售后培训天融信入侵防御产品配置与维护V课件.ppt

中中 国国 信信 息息 安安 全全 领领 导导 企企 业业天融信天融信IPSIPS产品产品配置与维护配置与维护 10/5/2022北京天融信科技有限公司北京天融信科技有限公司目录 网络卫士入侵防御系统是集访问控制、应用识别、漏洞攻击防御、蠕虫检测、报文完整性分析为一体的网络安全设备，为用户提供整体的立体式网络安全防护与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向五合一防五合一防护DoS/DDoS入侵防御应用管控URL过滤卡巴斯基流病毒查杀特色功能特色功能万兆网络支持WAF增值IPv6环境产品介绍产品介绍设备部署拓扑设备界面介绍Console配置接口MGMT管理接口IP：192.168.1.2Mask：255.255.255.0HA连接接口设备运行指示灯指示灯名称指示灯状态描述工作灯（Run）当入侵防御系统进入工作状态时，工作灯闪烁主从灯（M/S）主从灯亮的时候，代表这台设备是工作设备；反之，如果主从灯处于熄灭状态，则该入侵防御系统工作在备份模式。

管理灯（MGMT）当网络管理员，如安全审计管理员，登录入侵防御系统时，管理灯点亮日志灯（Log）当有日志记录动作发生时，且前后两次日志记录发生的时间间隔超过1秒钟时，日志灯会点亮扩展模块插槽 参考TOPSEC扩展模块安装手册上线流程设备安装设备安装部署位置依据设备的使用目的选择相应的安装位置根据安装位置环境对设备进行软硬件配置接口类型根据网络设备部署位置配置不同的接口模块安装环境PC一台拥有COM连接口具有超级终端等远程操作程序Console线缆随机附赠相应的网络线缆/接口卡/模块系统升级补丁升级签名库准备工具Console登录ID：supermanPWD:talentConsole端操作虽然Console端可以对设备进行完整配置，但是我们建议操作在WebUI下完成在设备上线前，对设备管理配置可在console端完成：管理接口配置 命令行语法如下：network interface ip add mask 参数说明：string：网络卫士入侵防御系统物理接口名称，字符串，例如eth0管理范围配置命令行语法如下：定义IP：define host add name ipaddr 定义子网：define subnet add name ipaddr mask 定义地址范围：define range add name ip1 ip2 参数说明：string：资源名称，字符串。

WebUI管理ID：supermanPWD:talent默认管理：https:/192.168.1.254系统监视系统管理网络管理流量管理资源管理入侵防御网站防护日志与报表配置培训配置培训 系统监视模块对整个系统的基本状态进行实时监控，支持对系统总体及系统监视模块对整个系统的基本状态进行实时监控，支持对系统总体及某一特定对象（如基于接口、协议、内容或其他规则）通信量、连接数、网某一特定对象（如基于接口、协议、内容或其他规则）通信量、连接数、网络攻击、应用流量、带宽等数据的采集、统计和显示，用以满足用户对各种络攻击、应用流量、带宽等数据的采集、统计和显示，用以满足用户对各种数据统计以及应用层流量管理的需求数据统计以及应用层流量管理的需求这个模块有这个模块有9 9个子模块：个子模块：n基本信息基本信息n版本信息版本信息n攻击统计攻击统计n病毒统计病毒统计n应用统计应用统计nURLURL统计统计n当前连接当前连接n接口流量统计接口流量统计n自定义统计自定义统计系统监视系统监视2基本信息基本信息注意事项：由于刷新频率不同步会出现同一参数在不同页面数据不一致的情况，系统资源和检测统计数据差距不大，网络接口瞬时速率会出现差别比较大的情况。

