意的是無法指定掃描服務(wù)器子目錄資源，例如http:/ 或 /view，如果輸入該URL掃描依然會(huì)從服務(wù)器的根目錄進(jìn)行掃描。WEB掃描配置注意事項(xiàng)掃描配置注意事項(xiàng)WEB掃描統(tǒng)計(jì)掃描統(tǒng)計(jì)點(diǎn)擊點(diǎn)擊WEBWEB掃描結(jié)果查看按掃描結(jié)果查看按鈕進(jìn)行掃描結(jié)果查看鈕進(jìn)行掃描結(jié)果查看點(diǎn)擊保存按鈕，將點(diǎn)擊保存按鈕，將webweb掃掃描結(jié)果從設(shè)備上導(dǎo)出描結(jié)果從設(shè)備上導(dǎo)出網(wǎng)頁防篡改網(wǎng)頁防篡改n網(wǎng)頁防篡改策略分為兩種防御方式，在線監(jiān)控和離線監(jiān)控?？梢陨?0條網(wǎng)頁防篡改策略，每條策略中可以保護(hù)最大

36、5000個(gè)網(wǎng)頁，每個(gè)網(wǎng)頁最大10M，最多可以保護(hù)5級(jí)目錄深度，單條策略保護(hù)網(wǎng)站總大小不超過1G。n數(shù)字水?。篿dp從ftp服務(wù)器上下載網(wǎng)站的所有文件在本地生成指紋庫（其實(shí)是將下載下來的文件記錄一個(gè)文件總長(zhǎng)度并算出一個(gè)md5值存放在本地）n離線監(jiān)控：按照配置里的根路徑檢查間隔和非根路徑檢查間隔對(duì)后臺(tái)網(wǎng)頁進(jìn)行輪詢比對(duì)數(shù)字水印，如果發(fā)現(xiàn)網(wǎng)頁被篡改，則根據(jù)設(shè)置的動(dòng)作進(jìn)行執(zhí)行。勾選離線監(jiān)控后復(fù)選框里還有一個(gè)參數(shù)為不監(jiān)控文件類型，因?yàn)樵谏缃皇降木W(wǎng)絡(luò)環(huán)境當(dāng)中某些文件總是在改變的，例如數(shù)據(jù)庫文件，后臺(tái)圖片文件等等。當(dāng)啟用離線監(jiān)控時(shí)必須排除這些總在變化的文件，只需填入后綴名并以逗號(hào)分開即可。n在線監(jiān)控：只支持部

37、分文件的監(jiān)控操作，需要在復(fù)選框內(nèi)填寫在線文件監(jiān)控類型。和離線監(jiān)控一樣，只需填寫文件后綴并以逗號(hào)分割。在線監(jiān)控可以實(shí)現(xiàn)多個(gè)域名對(duì)應(yīng)于單個(gè)實(shí)際網(wǎng)站節(jié)點(diǎn)的防篡改控制，例如：和兩個(gè)域名都指向同一個(gè)服務(wù)器路徑上的情況。網(wǎng)頁防篡改網(wǎng)頁防篡改 后臺(tái)網(wǎng)站的根目錄必須處在一個(gè)ftp目錄下，并且要為idp在ftp上設(shè)置一個(gè)用戶，可以對(duì)該目錄上的所有文件都有上傳、下載、覆蓋原文件的權(quán)限。設(shè)備是通過管理口地址和后臺(tái)ftp服務(wù)器進(jìn)行指紋庫獲取的。這里就涉及到一個(gè)權(quán)限分配的問題，我們建立客戶可以將ftp用戶和web管理員用戶劃到同一個(gè)組里，并且將網(wǎng)站根目錄所在文件夾的所屬組規(guī)定為這個(gè)組。而將訪問用戶設(shè)置為其它人權(quán)限。網(wǎng)頁

