售后培訓-天融信入侵防御產(chǎn)品配置與維護(V5)-20121010

中國信息安全領(lǐng)導企業(yè)天融信IPS產(chǎn)品配置與維護February7,2023北京天融信科技有限公司目錄IPS系統(tǒng)安裝配置TP系統(tǒng)安裝配置典型實驗案例

網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)是集訪問控制、應(yīng)用識別、漏洞攻擊防御、蠕蟲檢測、報文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備，為用戶提供整體的立體式網(wǎng)絡(luò)安全防護。與現(xiàn)在市場上的入侵防御系統(tǒng)相比，TopIDP系列入侵防御系統(tǒng)具有更高的性能、更細的安全控制粒度、更深的內(nèi)容攻擊防御、更大的功能擴展空間、更豐富的服務(wù)和協(xié)議支持，代表了最新的網(wǎng)絡(luò)安全設(shè)備和解決方案發(fā)展方向。五合一防護DoS/DDoS入侵防御應(yīng)用管控URL過濾卡巴斯基流病毒查殺特色功能萬兆網(wǎng)絡(luò)支持WAF增值IPv6環(huán)境產(chǎn)品介紹設(shè)備部署拓撲設(shè)備界面介紹Console配置接口MGMT管理接口IP：Mask：HA連接接口設(shè)備運行指示燈指示燈名稱指示燈狀態(tài)描述工作燈（Run）當入侵防御系統(tǒng)進入工作狀態(tài)時，工作燈閃爍。主從燈（M/S）主從燈亮的時候，代表這臺設(shè)備是工作設(shè)備；反之，如果主從燈處于熄滅狀態(tài)，則該入侵防御系統(tǒng)工作在備份模式。管理燈（MGMT）當網(wǎng)絡(luò)管理員，如安全審計管理員，登錄入侵防御系統(tǒng)時，管理燈點亮。日志燈（Log）當有日志記錄動作發(fā)生時，且前后兩次日志記錄發(fā)生的時間間隔超過1秒鐘時，日志燈會點亮。擴展模塊插槽

參考《TOPSEC擴展模塊安裝手冊》上線流程環(huán)境了解

線下配置空載上線加載需求功能驗證防御效果設(shè)備安裝部署位置依據(jù)設(shè)備的使用目的選擇相應(yīng)的安裝位置根據(jù)安裝位置環(huán)境對設(shè)備進行軟硬件配置接口類型根據(jù)網(wǎng)絡(luò)設(shè)備部署位置配置不同的接口模塊安裝環(huán)境PC一臺擁有COM連接口具有超級終端等遠程操作程序Console線纜隨機附贈相應(yīng)的網(wǎng)絡(luò)線纜/接口卡/模塊系統(tǒng)升級補丁升級簽名庫準備工具Console登錄ID：supermanPWD:talentConsole端操作雖然Console端可以對設(shè)備進行完整配置，但是我們建議操作在WebUI下完成。在設(shè)備上線前，對設(shè)備管理配置可在console端完成：管理接口配置

命令行語法如下：networkinterface<string>

ipadd<ipaddress>mask<netmask>參數(shù)說明：string：網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)物理接口名稱，字符串，例如eth0。管理范圍配置命令行語法如下：定義IP：definehostaddname

<string>ipaddr

<ipaddress>定義子網(wǎng)：definesubnetaddname<string>ipaddr<ipaddress>mask<netmask>定義地址范圍：definerangeaddname<string>ip1<ipaddress>ip2<ipaddress>參數(shù)說明：string：資源名稱，字符串。WebUI管理ID：supermanPWD:talent默認管理：54系統(tǒng)監(jiān)視系統(tǒng)管理網(wǎng)絡(luò)管理流量管理資源管理入侵防御網(wǎng)站防護日志與報表配置培訓

系統(tǒng)監(jiān)視模塊對整個系統(tǒng)的基本狀態(tài)進行實時監(jiān)控，支持對系統(tǒng)總體及某一特定對象（如基于接口、協(xié)議、內(nèi)容或其他規(guī)則）通信量、連接數(shù)、網(wǎng)絡(luò)攻擊、應(yīng)用流量、帶寬等數(shù)據(jù)的采集、統(tǒng)計和顯示，用以滿足用戶對各種數(shù)據(jù)統(tǒng)計以及應(yīng)用層流量管理的需求。

這個模塊有9個子模塊：基本信息版本信息攻擊統(tǒng)計病毒統(tǒng)計應(yīng)用統(tǒng)計URL統(tǒng)計當前連接接口流量統(tǒng)計自定義統(tǒng)計系統(tǒng)監(jiān)視2基本信息注意事項：由于刷新頻率不同步會出現(xiàn)同一參數(shù)在不同頁面數(shù)據(jù)不一致的情況，系統(tǒng)資源和檢測統(tǒng)計數(shù)據(jù)差距不大，網(wǎng)絡(luò)接口瞬時速率會出現(xiàn)差別比較大的情況?；拘畔姹拘畔⒐艚y(tǒng)計單擊事件號能夠查看規(guī)則的詳細信息點擊主機IP可以查看該主機所受攻擊的詳細信息。攻擊統(tǒng)計注意事項：將內(nèi)網(wǎng)監(jiān)控的監(jiān)控級別設(shè)置為詳細，才能顯示主機排名。另外，如果主機監(jiān)控數(shù)達到最大值后，則不會顯示主機排名。因為受攻擊主機排名列表中的數(shù)據(jù)取自實時內(nèi)存，詳細信息的統(tǒng)計信息取自日志，所以會出現(xiàn)兩者數(shù)據(jù)不一致的情況。病毒統(tǒng)計頁面點擊病毒名稱查看病毒攻擊源點擊受病毒攻擊主機地址能夠查看到攻擊的病毒名稱病毒統(tǒng)計應(yīng)用統(tǒng)計點擊某應(yīng)用可以查看是哪些主機占用了該應(yīng)用協(xié)議的上下行流量。點擊主機IP可以查看該主機所占用應(yīng)用協(xié)議流量的詳細信息注意事項

