趋势科技-IWSA技术培训.ppt

TrendMicro use onlyIWSA技术培训李国强2TrendMicro use onlyIndexØØ WebWeb安全现状安全现状ØØ IWSAIWSA产品概况及功能描述产品概况及功能描述ØØ IWSAIWSA产品规格及性能介绍产品规格及性能介绍ØØ IWSAIWSA部署介绍部署介绍ØØ IWSA DemoIWSA Demo配置配置•57•205•799•1,484•2,397•3,881•6,279•10,160•16,438•26,598•2007•2009•2011•2013•2015•每小时预计增加的恶意程序数量病毒指数级增长•数据来源：AV-Test.org“大三角”理论：网关防护至关重要•网关•1个•2台•25个•50台•5000台•邮件服务器•子网•应用服务器•客户端• •InternetInternet•防护更复杂•一致性更差Web 威胁胁3年增长长了1731%•Web 威胁胁: 2005年来的增长统计长统计Web威胁：增长最快的威胁形态典型的Web威胁攻击•知名募捐网站•重定向•恶恶意网站 •（俄罗罗斯）•信息收集网站•帐帐号信息•帐帐号信息•自动动下载载 •（每10秒更新1次）黑色产业链：检测更困难Ø 付费订购恶意程序 Ø 付费QA，保证不被任何安全厂商检测得到恶恶意程序类类型订订购价格广告类间谍 程序美国 $0.3 加拿大 $0.2 ， 英国$0.1, 其它 $0.01恶意程序组合包（基本）$1,000 - $2,000恶意程序组合包(升级服务）$20/次漏洞挖掘租赁服务（1小时）$0.99漏洞挖掘租赁服务（2.5小时）$1.60漏洞挖掘租赁服务（5小时）$4不能检测 出来的窃取型木马$80DDOS 攻击$100/天10,000台僵尸控制机器$1,000窃取银行帐号类木马$50发送100万封恶意邮件$88TrendMicro use onlyIndexØØ WebWeb安全现状安全现状ØØ IWSAIWSA产品概况及功能描述产品概况及功能描述ØØ IWSAIWSA产品规格及性能介绍产品规格及性能介绍ØØ IWSAIWSA部署介绍部署介绍ØØ IWSA DemoIWSA Demo配置配置9TrendMicro use onlyIWSA (InterScan Web Security Appliance 2500/5000)•IWSA 主要功能•HTTP/FTP 恶意代码扫描 •间谍软件/灰色软件扫描 •反钓鱼 •支持ICAP •支持LDAP •URL过滤 •支持EPS •AAXS •支持透明桥模式 •与DCS联动 •硬件产品IWSA 5000IWSA 250010TrendMicro use onlyHTTP/FTP恶意代码扫描•IWSA 2500 HTTP/FTP扫描•在网关透明过滤来自HTTP的病毒 ； •在网关透明处理来自FTP的病毒 ； •采用趋势科技独创的Intelliscan技 术； •对压缩文件灵活的处理方式； •采用独特的Defer Scanning技术 ，解决网关对大文件处理的瓶颈 问题； •自带File-Blocking技术。

WEB信誉11TrendMicro use only12TrendMicro use only间谍软件/灰色软件扫描•IWSA 间谍软件防护•对特定的Spyware进行扫描； •对特定的Adware进行扫描； •阻止用户下载间谍软件； •防止间谍软件“call-home”；13TrendMicro use only反钓鱼网站•IWSA 反钓鱼网站•阻止用户访问钓鱼网站； •实时更新Phishing Pattern； •采用趋势科技独创的Phishing Trap技术；14TrendMicro use onlyURL过滤库•IWSA URL Filter•灵活的基于策略的设置； •可以设置不同的时间段； •采用趋势科技提供的URL过滤库 ，目前已达820万条记录； •有效控制了用户的上网行为，净 化了企业Web访问内容15TrendMicro use onlyIWSA AAXS•ActiveX控件及Java小程序过滤•灵活的基于策略的设置； •针对ActiveX控件的安全 策略； •针对Java小程序的安全策 略；16TrendMicro use only与DCS联动•与DCS联动•对感染间谍软件的客户端 进行远程修复； •有效控制了企业网络内部 的间谍软件；17TrendMicro use onlyIndexØØ WebWeb安全现状安全现状ØØ IWSAIWSA产品概况及功能描述产品概况及功能描述ØØ IWSAIWSA产品规格及性能介绍产品规格及性能介绍ØØ IWSAIWSA部署介绍部署介绍ØØ IWSA DemoIWSA Demo配置配置18TrendMicro use onlyIWSA (InterScan Web Security Appliance 2500/5000)• IWSA2500产品规格: – 1 U 机架 – 能够支持最多5000用户 – 并发Http连接数2000个IWSA 2500• IWSA5000产品规格: – 2 U 机架 – 能够支持最多10000用户 – 并发Http连接数6000个IWSA 500019TrendMicro use onlyIndexØØ WebWeb安全现状安全现状ØØ IWSAIWSA产品概况及功能描述产品概况及功能描述ØØ IWSAIWSA产品规格及性能介绍产品规格及性能介绍ØØ IWSAIWSA部署介绍部署介绍ØØ IWSA DemoIWSA Demo配置配置20TrendMicro use onlyIWSA 部署方式IWSA部署方式；管理员可以根据企业的本身需求，部署 IWSA设备，部署后不会影响现有客户的网络结构。