38、防篡改網(wǎng)頁防篡改網(wǎng)頁防篡改網(wǎng)頁防篡改n配置好所有參數(shù)后，設(shè)備會(huì)自動(dòng)去ftp上下載所有文件，由于是異步方式，下載時(shí)間會(huì)很長(zhǎng)，在這段時(shí)間內(nèi)，是不會(huì)進(jìn)行防篡改保護(hù)的。只有當(dāng)所有文件全部下好之后才會(huì)啟動(dòng)防篡改控制。所以在客戶的環(huán)境下演示時(shí)一定要保證后臺(tái)已經(jīng)完全下載完全部的網(wǎng)頁文件再開始驗(yàn)證其功能。n在指紋庫里可以隨時(shí)對(duì)單個(gè)文件進(jìn)行恢復(fù)，刪除，更新的操作網(wǎng)頁防篡改網(wǎng)頁防篡改n 注：現(xiàn)在只是簡(jiǎn)單的實(shí)現(xiàn)對(duì)靜態(tài)頁面的防篡改，對(duì)于動(dòng)態(tài)頁面的網(wǎng)站，例如：新聞網(wǎng)、論壇、帶web-cgi腳本的網(wǎng)頁無法進(jìn)行有效的防篡改。并且對(duì)網(wǎng)站主頁例如訪問http:/ 在網(wǎng)絡(luò)狀況出現(xiàn)異常時(shí)，網(wǎng)絡(luò)狀態(tài)的顏色卡會(huì)變紅。大致狀況分為兩種。

39、1. 后臺(tái)ftp服務(wù)器無法連接或者超時(shí)（這時(shí)是無法生成指紋庫的）2. 指紋庫過大導(dǎo)致不能對(duì)所有文件進(jìn)行保護(hù)（雖然不能對(duì)所有文件進(jìn)行保護(hù)，但是只要是指紋庫里有的文件，該策略依然生效）n 在線防護(hù)時(shí)，如果動(dòng)作選擇為恢復(fù)和記錄日志。而后臺(tái)網(wǎng)頁被篡改時(shí)，第一次訪問被篡改網(wǎng)頁會(huì)看到被篡改后的網(wǎng)頁，第二次進(jìn)行訪問時(shí)才能夠看到恢復(fù)后的頁面。如果要達(dá)到真正的禁止用戶訪問被篡改網(wǎng)頁并且要做到及時(shí)恢復(fù)的話，一定要同時(shí)選擇禁止和恢復(fù)。網(wǎng)頁防篡改網(wǎng)頁防篡改日志與報(bào)表日志設(shè)置日志設(shè)置n設(shè)置服務(wù)器地址，端口后，通過Syslog協(xié)議將日志傳送到已設(shè)定的日志服務(wù)器上。n記錄方式選擇自動(dòng)方式時(shí)，如果服務(wù)器斷線，被存儲(chǔ)的日志在檢

40、測(cè)到服務(wù)器在線的情況下將重新發(fā)送至日志服務(wù)器。n記錄方式選擇自動(dòng)方式+存儲(chǔ)硬盤方式時(shí)，如果服務(wù)器斷線后再上線，對(duì)于服務(wù)器不在線情況下記錄的日志不再重新發(fā)送至日志服務(wù)器。系統(tǒng)日志系統(tǒng)日志n 系統(tǒng)日志存儲(chǔ)在緩存中，最多存儲(chǔ)2048條，設(shè)備重啟后就消失了。n 可以通過關(guān)鍵字進(jìn)行查找。安全日志安全日志n 用戶可以自定義查詢條件，查找符合要求的日志。安全日志安全日志注意事項(xiàng)：n 設(shè)備無硬盤時(shí)，安全日志和應(yīng)用流量日志每種類型最多存儲(chǔ)10000條。重啟設(shè)備，原來記錄的安全日志還存在，緩存中的系統(tǒng)日志被清空。n 設(shè)備有硬盤時(shí)，安全日志和應(yīng)用流量日志每種類型最多可記錄30萬條，滿30萬條后清除早期的10%日志并

41、整理硬盤（大約剩余27萬條），然后記錄新的日志。攻擊報(bào)文取證攻擊報(bào)文取證n首先在添加攻擊檢測(cè)規(guī)則時(shí)，選擇記錄報(bào)文。n系統(tǒng)對(duì)匹配到規(guī)則的報(bào)文記錄其詳細(xì)內(nèi)容，將檢測(cè)到IPS攻擊、CC攻擊以及病毒攻擊事件的相關(guān)報(bào)文記錄下來保存到一個(gè).pcap文件中。n每條規(guī)則只產(chǎn)生一個(gè)攻擊報(bào)文文件，日期取最后一次攻擊發(fā)生的時(shí)間。報(bào)表手動(dòng)生成報(bào)表手動(dòng)生成n 手動(dòng)生成日、周、月報(bào)表，假設(shè)系統(tǒng)時(shí)間為2012-02-08，則日?qǐng)?bào)統(tǒng)計(jì)的是前一天24小時(shí)，即7日00:00:00至23:59:59；周報(bào)統(tǒng)計(jì)的是上一個(gè)自然周，即1月30日00:00:00至2月5日23:59:59；月報(bào)統(tǒng)計(jì)的是上一個(gè)自然月，即1月1日00:00:0