若監(jiān)控范圍設(shè)為any時，IP記錄了客戶端和服務(wù)器兩個IP，每個IP記錄了上下行流量，這樣記錄了兩次，而應(yīng)用協(xié)議只記錄了一次上下行流量，因此所有IP上下行流量總和約為應(yīng)用協(xié)議上下行流量總和的2倍。當內(nèi)網(wǎng)監(jiān)控指定IP時，應(yīng)用排名中流量統(tǒng)計與詳細信息中主機流量基本相符。應(yīng)用統(tǒng)計URL統(tǒng)計點擊URL名稱可以查看哪些主機訪問了該類網(wǎng)站以及具體的訪問次數(shù)。點擊主機IP可以查看該主機訪問了哪類網(wǎng)站以及具體的訪問次數(shù)當前連接接口流量統(tǒng)計點擊具體接口，顯示該接口的詳細流量信息。自定義統(tǒng)計對設(shè)備接口流量狀況、安全區(qū)域內(nèi)的受攻擊狀況、病毒感染狀況、對應(yīng)用流量的使用狀況及內(nèi)主機訪問URL的狀況進行自定義查詢。系統(tǒng)管理雙機熱備---基本設(shè)置進入系統(tǒng)管理—>雙機熱備，進入雙機熱備的設(shè)置頁面身份：選擇主機時，默認的優(yōu)先級為254,；選擇從屬機時，默認的優(yōu)先級為100，當然優(yōu)先級可以手動更改地址：分為本地與對端，需要注意的是，這兩個地址必須在同一個網(wǎng)段心跳間隔：兩臺網(wǎng)絡(luò)衛(wèi)士設(shè)備互發(fā)通信報文的時間間隔。搶占：是指主網(wǎng)關(guān)宕機后，重新恢復(fù)正常工作時，是否重新奪回主網(wǎng)關(guān)的地位。優(yōu)先級相同的兩設(shè)備中不存在搶占，并且只有優(yōu)先級高設(shè)備搶占優(yōu)先級低的設(shè)備的主身份對端同步：從對端機同步配置到本機上本地同步：從本地機同步配置到對端上雙機熱備---基本設(shè)置

配置HA接口時，一定要將“ha-static”勾選，不然配置同步時會將該接口的信息覆蓋

配置物理接口其實VRID組就是用來選主備的，默認的情況下，所有的接口都是屬于VRID0的，我們可以創(chuàng)建一個VRID組（組號在1到255之間），組優(yōu)先級高的會優(yōu)先成為主，同時設(shè)備上也只能創(chuàng)建一個VRID組，后創(chuàng)建的VRID組會將前面創(chuàng)建的覆蓋掉fw36#haas-vrid1，在設(shè)備上創(chuàng)建vrid1，然后將通信接口加入到該組配置物理接口注意：目前我們的設(shè)備只支持AS模式。創(chuàng)建VRID組后，我們可以將接口加入到該組，如果加入到該組的某個接口down后，該組的優(yōu)先級就會變?yōu)?最好用設(shè)備上專用的HA口做雙機熱備設(shè)備處于standy時，接口不回復(fù)、轉(zhuǎn)發(fā)報文，所以不能用WEBUI登錄設(shè)備只有在配置正確完成后才能上架，不然在直連、交換模式下容易造成環(huán)路配置物理接口網(wǎng)絡(luò)管理鏈路聚合模塊的作用是使多個接口的流量匯聚到單條鏈路上，也能使單個接口收到的流量均衡的從多個接口發(fā)出，可以起到擴充鏈路帶寬和鏈路備份的作用。這個功能是topidpv5上新加的功能，設(shè)備上總共可以配置4條聚合鏈路，每條聚合鏈路上可以添加8個物理成員接口。負載均衡算法一共支持11個，分別根據(jù)不同的目標進行負載均衡，例如：根據(jù)源mac地址進行負載均衡，那么同一mac的流量只走聚合鏈路中的一個接口，不同mac的流量按照接口順序進行輪詢。其余算法的原理一樣鏈路聚合注：建立起來一個聚合鏈路，那么這個聚合鏈路就當作一個邏輯接口來看待，加入聚合鏈路的物理口，其本身的屬性都不生效了。目前聚合鏈路只支持交換和路由兩種模式，不支持直連，不能強制設(shè)定其雙工和速率，不能對其接口設(shè)定區(qū)域進行訪問控制鏈路聚合流量管理流量管理分為兩個部分：帶寬控制流量異常分布帶寬控制QOS策略屬性出廠時，是沒有任何QOS策略的，單擊添加，出現(xiàn)如上的頁面添加策略的名稱QOS策略可以同時控制上、下行帶寬，根據(jù)需要填寫在上、下行中可以選擇QOS的類型：1.策略獨享：當多條ACL引用同一策略獨享策略時，不同ACL之間的連接獨享限制帶寬與保證帶寬，同一ACL中的不同連接限制共享限制帶寬與保證帶寬2.獨享：當多條ACL引用同一獨享策略時，不同ACL之間的連接獨享限制帶寬與保證帶寬，同一ACL中的不同連接獨享限制帶寬與保證帶寬3.共享：匹配ACL的所有連接共享限制帶寬與保證帶寬4.受控：每個連接的帶寬不超過每主機限制帶寬，所有連接的帶寬之和不超過總限制帶寬優(yōu)先級：優(yōu)先級只在同種策略中才起效，接口的剩余帶寬優(yōu)先分配給優(yōu)先級高的鏈接。但前提是不高于限制帶寬優(yōu)先級有四個等級：特權(quán)、高、中、低

QOS策略屬性注意：1.當配置的QOS策略中有保證帶寬時，默認的優(yōu)先級為中，可以手動選擇特權(quán)或高；當只有限制帶寬時，優(yōu)先級只能為低，不可更改。同時受控類型的策略的優(yōu)先級也只能時低。2.只要上、下行中選的不是共享策略，那么其他三種策略可以互相搭配QOS策略屬性以下是關(guān)于優(yōu)先級實驗的截圖這是區(qū)域area_eth3中主機的下載速度。這是區(qū)域area_eth2中主機的下載速度（圖片中的兩個數(shù)據(jù)不是同時的）從上圖可以看出，接口剩余帶寬優(yōu)先分配給優(yōu)先級高的連接QOS策略創(chuàng)建好之后，必須在ACL中引用才能起作用如果ACL引用的策略帶有保證帶寬，那么我們必須要選擇區(qū)域，并且區(qū)域只包含一個接口，同時這個接口設(shè)置了有效帶寬同一QOS策略被不同ACL引用時，保證帶寬之和不能超過接口的有效帶寬其他的選項同ACL，這里不詳細詳述打開ACL的“選項”，點擊“高級”就可以看到創(chuàng)建的QOS策略。我們可以看到上面還有一個QOS選項，其實他和受控差不多，只不過他只能控制下載的速率，而不能控制上傳的速率對接口或協(xié)議相關(guān)的指標設(shè)制相應(yīng)的閥值并制定相應(yīng)的報警機制，檔統(tǒng)計值大于定值時報警流量異常檢測入侵防御在入侵防御策略的配置方面，策略的源和目的的配置與以前的v1版本相同，可以配置地址對象和區(qū)域?qū)ο蟆?/p>