基本信息基本信息版本信息版本信息攻击统计攻击统计单击事件号能够查看规则的详细信息点击主机IP可以查看该主机所受攻击的详细信息攻击统计攻击统计注意事项：将内网监控的监控级别设置为详细，才能显示主机排名另外，如果主机监控数达到最大值后，则不会显示主机排名因为受攻击主机排名列表中的数据取自实时内存，详细信息的统计信息取自日志，所以会出现两者数据不一致的情况病毒统计页面点击病毒名称查点击病毒名称查看病毒攻击源看病毒攻击源点击受病毒攻击主机地点击受病毒攻击主机地址能够查看到攻击的病址能够查看到攻击的病毒名称毒名称病毒统计病毒统计应用统计应用统计点击某应用可以查看是哪些主机占用了该应用协议的上下行流量点击主机IP可以查看该主机所占用应用协议流量的详细信息注意事项 若监控范围设为any时，IP记录了客户端和服务器两个IP，每个IP记录了上下行流量，这样记录了两次，而应用协议只记录了一次上下行流量，因此所有IP上下行流量总和约为应用协议上下行流量总和的2倍当内网监控指定IP时，应用排名中流量统计与详细信息中主机流量基本相符应用统计应用统计URL统计统计点击URL名称可以查看哪些主机访问了该类网站以及具体的访问次数。

点击主机IP可以查看该主机访问了哪类网站以及具体的访问次数当前连接当前连接接口流量统计接口流量统计点击具体接口，显示该接口的详细流量信息自定义统计自定义统计对设备接口流量状况、安全区域内的受攻击状况、病毒感染状况、对应用流量的使用状况及内主机访问URL的状况进行自定义查询双机热备双机热备-基本设置基本设置n进入系统管理双机热备，进入双机热备的设置页面n身份：选择主机时，默认的优先级为254,；选择从属机时，默认的优先级为100，当然优先级可以手动更改n地址：分为本地与对端，需要注意的是，这两个地址必须在同一个网段n心跳间隔：两台网络卫士设备互发通信报文的时间间隔n抢占：是指主网关宕机后，重新恢复正常工作时，是否重新夺回主网关的地位优先级相同的两设备中不存在抢占，并且只有优先级高设备抢占优先级低的设备的主身份n对端同步：从对端机同步配置到本机上n本地同步：从本地机同步配置到对端上双机热备双机热备-基本设置基本设置n 配置HA接口时，一定要将“ha-static”勾选，不然配置同步时会将该接口的信息覆盖配置物理接口配置物理接口n其实VRID组就是用来选主备的，默认的情况下，所有的接口都是属于VRID 0的，我们可以创建一个VRID组（组号在1 到 255 之间），组优先级高的会优先成为主，同时设备上也只能创建一个VRID组，后创建的VRID组会将前面创建的覆盖掉nfw36#ha as-vrid 1，在设备上创建vrid 1，然后将通信接口加入到该组配置物理接口配置物理接口注意：n目前我们的设备只支持AS模式。

n创建VRID组后，我们可以将接口加入到该组，如果加入到该组的某个接口down后，该组的优先级就会变为0n最好用设备上专用的HA口做双机热备n设备处于standy时，接口不回复、转发报文，所以不能用WEBUI登录n设备只有在配置正确完成后才能上架，不然在直连、交换模式下容易造成环路配置物理接口配置物理接口n链路聚合模块的作用是使多个接口的流量汇聚到单条链路上，也能使单个接口收到的流量均衡的从多个接口发出，可以起到扩充链路带宽和链路备份的作用n这个功能是topidpv5上新加的功能，设备上总共可以配置4条聚合链路，每条聚合链路上可以添加8个物理成员接口n负载均衡算法一共支持11个，分别根据不同的目标进行负载均衡，例如：根据源mac地址进行负载均衡，那么同一mac的流量只走聚合链路中的一个接口，不同mac的流量按照接口顺序进行轮询其余算法的原理一样链路聚合链路聚合n注：建立起来一个聚合链路，那么这个聚合链路就当作一个逻辑接口来看待，加入聚合链路的物理口，其本身的属性都不生效了目前聚合链路只支持交换和路由两种模式，不支持直连，不能强制设定其双工和速率，不能对其接口设定区域进行访问控制链路聚合链路聚合流量管理分为两个部分：n带宽控制n流量异常分布带宽控制带宽控制QOS策略属性策略属性出厂时，是没有任何QOS策略的，单击添加，出现如上的页面n添加策略的名称nQOS策略可以同时控制上、下行带宽，根据需要填写n在上、下行中可以选择QOS的类型：1.策略独享：当多条ACL引用同一策略独享策略时，不同ACL之间的连接独享限制带宽与保证带宽，同一ACL中的不同连接限制共享限制带宽与保证带宽2.独享：当多条ACL引用同一独享策略时，不同ACL之间的连接独享限制带宽与保证带宽，同一ACL中的不同连接独享限制带宽与保证带宽3.共享：匹配ACL的所有连接共享限制带宽与保证带宽4.受控：每个连接的带宽不超过每主机限制带宽，所有连接的带宽之和不超过总限制带宽n优先级：优先级只在同种策略中才起效，接口的剩余带宽优先分配给优先级高的链接。