42、0至1月31日23:59:59。報(bào)表自動(dòng)生成報(bào)表自動(dòng)生成n 管理員可以選擇自動(dòng)報(bào)表的類型、統(tǒng)計(jì)內(nèi)容，配置報(bào)表自動(dòng)發(fā)送的時(shí)間。系統(tǒng)會(huì)在指定的時(shí)間自動(dòng)生成報(bào)表，通過郵件的方式發(fā)送給收件人。報(bào)表以附件形式存在。報(bào)警報(bào)警n 報(bào)警有三種方式：郵件報(bào)警，聲音報(bào)警，SNMP報(bào)警。n 在網(wǎng)絡(luò)管理-SNMP，設(shè)置陷阱主機(jī)，一定要重啟服務(wù)后，設(shè)置才能生效，SNMP報(bào)警才會(huì)觸發(fā)。n 為了節(jié)省系統(tǒng)資源，相同攻擊多次只有一次報(bào)警，以達(dá)到限制報(bào)警頻率的目的。目錄IPS系統(tǒng)安裝配置系統(tǒng)安裝配置TP系統(tǒng)安裝配置系統(tǒng)安裝配置典型實(shí)驗(yàn)案例典型實(shí)驗(yàn)案例TP概述概述TopPolicy是一套安全設(shè)備集中管理、策略集中管理、監(jiān)控系統(tǒng)和審

43、計(jì)系統(tǒng)。使企業(yè)和服務(wù)提供商集中高效的管理多達(dá)數(shù)千臺(tái)安全設(shè)備。集中進(jìn)行設(shè)備配置避免網(wǎng)絡(luò)中因設(shè)備策略不一致造成的潛在安全漏洞?？梢宰畲蟪潭鹊慕档团渲?，管理，監(jiān)控及維護(hù)設(shè)備的投入成本。是天融信公司網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSM）的重要組成部分。 TP系統(tǒng)構(gòu)成系統(tǒng)構(gòu)成TP服務(wù)器端和服務(wù)器端和TP管理的設(shè)備需要開放的服務(wù)端口如下圖所示管理的設(shè)備需要開放的服務(wù)端口如下圖所示TP安裝部署安裝部署TP安裝部署安裝部署 TPv8版本運(yùn)行的系統(tǒng)環(huán)境版本運(yùn)行的系統(tǒng)環(huán)境 TPv8版本服務(wù)器安裝版本服務(wù)器安裝 TPv8版本服務(wù)器證書配置版本服務(wù)器證書配置 NAT環(huán)境下的環(huán)境下的TPv8版本客戶端配置版本客戶端配置 TPv

44、8版本服務(wù)器初始化版本服務(wù)器初始化 TPv8版本配置備份恢復(fù)版本配置備份恢復(fù) TPv8版本服務(wù)器卸載版本服務(wù)器卸載 TPv8版本客戶端端證書配置版本客戶端端證書配置 TPv8版本服務(wù)器運(yùn)行進(jìn)程版本服務(wù)器運(yùn)行進(jìn)程 TPv8版本服務(wù)器無法正常啟動(dòng)原因版本服務(wù)器無法正常啟動(dòng)原因TP安裝部署安裝部署-TPv8系統(tǒng)環(huán)境系統(tǒng)環(huán)境TPv8服務(wù)器的運(yùn)行系統(tǒng)環(huán)境服務(wù)器的運(yùn)行系統(tǒng)環(huán)境1、win2003 server2、win2008 server3、win7 TPv8支持的客戶端瀏覽器支持的客戶端瀏覽器 1、IE6.02、IE7.03、IE8.0 在第一次安裝TPv8之前先要安裝以下兩個(gè)軟件 dotNetFx40