入侵防御策略配置在規(guī)則集引用部分，和v3保持一致，依然采用單選的方式，而動作的執(zhí)行在規(guī)則集里進行單獨配置。

入侵防御策略配置入侵防御策略里引擎動作包括防火墻聯(lián)動、阻斷時禁止連接、阻斷時加入黑名單、輸出應(yīng)用識別所有日志、輸出url所有日志。防火墻聯(lián)動功能：僅在ids監(jiān)聽模式下有效，當配置好防火墻聯(lián)動的配置以后，需要在引擎里打開這個開關(guān)后才能正常向防火墻下發(fā)策略阻斷時禁止連接：當判斷出連接上存在攻擊時向客戶端/服務(wù)器雙方向發(fā)rst來關(guān)閉連接，不勾選時僅為丟包阻斷時加入黑名單：勾選時會將識別為攻擊特征的連接其中的源地址自動添加到黑名單，并啟用一個定時器，在這個定時器時間范圍內(nèi)此源地址無法穿過idp建立任何連接注：黑名單也可以手動設(shè)置，入侵防御策略后新加的選項就是添加黑名單，這種方式添加的黑名單是永久生效的，除非手動刪除輸出應(yīng)用識別和url日志：默認是只在判斷為阻斷的情況下進行記錄，如果勾選則只要匹配規(guī)則的都會進行記錄，因為記錄大量的日志會消耗大量的系統(tǒng)資源。

入侵防御策略配置--檢測引擎參數(shù)設(shè)置

入侵防御策略配置--檢測引擎參數(shù)設(shè)置引擎工作模式包括：檢測模式和優(yōu)先模式。檢測模式分為智能檢測和深度檢測：智能檢測：只檢測每個連接的前n個報文（n可以用戶指定），能夠起到很好的性能優(yōu)化作用。深度檢測：連接的所有通信報文都進行檢測，性能會有很大降低。

入侵防御策略配置--檢測模式優(yōu)先模式分為應(yīng)用優(yōu)先和安全優(yōu)先：應(yīng)用優(yōu)先：啟動軟件bypass功能，如果流量增大到檢測引擎無法處理的情況，則軟件bypass功能發(fā)揮作用，超出的流量不再上送引擎處理，直接轉(zhuǎn)發(fā)，當引擎能夠處理后，流量又上送引擎檢測。在性能優(yōu)化方面起到作用。保證了客戶的正常應(yīng)用，避免因處理能力導致的斷網(wǎng)。安全優(yōu)先：不啟動軟件bypass功能，如果流量超過檢測引擎處理能力，那么會出現(xiàn)丟包現(xiàn)象。

入侵防御策略配置--優(yōu)先模式協(xié)議支持協(xié)議支持的作用是針對用戶可能使用的非標準協(xié)議端口而起作用。如：HTTP8080或者FTP2121等。對應(yīng)的配置在WEBUI上“資源管理→協(xié)議”頁面中。本頁面中已經(jīng)預(yù)定義了絕大多數(shù)的應(yīng)用層協(xié)議及其標準服務(wù)端口。已經(jīng)預(yù)定義好的協(xié)議包括：ftp、ssh、telnet、smtp、dns、finger、http、pop2、pop3、sunrpc、auth、nntp、smb、imap、snmp、https、rlogin、rsh、mssql、oracle、mysql、oicp、irc。協(xié)議支持舉例說明：某用戶使用的HTTP服務(wù)器的服務(wù)端口為8080。那么，就需要在http協(xié)議對應(yīng)的修改頁面中的端口部分修改為8080這個端口號，當然也可以不刪除原有的80端口，而是寫入8080端口與原有的80端口同時存在，使用“,”分隔開就可以了。協(xié)議支持對某協(xié)議端口的配置還可以通過使用一些符號來達到靈活配置的目的。例如上面說到的如果同時存在HTTP80和HTTP8080的服務(wù)器的話，那么http協(xié)議端口中可以寫入“80,8080”來表示80和8080端口。同樣的還有另外兩個符號：“!”和“:”?！?”表示非，例如：“!80”表示除80端口以外的其余端口。“:”表示范圍，例如：“80:8000”表示從80到8000端口范圍內(nèi)所有端口號。協(xié)議支持注：協(xié)議支持頁面中不能增加新的協(xié)議，而只能通過修改系統(tǒng)預(yù)定義好的協(xié)議的端口號來實現(xiàn)該目的。修改完協(xié)議的端口號后，系統(tǒng)需要很短的一段時間來加載新的端口，一般時間為1、2秒鐘。協(xié)議支持和服務(wù)沒有任何關(guān)系，協(xié)議支持只對ips檢測起作用協(xié)議支持設(shè)備第一次上線建議使用智能檢測和應(yīng)用優(yōu)先模式入侵防御策略也是按照從上向下后的順序進行匹配的，而且是按照源地址、源區(qū)域、目的地址、目的區(qū)域、時間五元組來進行匹配，按照最先匹配上的策略的規(guī)則和動作進行處理，不會再向下進行策略的匹配了。

例如：配置兩條入侵防御策略，地址部分相同，但策略1引用的規(guī)則集為木馬攻擊，策略2引用的規(guī)則集為HTTP類攻擊。

當有一個符合這兩條策略地址部分的HTTP類攻擊經(jīng)過設(shè)備檢測的時候，會先匹配策略1，地址部分匹配上以后，就不會再向后匹配了，直接按照策略1的木馬攻擊類進行檢測，當然無法檢測到該攻擊。