• 代理联动模式• ICAP+IWSA• 完全透明桥模式• 与L4交换机联动• 与Cisco交换机联动21TrendMicro use only代理联动模式•部署在客户端与代理服务器之间，接管所有来自客户端的HTTP/FTP请求•优势说明ü 保护投资，IWSA可以与任何的代理服务器兼容；ü 与DCS联动，有效抵御间谍软件的攻击；•注意事项：需要更改客户机的IE代理设置22TrendMicro use onlyICAP + IWSA•部署ICAP Client的旁路，对流经ICAP的HTTP及FTP数据流进行扫描•优势说明ü 配合Catch，对Web安全扫描有更高的效率；ü 如果客户原来就使用ICAP，则无需更改客户端配置，部署简单；•注意事项：需要使用两个以太网口23TrendMicro use only透明桥模式•部署客户端与防火墙之间，对流经IWSA的HTTP及FTP数据流进行扫描•优势说明ü 透明桥工作模式，无需更改客户端的代理设置；ü 即插即用，部署简单；•注意事项：需要使用两个以太网口24TrendMicro use onlyIndexØØ WebWeb安全现状安全现状ØØ IWSAIWSA产品概况及功能描述产品概况及功能描述ØØ IWSAIWSA产品规格及性能介绍产品规格及性能介绍ØØ IWSAIWSA部署介绍部署介绍ØØ IWSA DemoIWSA Demo配置配置25IWSA开/关机的特别说明开关机说明:§开机：接通电源后按一下开关，松手； §关机：同样按一下开关，松手。

等待1.5分钟左右，让机器自行关闭系统在自行关闭时会 同步RAID，依次关闭服务绝对禁止：关机时长按电源开关不松手进行强制关机，此举有可能会造成RAID/硬盘损坏，系统服务出现问题26IWSA 2500 RAID状态检查处理步骤:§从超级终端中进入linux系统，执行如下操作：1.#cd /etc2.#./raid_setup§如果显示的两个设备不全是Active，则代表RAID在关机过程中损坏；§请依照《8、IWSA硬盘损坏的检查与恢复200706.doc》文档前部分方法进行处理Proxy Mode 访问网页慢27TrendMicro use only•症状 – 每一次访问的响应时间都很差. •What to look for – 从IWSA Shell界面中执行nslookup查询已知的响应慢的站点，是不是 nslookup的响应也非常慢？ •If so – 这种延迟可能是由DNS的响应比较差造成的客户将IWSA的DNS指向外 网ISP的ISP的DNS服务响应相比内网DNS，响应会变慢很多 •What to do – 这种情况可通过在IWSA中部署DNS cache来实现，IWSA 5000将内置， IWSA3.1可采用BIND按文档步骤来实现 – 查看是否能用透明方式部署，透明方式由浏览器来执行DNS查询28TrendMicro use onlyMIME Skip• 大型门户网站视频，图片，Flash不断骚扰，导致IWSA处理 延时很大。

建议做一下配置: • Skipaudio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv image/x-icon image/jpeg image/gif image/png application/x-shockwave-flash application/vnd.rn-realmedia控制单用户最大连接数1. 使用console或者SSH连接到IWSA2. 进入Shell Environment3. vi /var/iwss/intscan.ini查找到下面的参数, enable_client_connection_quota=yes, 然后在 client_connection_quota=中输入您希望每个客户端最大的连接数, 默认为50:# Switch for client connection quota enable_client_connection_quota=no # If enable_client_connection_quota is turned on, this indicates the maximum num # of connections allowed from a single client. client_connection_quota=50 4. 修改完毕后保存:wq保存配置.5. ./var/iwss/S99ISproxy reload 重新启动服务.29TrendMicro use only30TrendMicro use onlyQuestions and Answers。