45、_Full_x86_x64.exe和dotNetFx40LP_Full_x86_x64zh-Hans.exe； 如果在在win2003 server下安裝需先安裝如下3個(gè)文件： WindowsServer2003-KB942288-v4-x86.exe WindowsServer2003-KB958655-v2-x86-ENU.exe wic_x86_chs.exeTP安裝部署安裝部署TPv8版本服務(wù)器安裝版本服務(wù)器安裝TP安裝部署安裝部署TPv8版本服務(wù)器安裝版本服務(wù)器安裝 TPv8安裝注意事項(xiàng)安裝注意事項(xiàng)在win2008server和win7系統(tǒng)下要以管理員身份運(yùn)行TPv8安裝程序進(jìn)行安裝

46、。在win2008server和win7系統(tǒng)下要以管理員身份運(yùn)行TopPolicy服務(wù)器和TopPolicy配置工具。 TP安裝部署安裝部署TPv8版本服務(wù)器安裝版本服務(wù)器安裝TP安裝部署安裝部署TP服務(wù)器證書配置服務(wù)器證書配置輸入服務(wù)器端輸入服務(wù)器端真實(shí)真實(shí)IPIP地址地址輸入服務(wù)器端輸入服務(wù)器端真實(shí)真實(shí)IPIP地址地址 非NAT環(huán)境下TP服務(wù)器證書配置TP安裝部署安裝部署TP服務(wù)器證書配置服務(wù)器證書配置輸入域名輸入域名輸入服務(wù)器端輸入服務(wù)器端真實(shí)真實(shí)IPIP地址地址 NAT環(huán)境下TP服務(wù)器證書配置TP安裝部署安裝部署NAT環(huán)境下的客戶端配置環(huán)境下的客戶端配置 TP服務(wù)器在NAT環(huán)境下部署示

47、意圖在C:WindowsSystem32driversetc找到hosts文件,用記事本或者寫字板打開輸入輸入TPTP服務(wù)器服務(wù)器公網(wǎng)公網(wǎng)IPIP地址和地址和TPTP服務(wù)器域名服務(wù)器域名 NAT環(huán)境下TP客戶端配置(客戶端通過公網(wǎng)訪問)TP安裝部署安裝部署NAT環(huán)境下的客戶端配置環(huán)境下的客戶端配置在C:WindowsSystem32driversetc找到hosts文件,用記事本或者寫字板打開輸入輸入TPTP服務(wù)器服務(wù)器內(nèi)網(wǎng)內(nèi)網(wǎng)IPIP地址和地址和TPTP服務(wù)器域名服務(wù)器域名 NAT環(huán)境下TP客戶端配置(客戶端通過內(nèi)網(wǎng)訪問)TP安裝部署安裝部署NAT環(huán)境下的客戶端配置環(huán)境下的客戶端配置TP安裝

48、部署安裝部署TP服務(wù)器初始化服務(wù)器初始化輸入備份文件密碼輸入備份文件密碼TP安裝部署安裝部署TP配置備份配置備份輸入備份文件輸入備份文件密碼密碼TP安裝部署安裝部署TP配置恢復(fù)配置恢復(fù)TP安裝部署安裝部署TP服務(wù)器卸載服務(wù)器卸載TP安裝部署安裝部署TP瀏覽器端瀏覽器端Silverlight 安裝安裝運(yùn)行客戶端證運(yùn)行客戶端證書安裝程序書安裝程序點(diǎn)擊輔助工具點(diǎn)擊輔助工具運(yùn)行客戶端證運(yùn)行客戶端證書安裝程序書安裝程序選擇查看選擇查看CACA證書證書選擇是選擇是TP安裝部署安裝部署TP瀏覽器端證書配置瀏覽器端證書配置TP安裝部署安裝部署TP服務(wù)器運(yùn)行進(jìn)程服務(wù)器運(yùn)行進(jìn)程 TP服務(wù)器后臺(tái)運(yùn)行進(jìn)程分別是htt

49、pd.exe TPserver.exe nserver.exe mysql.exe設(shè)備管理-添加設(shè)備 添加設(shè)備時(shí)，針對(duì)不同的產(chǎn)品，選擇相對(duì)應(yīng)的設(shè)備類型設(shè)備管理-設(shè)備上線檢測(cè)TP提供了兩種檢測(cè)設(shè)備在線的方式。 TP主動(dòng)探測(cè)。對(duì)于不使用VPN模塊的產(chǎn)品，添加設(shè)備時(shí)應(yīng)該選擇主動(dòng)探測(cè)設(shè)備在線。 設(shè)備主動(dòng)注冊(cè)。對(duì)于要使用vpn功能模塊的產(chǎn)品，添加設(shè)備時(shí)應(yīng)該選擇主動(dòng)注冊(cè)。主動(dòng)注冊(cè)的設(shè)備，設(shè)備上需要設(shè)置TP的注冊(cè)地址。設(shè)備管理-日志解析不同的產(chǎn)品類型，如果選擇的日志類型有誤，那設(shè)備日志的查詢功能將查詢不到設(shè)備的日志記錄。因?yàn)槿罩绢愋湾e(cuò)誤，解析日志失敗，導(dǎo)致日志無法入庫。注意：更改日志解析方式后，注意：更改日