所以，要檢測同樣地址部分的兩類攻擊，上述的兩條策略的配置是無法實現(xiàn)的，正確的方法應(yīng)該只配置一條策略，在規(guī)則集中引用兩類攻擊的規(guī)則集。注意事項DDoS防御DDoS防御包括DDoS防御、CC攻擊防護、連接數(shù)限制、主機防護（syn_cookie）4個模塊。DDoS配置選擇需要防御的DDoS類型選擇閥值優(yōu)先級添加受保護對象閥值優(yōu)先級閥值優(yōu)先級分為服務(wù)器優(yōu)先和單機優(yōu)先（只對統(tǒng)計型攻擊和DNS,DHCP-FLOOD和CC攻擊生效）。服務(wù)器優(yōu)先時：設(shè)備將對每秒攻擊目標主機數(shù)統(tǒng)計，若大于服務(wù)器閥值，設(shè)備將會進行單機閥值統(tǒng)計（統(tǒng)計源和目標地址），若大于單機閥值則阻斷后續(xù)為該源地址的攻擊。單機優(yōu)先時：服務(wù)器閥值無效，設(shè)備直接進入單機閥值統(tǒng)計（統(tǒng)計源和目標地址），當源地址的攻擊數(shù)超過單機閥值，則阻斷后續(xù)為該源地址的攻擊。無論是服務(wù)器優(yōu)先，還是單機優(yōu)先，當每秒鐘連接數(shù)超過服務(wù)器高壓閥值，后續(xù)攻擊都將被阻斷。DDoS防御DDoS自學習開啟自學習功能，系統(tǒng)能根據(jù)當前網(wǎng)絡(luò)環(huán)境流量在設(shè)置的時間范圍內(nèi)進行分析從而自動調(diào)整閾值至符合當前網(wǎng)絡(luò)狀況的值，并以“自學習結(jié)果”的形式顯示。DDoS防御CC攻擊CC攻擊是模擬多個用戶不停的訪問Web服務(wù)器上那些需要大量數(shù)據(jù)操作（即需要CPU長時間處理)的頁面，進而導致Web服務(wù)器CPU長時間高負荷運轉(zhuǎn)直至宕機，以達到攻擊目的。CC特性：CC目前支持IPV4和V6下的攻擊，目前支持的請求方法為get,post,head,且TCP標志位PUSH需置位。CC配置DDoS防御連接數(shù)限制連接數(shù)限制分為主機、子網(wǎng)、范圍連接數(shù)限制，除了保護對象范圍不一樣外，三者都是針對源地址進行并發(fā)連接數(shù)限制的，其中主機連接數(shù)限制比子網(wǎng)、范圍多了一個并發(fā)半連接數(shù)限制。并發(fā)連接數(shù)：同一時刻，允許其它主機與該主機建立的最大連接數(shù)。并發(fā)半連接數(shù)：同一時刻，允許其它主機與該主機建立的最大半連接數(shù)。連接數(shù)限制配置。DDoS防御主機防護（syn_cookie）Syn_cookie主要功能保護主機免受SYN_flood攻擊，與閥值防護SYN _flood攻擊區(qū)別在于syn_cookie可以保證正常訪問的同時阻斷syn_flood攻擊。說明：主機防護目前不支持IPV6。主機防護配置DDoS防御DDoS模塊注意事項DDoS模塊支持IPV6攻擊檢測有：SYN_FLOOD,UDP_FLOOD,ICMP_FLOOD,DNS_FLOOD,DHCP_FLOOD和CC攻擊。DDoS模塊支持的隧道封裝有：MPLS,GRE,QINQ,802.1Q，其中MPLS需要在系統(tǒng)管理->配置->高級屬性中開啟MPLS檢測開關(guān)。DDoS防御攻擊檢測規(guī)則配置目前設(shè)備出廠配置中會有預(yù)定義的一個攻擊檢測規(guī)則集，名稱是：精選規(guī)則(默認動作)。規(guī)則條數(shù)為328條，其中警告215條，阻斷113條。其中收集的是一些經(jīng)常碰到的攻擊類型攻擊檢測規(guī)則配置如果上面系統(tǒng)預(yù)定義的規(guī)則集不符合使用需求的話，用戶可以根據(jù)自己的需要自定義規(guī)則集，在攻擊檢測規(guī)則頁面中點擊“添加”按鈕，就會進入添加頁面，輸入自定義規(guī)則集的名稱，選擇對應(yīng)的分類方式、動作、是否記錄報文選項，點擊確定方可生成規(guī)則。攻擊檢測規(guī)則配置在基本配置中可以按照攻擊類型、風險等級、流行程度、操作系統(tǒng)、精選這幾種分類方式進行選擇。每個庫中都是按組進行劃分，選定一個組后可以選擇其動作、記錄報文的選項。同時如果在實際環(huán)境中產(chǎn)生了誤報，可以根據(jù)誤報的事件號在規(guī)則集里進行排除。如果對每個組內(nèi)的規(guī)則進行詳細定制需要在進入頁面時輸入規(guī)則名并點擊高級配置如果想要根據(jù)某條規(guī)則的編號或者名稱查找該規(guī)則，則可以直接在搜索框中輸入待查找規(guī)則的編號，也可以輸入該規(guī)則的名稱的全部或部分內(nèi)容。注：如果要根據(jù)規(guī)則名稱進行查找的話，則要注意輸入的內(nèi)容包含空格的話，則設(shè)備會按照空格將輸入的內(nèi)容分成多部分進行查找。例如：輸入搜索內(nèi)容為“CVE-1999-1511”，則搜索后會將名稱中包含“CVE-1999-1511”的所有策略都列出來攻擊檢測規(guī)則配置病毒檢測策略配置第一步，配置病毒檢測規(guī)則選擇需要檢測的服務(wù)類型選擇處理動作病毒檢測策略配置舉例第二步，在入侵防御策略中引用病毒檢測規(guī)則選擇之前添加的病毒檢測規(guī)則病毒檢測策略配置舉例病毒檢測規(guī)則各類服務(wù)下阻斷動作和警告動作處理方式說明阻斷動作警告動作HTTP服務(wù)

斷開訪問連接并且給WEB客戶端返回病毒提示允許訪問，沒有病毒提示FTP服務(wù)

斷開FTP傳輸連接，F(xiàn)TP客戶端沒有病毒提示允許傳輸，沒有病毒提示SMTP服務(wù)

發(fā)送的郵件中病毒文件被清除，給接收郵件客戶端插入病毒提示附件。允許發(fā)送，給接收郵件的客戶端插入病毒提示附件。POP3服務(wù)

接收到的郵件中病毒文件被清除，給接收郵件客戶端插入病毒提示附件。允許接收，給接收郵件的客戶端插入病毒提示附件。病毒檢測策略配置舉例在FTP服務(wù)病毒阻斷的動作下，上傳或下載壓縮包文件中如果包含兩個以上病毒文件只能檢測出一個病毒。在POP3/SMTP服務(wù)下，如果郵件客戶端接收的壓縮文件中含有兩個以上病毒文件，提示附件只有一個。在HTTP服務(wù)病毒阻斷的動作下，如果HTTP服務(wù)器共享壓縮包文件中含有多個病毒，只能檢測出一個病毒。在FTP服務(wù)下，阻斷動作和警告動作檢測出來的病毒相差四倍，因為在阻斷動作下FTP客戶端會嘗試下載或上傳連接三次，就是說同一個病毒文件上傳或下載會被連續(xù)阻斷4次，所以在在FTP服務(wù)下，阻斷動作和警告動作檢測出來的病毒相差四倍。注意事項應(yīng)用識別規(guī)則應(yīng)用識別規(guī)則配置用戶根據(jù)需要添加應(yīng)用識別規(guī)則，在應(yīng)用識別規(guī)則頁面中點擊“添加”按鈕，就會進入添加頁面。輸入規(guī)則集的名稱，選擇需要的協(xié)議、動作，點擊確定即可生成規(guī)則。在入侵防御策略中引用應(yīng)用識別規(guī)則后，規(guī)則生效。應(yīng)用識別規(guī)則配置進行配置時需要注意的事項。應(yīng)用識別規(guī)則配置支持對即時通訊軟件QQ和MSN進行帳號過濾。首先要在應(yīng)用識別規(guī)則中選擇QQ登錄/MSN登錄，并且設(shè)置動作為帳號過濾，這樣添加的帳號過濾規(guī)則才能生效。系統(tǒng)對經(jīng)過過濾配置的賬號執(zhí)行相應(yīng)設(shè)置的操作；對于未經(jīng)過過濾配置的賬號則執(zhí)行應(yīng)用識別規(guī)則中賬號過濾的配置操作。應(yīng)用識別規(guī)則配置除了系統(tǒng)自帶的應(yīng)用識別規(guī)則庫，用戶可以根據(jù)自己的需要自行定義應(yīng)用協(xié)議。設(shè)置好的自定義應(yīng)用協(xié)議會自動添加到系統(tǒng)規(guī)則庫，供用戶在設(shè)置應(yīng)用識別規(guī)則時引用。用戶在添加應(yīng)用識別規(guī)則時，選擇自定義協(xié)議即可進行引用。應(yīng)用識別規(guī)則配置疑似P2P功能作為應(yīng)用識別規(guī)則下的P2P下載的補充，通過設(shè)置自定義參數(shù)，來判定主機是否發(fā)生疑似P2P事件。URL過濾策略配置URL白名單配置輸入白名單地址URL過濾策略配置舉例URL黑名單配置定義黑名單地址URL過濾策略配置舉例黑白名單配置注意事項：匹配順序是黑名單、白名單、URL規(guī)則庫黑白名單可以模糊匹配，例如黑名單中添加后，就無法訪問和這些包含地址了黑白名單也支持精確匹配，如果輸入,只匹配，不會匹配黑名單輸入

象或這些包含都會被匹配。白名單同樣支持模糊匹配選擇精確匹配選擇精確匹配后，只會匹配不會匹配。白名單同理。URL過濾策略配置舉例第一步，添加URL過濾規(guī)則引用白名單定義URL過濾規(guī)則中URL大分類動作引用黑名單設(shè)置阻斷動作處理方式URL過濾策略配置舉例第二步，在入侵防御策略中引用URL過濾規(guī)則選擇URL過濾規(guī)則URL過濾策略配置舉例URL過濾統(tǒng)計URL過濾統(tǒng)計點擊URL類型名稱能夠查看到訪問源IP地址點擊訪問源主機IP可以查看到該主機訪問哪些類型URL網(wǎng)站網(wǎng)站防護WEB掃描配置輸入掃描網(wǎng)站地址，格式為URL格式，輸入域名或IP地址選擇掃描速度輸入并發(fā)連接數(shù)（1-10）輸入掃描深度（1-15），最多支持15級目錄掃描選擇掃描文件類型掃描主機輸入的是URL,內(nèi)容包括協(xié)議http、服務(wù)器的IP地址或域名，例如

或，需要注意的是無法指定掃描服務(wù)器子目錄資源，例如/view或/view，如果輸入該URL掃描依然會從服務(wù)器的根目錄進行掃描。WEB掃描配置注意事項WEB掃描統(tǒng)計點擊WEB掃描結(jié)果查看按鈕進行掃描結(jié)果查看點擊保存按鈕，將web掃描結(jié)果從設(shè)備上導出網(wǎng)頁防篡改網(wǎng)頁防篡改策略分為兩種防御方式，在線監(jiān)控和離線監(jiān)控?？梢陨?0條網(wǎng)頁防篡改策略，每條策略中可以保護最大5000個網(wǎng)頁，每個網(wǎng)頁最大10M，最多可以保護5級目錄深度，單條策略保護網(wǎng)站總大小不超過1G。數(shù)字水?。篿dp從ftp服務(wù)器上下載網(wǎng)站的所有文件在本地生成指紋庫（其實是將下載下來的文件記錄一個文件總長度并算出一個md5值存放在本地）離線監(jiān)控：按照配置里的根路徑檢查間隔和非根路徑檢查間隔對后臺網(wǎng)頁進行輪詢比對數(shù)字水印，如果發(fā)現(xiàn)網(wǎng)頁被篡改，則根據(jù)設(shè)置的動作進行執(zhí)行。勾選離線監(jiān)控后復(fù)選框里還有一個參數(shù)為不監(jiān)控文件類型，因為在社交式的網(wǎng)絡(luò)環(huán)境當中某些文件總是在改變的，例如數(shù)據(jù)庫文件，后臺圖片文件等等。當啟用離線監(jiān)控時必須排除這些總在變化的文件，只需填入后綴名并以逗號分開即可。在線監(jiān)控：只支持部分文件的監(jiān)控操作，需要在復(fù)選框內(nèi)填寫在線文件監(jiān)控類型。和離線監(jiān)控一樣，只需填寫文件后綴并以逗號分割。在線監(jiān)控可以實現(xiàn)多個域名對應(yīng)于單個實際網(wǎng)站節(jié)點的防篡改控制，例如：和兩個域名都指向同一個服務(wù)器路徑上的情況。網(wǎng)頁防篡改