50、志解析方式后，TP server需要重啟才能生效需要重啟才能生效。設(shè)備管理-配置獲取和恢復(fù)不同的產(chǎn)品類型，配置獲取和恢復(fù)的方式不同，設(shè)備支持命令行連接協(xié)議（telnet，ssh，xdoc）；設(shè)備管理-獲取版本號(hào) 開啟獲取版本功能 開啟命令行連接協(xié)議設(shè)備管理-TOS 證書此功能項(xiàng)主要是針對(duì)TOS3.3.005版本（含）以后設(shè)備，在TP中添加包含此功能項(xiàng)類型設(shè)備后，如果設(shè)備IP、用戶名、密碼設(shè)置正確，且在設(shè)備上開啟了GUI服務(wù)，則TP會(huì)將設(shè)備證書自動(dòng)更新到設(shè)備的本機(jī)證書中，并將設(shè)備的TP主、從服務(wù)器注冊(cè)地址分別修改為TP服務(wù)器設(shè)置中IP地址和IP地址2，從而使設(shè)備在TP中自動(dòng)注冊(cè)上線。 設(shè)備配置管

51、理設(shè)備配置管理 手動(dòng)獲取設(shè)備配置 自動(dòng)獲取設(shè)備配置首先需要明白的是通過什么方式獲取設(shè)備的配置 1.命令行 2.xdoc其次就是獲取到了配置后，可以在哪看到獲取的配置 1.設(shè)備首頁-管理工具 2. TopPolicyTPServerDevCfg保留最新的配置設(shè)備配置管理-流程圖設(shè)備配置管理-手動(dòng)獲取 設(shè)備首頁-管理工具-配置管理-獲?。钚羞B接協(xié)議的方式）設(shè)備配置管理-自動(dòng)獲取 建立計(jì)劃任務(wù)，選擇設(shè)備，確定調(diào)度時(shí)間，到了調(diào)度時(shí)間windows計(jì)劃任務(wù)就會(huì)執(zhí)行，設(shè)備配置獲取。設(shè)備配置管理-查看配置 方法一.通過設(shè)備首頁的管理工具中雙擊配置文件 方法二.在tp server的安裝DevCfg目錄下

52、查看最新配置設(shè)備配置管理-注意事項(xiàng) 明確設(shè)備類型中，獲取配置的方式 明確使用的命令行連接協(xié)議，設(shè)備上應(yīng)該對(duì)應(yīng)的開啟相應(yīng)的服務(wù)版本、配置的歷史記錄 通過版本和配置的變更提示，使管理人員實(shí)時(shí)跟蹤設(shè)備變化首先需要啟用升級(jí)檢測(cè)和配置檢測(cè)功能其次啟用獲取版本和配置功能，以及方式版本、配置變更-流程圖版本、配置變更-系統(tǒng)參數(shù)設(shè)置 在系統(tǒng)參數(shù)中啟用升級(jí)檢測(cè)和配置檢測(cè)版本、配置變更-歷史記錄 在設(shè)備首頁管理工具-版本歷史中查看版本歷史記錄版本、配置變更-確認(rèn) 在歷史記錄中，選擇確認(rèn)，取消設(shè)備列表中的提示版本、配置變更-確認(rèn)變更確認(rèn)前確認(rèn)后版本、配置變更-注意事項(xiàng)u配置檢測(cè)在TP上的配置與獲取配置時(shí)的配置一樣u