后臺網(wǎng)站的根目錄必須處在一個ftp目錄下，并且要為idp在ftp上設(shè)置一個用戶，可以對該目錄上的所有文件都有上傳、下載、覆蓋原文件的權(quán)限。設(shè)備是通過管理口地址和后臺ftp服務(wù)器進行指紋庫獲取的。這里就涉及到一個權(quán)限分配的問題，我們建立客戶可以將ftp用戶和web管理員用戶劃到同一個組里，并且將網(wǎng)站根目錄所在文件夾的所屬組規(guī)定為這個組。而將訪問用戶設(shè)置為其它人權(quán)限。網(wǎng)頁防篡改網(wǎng)頁防篡改配置好所有參數(shù)后，設(shè)備會自動去ftp上下載所有文件，由于是異步方式，下載時間會很長，在這段時間內(nèi)，是不會進行防篡改保護的。只有當所有文件全部下好之后才會啟動防篡改控制。所以在客戶的環(huán)境下演示時一定要保證后臺已經(jīng)完全下載完全部的網(wǎng)頁文件再開始驗證其功能。在指紋庫里可以隨時對單個文件進行恢復(fù)，刪除，更新的操作網(wǎng)頁防篡改注：現(xiàn)在只是簡單的實現(xiàn)對靜態(tài)頁面的防篡改，對于動態(tài)頁面的網(wǎng)站，例如：新聞網(wǎng)、論壇、帶web-cgi腳本的網(wǎng)頁無法進行有效的防篡改。并且對網(wǎng)站主頁例如訪問/時，無法進行在線防篡改，必須在url里輸入指紋庫里有的文件名路徑才能生效，例如同樣訪問主/index.asp時，index.asp在指紋庫里存在才能夠?qū)@個頁面施行保護。在網(wǎng)絡(luò)狀況出現(xiàn)異常時，網(wǎng)絡(luò)狀態(tài)的顏色卡會變紅。大致狀況分為兩種。后臺ftp服務(wù)器無法連接或者超時（這時是無法生成指紋庫的）指紋庫過大導致不能對所有文件進行保護（雖然不能對所有文件進行保護，但是只要是指紋庫里有的文件，該策略依然生效）在線防護時，如果動作選擇為恢復(fù)和記錄日志。而后臺網(wǎng)頁被篡改時，第一次訪問被篡改網(wǎng)頁會看到被篡改后的網(wǎng)頁，第二次進行訪問時才能夠看到恢復(fù)后的頁面。如果要達到真正的禁止用戶訪問被篡改網(wǎng)頁并且要做到及時恢復(fù)的話，一定要同時選擇禁止和恢復(fù)。網(wǎng)頁防篡改日志與報表日志設(shè)置設(shè)置服務(wù)器地址，端口后，通過Syslog協(xié)議將日志傳送到已設(shè)定的日志服務(wù)器上。記錄方式選擇自動方式時，如果服務(wù)器斷線，被存儲的日志在檢測到服務(wù)器在線的情況下將重新發(fā)送至日志服務(wù)器。記錄方式選擇自動方式+存儲硬盤方式時，如果服務(wù)器斷線后再上線，對于服務(wù)器不在線情況下記錄的日志不再重新發(fā)送至日志服務(wù)器。

系統(tǒng)日志系統(tǒng)日志存儲在緩存中，最多存儲2048條，設(shè)備重啟后就消失了?？梢酝ㄟ^關(guān)鍵字進行查找。

安全日志用戶可以自定義查詢條件，查找符合要求的日志。

安全日志注意事項：設(shè)備無硬盤時，安全日志和應(yīng)用流量日志每種類型最多存儲10000條。重啟設(shè)備，原來記錄的安全日志還存在，緩存中的系統(tǒng)日志被清空。設(shè)備有硬盤時，安全日志和應(yīng)用流量日志每種類型最多可記錄30萬條，滿30萬條后清除早期的10%日志并整理硬盤（大約剩余27萬條），然后記錄新的日志。

攻擊報文取證首先在添加攻擊檢測規(guī)則時，選擇記錄報文。系統(tǒng)對匹配到規(guī)則的報文記錄其詳細內(nèi)容，將檢測到IPS攻擊、CC攻擊以及病毒攻擊事件的相關(guān)報文記錄下來保存到一個.pcap文件中。每條規(guī)則只產(chǎn)生一個攻擊報文文件，日期取最后一次攻擊發(fā)生的時間。報表手動生成手動生成日、周、月報表，假設(shè)系統(tǒng)時間為2012-02-08，則日報統(tǒng)計的是前一天24小時，即7日00:00:00至23:59:59；周報統(tǒng)計的是上一個自然周，即1月30日00:00:00至2月5日23:59:59；月報統(tǒng)計的是上一個自然月，即1月1日00:00:00至1月31日23:59:59。報表自動生成管理員可以選擇自動報表的類型、統(tǒng)計內(nèi)容，配置報表自動發(fā)送的時間。系統(tǒng)會在指定的時間自動生成報表，通過郵件的方式發(fā)送給收件人。報表以附件形式存在。報警報警有三種方式：郵件報警，聲音報警，SNMP報警。在網(wǎng)絡(luò)管理->SNMP，設(shè)置陷阱主機，一定要重啟服務(wù)后，設(shè)置才能生效，SNMP報警才會觸發(fā)。為了節(jié)省系統(tǒng)資源，相同攻擊多次只有一次報警，以達到限制報警頻率的目的。目錄IPS系統(tǒng)安裝配置TP系統(tǒng)安裝配置典型實驗案例TP概述TopPolicy是一套安全設(shè)備集中管理、策略集中管理、監(jiān)控系統(tǒng)和審計系統(tǒng)。使企業(yè)和服務(wù)提供商集中高效的管理多達數(shù)千臺安全設(shè)備。集中進行設(shè)備配置避免網(wǎng)絡(luò)中因設(shè)備策略不一致造成的潛在安全漏洞。可以最大程度的降低配置，管理，監(jiān)控及維護設(shè)備的投入成本。是天融信公司網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSM）的重要組成部分。

TP系統(tǒng)構(gòu)成TP服務(wù)器端和TP管理的設(shè)備需要開放的服務(wù)端口如下圖所示TP安裝部署TP安裝部署TPv8版本運行的系統(tǒng)環(huán)境TPv8版本服務(wù)器安裝TPv8版本服務(wù)器證書配置NAT環(huán)境下的TPv8版本客戶端配置TPv8版本服務(wù)器初始化TPv8版本配置備份恢復(fù)TPv8版本服務(wù)器卸載TPv8版本客戶端端證書配置TPv8版本服務(wù)器運行進程TPv8版本服務(wù)器無法正常啟動原因TP安裝部署--TPv8系統(tǒng)環(huán)境TPv8服務(wù)器的運行系統(tǒng)環(huán)境1、win2003server2、win2008server3、win7TPv8支持的客戶端瀏覽器