53、設(shè)備上開啟的服務(wù)要和版本檢測(cè)使用的方式一致SNMP監(jiān)控 設(shè)備首頁-基本信息 設(shè)備首頁-網(wǎng)絡(luò)設(shè)置 設(shè)備首頁-接口監(jiān)控 性能監(jiān)控 接口監(jiān)控SNMP監(jiān)控-流程圖SNMP監(jiān)控-監(jiān)控設(shè)置 在使用snmp監(jiān)控設(shè)備的相關(guān)信息時(shí)，一定要有設(shè)備的mib節(jié)點(diǎn)，并且TP上填寫的節(jié)點(diǎn)信息要和設(shè)備相匹配SNMP監(jiān)控-基本信息 設(shè)備相關(guān)信息 許可證信息 系統(tǒng)狀態(tài) 接口狀態(tài)SNMP監(jiān)控-網(wǎng)絡(luò)設(shè)置獲取設(shè)備的ARP表獲取設(shè)備的路由表SNMP監(jiān)控-接口監(jiān)控 監(jiān)控設(shè)備接口狀態(tài) 監(jiān)控設(shè)備接口流量SNMP監(jiān)控-性能監(jiān)控 監(jiān)控設(shè)備的cpu，內(nèi)存以及連接數(shù)等信息SNMP監(jiān)控-注意事項(xiàng)u設(shè)備連接數(shù)信息，設(shè)備CPU信息，設(shè)備內(nèi)存信息，連接數(shù)趨

54、勢(shì)，像這些監(jiān)控信息，需要選擇設(shè)備。SNMP監(jiān)控-接口監(jiān)控u 注意：設(shè)備接口信息列表，設(shè)備接口流量注意：設(shè)備接口信息列表，設(shè)備接口流量TOPN，設(shè)備接口速率，這些信，設(shè)備接口速率，這些信息需要選擇設(shè)備息需要選擇設(shè)備SNMP監(jiān)控-注意事項(xiàng) 設(shè)備類型中的snmp節(jié)點(diǎn)信息一定要跟設(shè)備上的一致 Snmp管理主機(jī)要設(shè)置，community和TP上設(shè)置一致 性能監(jiān)控和接口監(jiān)控時(shí)，確認(rèn)設(shè)備加入到SNMP監(jiān)控Netflow監(jiān)控 TopPolicy根據(jù)接收到的Netflow流量數(shù)據(jù)，對(duì)任何支持Netflow流量數(shù)據(jù)采集的設(shè)備進(jìn)行Netflow流量監(jiān)控 使用NETFLOW需要開啟設(shè)備的NETFLOW流量發(fā)送功能，并

55、把發(fā)送地址指向TP服務(wù)器 TopsecOS# system netflow show netflow server ipaddr 62 netflow server port 9991 netflow transfer protocol UDP netflow transfer option enableNetflow監(jiān)控-監(jiān)控?cái)?shù)據(jù)列表 監(jiān)控設(shè)備連接以及應(yīng)用協(xié)議流量分布情況監(jiān)控閥值報(bào)警 監(jiān)控閥值報(bào)警是指TP將被監(jiān)控設(shè)備的性能監(jiān)控信息與閥值報(bào)警規(guī)則進(jìn)行匹配，如果匹配成功就觸發(fā)報(bào)警。所以首先要取得設(shè)備的性能監(jiān)控?cái)?shù)據(jù)。監(jiān)控閥值報(bào)警-流程圖監(jiān)控閥值報(bào)警-報(bào)警方式TP現(xiàn)有的報(bào)警方

56、式：snmp ：TP把自己的報(bào)警信息trap給其它的第三方 Winpop：通過windows的消息服務(wù)把報(bào)警信息發(fā)給指定的PC管理器：管理器：指定那些管理員可以看到實(shí)時(shí)報(bào)警信息手機(jī)短信：手機(jī)短信：把TP的報(bào)警信息以短信方式發(fā)送給指定的管理員或手機(jī)號(hào)碼郵件報(bào)警：郵件報(bào)警：把TP的報(bào)警信息以短信方式發(fā)送給指定的管理員或郵箱上下級(jí)服務(wù)器：上下級(jí)服務(wù)器：把報(bào)警信息發(fā)送給級(jí)聯(lián)的上下級(jí)服務(wù)器外部的應(yīng)用程序：外部的應(yīng)用程序：當(dāng)報(bào)警信息被觸發(fā)時(shí)，TP會(huì)調(diào)用TP服務(wù)器上的其它的應(yīng)用程序去行，這個(gè)應(yīng)用程序是用戶可以設(shè)定的可執(zhí)行文件，感覺這種報(bào)警方式最為靈活。監(jiān)控閥值報(bào)警-監(jiān)控列表 將設(shè)備加入SNMP監(jiān)控加入SNM