1、IE6.02、IE7.03、IE8.0在第一次安裝TPv8之前先要安裝以下兩個軟件dotNetFx40_Full_x86_x64.exe和dotNetFx40LP_Full_x86_x64zh-Hans.exe；如果在在win2003server下安裝需先安裝如下3個文件：WindowsServer2003-KB942288-v4-x86.exeWindowsServer2003-KB958655-v2-x86-ENU.exewic_x86_chs.exeTP安裝部署—TPv8版本服務(wù)器安裝TP安裝部署—TPv8版本服務(wù)器安裝TPv8安裝注意事項在win2008server和win7系統(tǒng)下要以管理員身份運行TPv8安裝程序進行安裝。在win2008server和win7系統(tǒng)下要以管理員身份運行TopPolicy服務(wù)器和TopPolicy配置工具。

TP安裝部署—TPv8版本服務(wù)器安裝TP安裝部署—TP服務(wù)器證書配置輸入服務(wù)器端真實IP地址輸入服務(wù)器端真實IP地址非NAT環(huán)境下TP服務(wù)器證書配置TP安裝部署—TP服務(wù)器證書配置輸入域名輸入服務(wù)器端真實IP地址NAT環(huán)境下TP服務(wù)器證書配置TP安裝部署—NAT環(huán)境下的客戶端配置TP服務(wù)器在NAT環(huán)境下部署示意圖在C:\Windows\System32\drivers\etc找到hosts文件,用記事本或者寫字板打開輸入TP服務(wù)器公網(wǎng)IP地址和TP服務(wù)器域名NAT環(huán)境下TP客戶端配置(客戶端通過公網(wǎng)訪問)TP安裝部署—NAT環(huán)境下的客戶端配置在C:\Windows\System32\drivers\etc找到hosts文件,用記事本或者寫字板打開輸入TP服務(wù)器內(nèi)網(wǎng)IP地址和TP服務(wù)器域名NAT環(huán)境下TP客戶端配置(客戶端通過內(nèi)網(wǎng)訪問)TP安裝部署—NAT環(huán)境下的客戶端配置TP安裝部署—TP服務(wù)器初始化輸入備份文件密碼TP安裝部署—TP配置備份輸入備份文件密碼TP安裝部署—TP配置恢復(fù)TP安裝部署—TP服務(wù)器卸載TP安裝部署—TP瀏覽器端Silverlight安裝運行客戶端證書安裝程序點擊輔助工具運行客戶端證書安裝程序選擇查看CA證書選擇是TP安裝部署—TP瀏覽器端證書配置TP安裝部署—TP服務(wù)器運行進程TP服務(wù)器后臺運行進程分別是httpd.exeTPserver.exenserver.exemysql.exe設(shè)備管理---添加設(shè)備添加設(shè)備時，針對不同的產(chǎn)品，選擇相對應(yīng)的設(shè)備類型設(shè)備管理---設(shè)備上線檢測TP提供了兩種檢測設(shè)備在線的方式。TP主動探測。對于不使用VPN模塊的產(chǎn)品，添加設(shè)備時應(yīng)該選擇主動探測設(shè)備在線。設(shè)備主動注冊。對于要使用vpn功能模塊的產(chǎn)品，添加設(shè)備時應(yīng)該選擇主動注冊。主動注冊的設(shè)備，設(shè)備上需要設(shè)置TP的注冊地址。設(shè)備管理---日志解析不同的產(chǎn)品類型，如果選擇的日志類型有誤，那設(shè)備日志的查詢功能將查詢不到設(shè)備的日志記錄。因為日志類型錯誤，解析日志失敗，導致日志無法入庫。注意：更改日志解析方式后，TPserver需要重啟才能生效。設(shè)備管理---配置獲取和恢復(fù)不同的產(chǎn)品類型，配置獲取和恢復(fù)的方式不同，設(shè)備支持命令行連接協(xié)議（telnet，ssh，xdoc）；設(shè)備管理---獲取版本號開啟獲取版本功能開啟命令行連接協(xié)議設(shè)備管理---TOS證書此功能項主要是針對TOS3.3.005版本（含）以后設(shè)備，在TP中添加包含此功能項類型設(shè)備后，如果設(shè)備IP、用戶名、密碼設(shè)置正確，且在設(shè)備上開啟了GUI服務(wù)，則TP會將設(shè)備證書自動更新到設(shè)備的本機證書中，并將設(shè)備的TP主、從服務(wù)器注冊地址分別修改為TP服務(wù)器設(shè)置中IP地址和IP地址2，從而使設(shè)備在TP中自動注冊上線。設(shè)備配置管理手動獲取設(shè)備配置自動獲取設(shè)備配置首先需要明白的是通過什么方式獲取設(shè)備的配置