57、P監(jiān)控前加入SNMP監(jiān)控后監(jiān)控閥值報(bào)警-添加規(guī)則有四個(gè)屬性值，選擇邏輯操作“與”時(shí)，設(shè)置的條件都要滿足才能觸發(fā)報(bào)警；選擇邏輯操作“或”時(shí)，只要有一個(gè)條件滿足就可以觸發(fā)報(bào)警。監(jiān)控閥值報(bào)警-注意事項(xiàng) TP是通過snmp獲取設(shè)備性能數(shù)據(jù)，存入數(shù)據(jù)庫中，然后匹配報(bào)警規(guī)則，所以設(shè)備需要設(shè)置snmp管理主機(jī)，并開放snmp服務(wù) 只有在配置的報(bào)警時(shí)間內(nèi)，安全事件滿足觸發(fā)條件時(shí)才進(jìn)行報(bào)警日志審計(jì)日志審計(jì) 日志管理 如何判斷設(shè)備日志是否入庫 收集設(shè)備日志的注意事項(xiàng) 日志查詢 日志導(dǎo)出 報(bào)表管理 設(shè)備日志備份恢復(fù)日志審計(jì)日志審計(jì)-日志管理日志管理 支持日志格式：SYSLOG格式 設(shè)置查詢條件，對(duì)系統(tǒng)日志和設(shè)備日志

58、進(jìn)行查詢 列表方式顯示查詢的日志信息 查詢到的日志可根據(jù)列名進(jìn)行排序 查詢結(jié)果可以批量導(dǎo)出，文件格式為txt、CSV 系統(tǒng)日志可轉(zhuǎn)發(fā) （1）在設(shè)備日志設(shè)置中需要配置）在設(shè)備日志設(shè)置中需要配置：日志審計(jì)日志審計(jì)-設(shè)備日志接收設(shè)備日志接收服務(wù)器端口為514輸入TP服務(wù)器IP地址傳輸類型選擇syslog選擇日志級(jí)別選擇需要收集日志類型 （2）將所要接收的日志設(shè)備加入到接收日志設(shè)備列表。）將所要接收的日志設(shè)備加入到接收日志設(shè)備列表。 需要特別注意的是：設(shè)備上的時(shí)間要與需要特別注意的是：設(shè)備上的時(shí)間要與TP服務(wù)器端的服務(wù)器端的時(shí)間同步。如果不同步會(huì)影響到日志查詢的準(zhǔn)確性和報(bào)時(shí)間同步。如果不同步會(huì)影響到日

59、志查詢的準(zhǔn)確性和報(bào)表數(shù)據(jù)的準(zhǔn)確性。表數(shù)據(jù)的準(zhǔn)確性。日志審計(jì)日志審計(jì)-設(shè)備日志接收設(shè)備日志接收顯示該設(shè)備是否正在顯示該設(shè)備是否正在接收設(shè)備日志接收設(shè)備日志日志審計(jì)日志審計(jì)如何判斷設(shè)備日志是否入庫如何判斷設(shè)備日志是否入庫 首先判斷設(shè)備日志是否從設(shè)備上發(fā)送到TP服務(wù)器端，可以用抓包工具在TP服務(wù)器端來檢查！端口號(hào)是514。日志審計(jì)日志審計(jì)如何判斷設(shè)備日志是否入庫如何判斷設(shè)備日志是否入庫 在保證設(shè)備日志已發(fā)送到TP服務(wù)器端前提下判斷設(shè)備日志是否入庫的方法：方法一、在TP設(shè)備日志管理界面中查詢?cè)O(shè)備日志，查詢的時(shí)間范圍要包含到設(shè)備日志的時(shí)間，看看是否能夠查詢到設(shè)備日志日志審計(jì)日志審計(jì)如何判斷設(shè)備日志是否入庫如何判斷設(shè)備日志是否入庫方法二、在數(shù)據(jù)庫安裝目錄下找到runtime_db文件夾，進(jìn)入該文件夾找到dev_log_table1.MYD，看該文件的大小是否有變化，看該文件的修改時(shí)間是否是最近時(shí)刻。日志審計(jì)日志審計(jì)如何判斷設(shè)備日志是否入庫如何判斷設(shè)備日志是否入庫方法三、在DOS模式下進(jìn)入mysql數(shù)據(jù)庫命令：E:Program FilesTopsecTopPol