1.命令行

2.xdoc其次就是獲取到了配置后，可以在哪看到獲取的配置

1.設(shè)備首頁---管理工具

2.\TopPolicy\TPServer\DevCfg保留最新的配置設(shè)備配置管理---流程圖設(shè)備配置管理---手動獲取

設(shè)備首頁---管理工具---配置管理---獲取（命令行連接協(xié)議的方式）設(shè)備配置管理---自動獲取建立計劃任務(wù)，選擇設(shè)備，確定調(diào)度時間，到了調(diào)度時間windows計劃任務(wù)就會執(zhí)行，設(shè)備配置獲取。設(shè)備配置管理---查看配置方法一.通過設(shè)備首頁的管理工具中雙擊配置文件方法二.在tpserver的安裝DevCfg目錄下查看最新配置設(shè)備配置管理---注意事項明確設(shè)備類型中，獲取配置的方式明確使用的命令行連接協(xié)議，設(shè)備上應(yīng)該對應(yīng)的開啟相應(yīng)的服務(wù)版本、配置的歷史記錄通過版本和配置的變更提示，使管理人員實時跟蹤設(shè)備變化首先需要啟用升級檢測和配置檢測功能其次啟用獲取版本和配置功能，以及方式版本、配置變更---流程圖版本、配置變更---系統(tǒng)參數(shù)設(shè)置在系統(tǒng)參數(shù)中啟用升級檢測和配置檢測版本、配置變更---歷史記錄在設(shè)備首頁—管理工具---版本歷史中查看版本歷史記錄版本、配置變更---確認在歷史記錄中，選擇確認，取消設(shè)備列表中的提示版本、配置變更---確認變更確認前確認后版本、配置變更---注意事項配置檢測在TP上的配置與獲取配置時的配置一樣設(shè)備上開啟的服務(wù)要和版本檢測使用的方式一致SNMP監(jiān)控設(shè)備首頁---基本信息設(shè)備首頁---網(wǎng)絡(luò)設(shè)置設(shè)備首頁---接口監(jiān)控性能監(jiān)控接口監(jiān)控SNMP監(jiān)控---流程圖SNMP監(jiān)控---監(jiān)控設(shè)置在使用snmp監(jiān)控設(shè)備的相關(guān)信息時，一定要有設(shè)備的mib節(jié)點，并且TP上填寫的節(jié)點信息要和設(shè)備相匹配SNMP監(jiān)控---基本信息設(shè)備相關(guān)信息許可證信息系統(tǒng)狀態(tài)接口狀態(tài)SNMP監(jiān)控---網(wǎng)絡(luò)設(shè)置獲取設(shè)備的ARP表獲取設(shè)備的路由表SNMP監(jiān)控---接口監(jiān)控監(jiān)控設(shè)備接口狀態(tài)監(jiān)控設(shè)備接口流量SNMP監(jiān)控---性能監(jiān)控監(jiān)控設(shè)備的cpu，內(nèi)存以及連接數(shù)等信息SNMP監(jiān)控---注意事項設(shè)備連接數(shù)信息，設(shè)備CPU信息，設(shè)備內(nèi)存信息，連接數(shù)趨勢，像這些監(jiān)控信息，需要選擇設(shè)備。SNMP監(jiān)控---接口監(jiān)控注意：設(shè)備接口信息列表，設(shè)備接口流量TOPN，設(shè)備接口速率，這些信息需要選擇設(shè)備SNMP監(jiān)控---注意事項設(shè)備類型中的snmp節(jié)點信息一定要跟設(shè)備上的一致Snmp管理主機要設(shè)置，community和TP上設(shè)置一致性能監(jiān)控和接口監(jiān)控時，確認設(shè)備加入到SNMP監(jiān)控Netflow監(jiān)控TopPolicy根據(jù)接收到的Netflow流量數(shù)據(jù)，對任何支持Netflow流量數(shù)據(jù)采集的設(shè)備進行Netflow流量監(jiān)控使用NETFLOW需要開啟設(shè)備的NETFLOW流量發(fā)送功能，并把發(fā)送地址指向TP服務(wù)器TopsecOS#systemnetflowshownetflowserveripaddr'62'netflowserverport9991netflowtransferprotocolUDPnetflowtransferoptionenableNetflow監(jiān)控---監(jiān)控數(shù)據(jù)列表監(jiān)控設(shè)備連接以及應(yīng)用協(xié)議流量分布情況監(jiān)控閥值報警監(jiān)控閥值報警是指TP將被監(jiān)控設(shè)備的性能監(jiān)控信息與閥值報警規(guī)則進行匹配，如果匹配成功就觸發(fā)報警。所以首先要取得設(shè)備的性能監(jiān)控數(shù)據(jù)。監(jiān)控閥值報警---流程圖監(jiān)控閥值報警---報警方式TP現(xiàn)有的報警方式：◆snmp：TP把自己的報警信息trap給其它的第三方◆

Winpop：通過windows的消息服務(wù)把報警信息發(fā)給指定的PC◆管理器：指定那些管理員可以看到實時報警信息◆手機短信：把TP的報警信息以短信方式發(fā)送給指定的管理員或手機號碼◆郵件報警：把TP的報警信息以短信方式發(fā)送給指定的管理員或郵箱◆上下級服務(wù)器：把報警信息發(fā)送給級聯(lián)的上下級服務(wù)器◆外部的應(yīng)用程序：當報警信息被觸發(fā)時，TP會調(diào)用TP服務(wù)器上的其它的應(yīng)用程序去行，這個應(yīng)用程序是用戶可以設(shè)定的可執(zhí)行文件，感覺這種報警方式最為靈活。監(jiān)控閥值報警---監(jiān)控列表將設(shè)備加入SNMP監(jiān)控加入SNMP監(jiān)控前加入SNMP監(jiān)控后監(jiān)控閥值報警---添加規(guī)則有四個屬性值，選擇邏輯操作“與”時，設(shè)置的條件都要滿足才能觸發(fā)報警；選擇邏輯操作“或”時，只要有一個條件滿足就可以觸發(fā)報警。監(jiān)控閥值報警---注意事項TP是通過snmp獲取設(shè)備性能數(shù)據(jù)，存入數(shù)據(jù)庫中，然后匹配報警規(guī)則，所以設(shè)備需要設(shè)置snmp管理主機，并開放snmp服務(wù)只有在配置的報警時間內(nèi)，安全事件滿足觸發(fā)條件時才進行報警日志審計日志管理如何判斷設(shè)備日志是否入庫收集設(shè)備日志的注意事項日志查詢?nèi)罩緦С鰣蟊砉芾碓O(shè)備日志備份恢復(fù)日志審計--日志管理支持日志格式：SYSLOG格式設(shè)置查詢條件，對系統(tǒng)日志和設(shè)備日志進行查詢

列表方式顯示查詢的日志信息查詢到的日志可根據(jù)列名進行排序查詢結(jié)果可以批量導出，文件格式為txt、CSV系統(tǒng)日志可轉(zhuǎn)發(fā)（1）在設(shè)備日志設(shè)置中需要配置：日志審計--設(shè)備日志接收服務(wù)器端口為514輸入TP服務(wù)器IP地址傳輸類型選擇syslog選擇日志級別選擇需要收集日志類型（2）將所要接收的日志設(shè)備加入到接收日志設(shè)備列表。需要特別注意的是：設(shè)備上的時間要與TP服務(wù)器端的時間同步。如果不同步會影響到日志查詢的準確性和報表數(shù)據(jù)的準確性。日志審計--設(shè)備日志接收顯示該設(shè)備是否正在接收設(shè)備日志日志審計—如何判斷設(shè)備日志是否入庫首先判斷設(shè)備日志是否從設(shè)備上發(fā)送到TP服務(wù)器端，可以用抓包工具在TP服務(wù)器端來檢查！端口號是514。日志審計—如何判斷設(shè)備日志是否入庫在保證設(shè)備日志已發(fā)送到TP服務(wù)器端前提下判斷設(shè)備日志是否入庫的方法：方法一、在TP設(shè)備日志管理界面中查詢設(shè)備日志，查詢的時間范圍要包含到設(shè)備日志的時間，看看是否能夠查詢到設(shè)備日志日志審計—如何判斷設(shè)備日志是否入庫方法二、在數(shù)據(jù)庫安裝目錄下找到runtime_db文件夾，進入該文件夾找到dev_log_table1.MYD，看該文件的大小是否有變化，看該文件的修改時間是否是最近時刻。日志審計—如何判斷設(shè)備日志是否入庫方法三、在DOS模式下進入mys