但前提是不高于限制带宽n优先级有四个等级：特权、高、中、低 QOS策略属性策略属性注意：1.当配置的QOS策略中有保证带宽时，默认的优先级为中，可以手动选择特权或高；当只有限制带宽时，优先级只能为低，不可更改同时受控类型的策略的优先级也只能时低2.只要上、下行中选的不是共享策略，那么其他三种策略可以互相搭配QOS策略属性策略属性QOS策略创建好之后，必须在ACL中引用才能起作用n如果ACL引用的策略带有保证带宽，那么我们必须要选择区域，并且区域只包含一个接口，同时这个接口设置了有效带宽n同一QOS策略被不同ACL引用时，保证带宽之和不能超过接口的有效带宽n其他的选项同ACL，这里不详细详述n打开ACL的“选项”，点击“高级”就可以看到创建的QOS策略我们可以看到上面还有一个QOS选项，其实他和受控差不多，只不过他只能控制下载的速率，而不能控制上传的速率n对接口或协议相关的指标设制相应的阀值并制定相应的报警机制，档统计值大于定值时报警流量异常检测流量异常检测n在入侵防御策略的配置方面，策略的源和目的的配置与以前的v1版本相同，可以配置地址对象和区域对象入侵防御策略配置入侵防御策略配置n在规则集引用部分，和v3保持一致，依然采用单选的方式，而动作的执行在规则集里进行单独配置。

入侵防御策略配置入侵防御策略配置n入侵防御策略里引擎动作包括防火墙联动、阻断时禁止连接、阻断时加入黑名单、输出应用识别所有日志、输出url所有日志n防火墙联动功能：仅在ids监听模式下有效，当配置好防火墙联动的配置以后，需要在引擎里打开这个开关后才能正常向防火墙下发策略n阻断时禁止连接：当判断出连接上存在攻击时向客户端/服务器双方向发rst来关闭连接，不勾选时仅为丢包n阻断时加入黑名单：勾选时会将识别为攻击特征的连接其中的源地址自动添加到黑名单，并启用一个定时器，在这个定时器时间范围内此源地址无法穿过idp建立任何连接n注：黑名单也可以手动设置，入侵防御策略后新加的选项就是添加黑名单，这种方式添加的黑名单是永久生效的，除非手动删除n输出应用识别和url日志：默认是只在判断为阻断的情况下进行记录，如果勾选则只要匹配规则的都会进行记录，因为记录大量的日志会消耗大量的系统资源入侵防御策略配置入侵防御策略配置-检测引擎参数设置检测引擎参数设置 入侵防御策略配置入侵防御策略配置-检测引擎参数设置检测引擎参数设置n引擎工作模式包括：检测模式和优先模式n检测模式分为智能检测和深度检测：n智能检测：只检测每个连接的前n个报文（n可以用户指定），能够起到很好的性能优化作用。

n深度检测：连接的所有通信报文都进行检测，性能会有很大降低入侵防御策略配置入侵防御策略配置-检测模式检测模式n优先模式分为应用优先和安全优先：n应用优先：启动软件bypass功能，如果流量增大到检测引擎无法处理的情况，则软件bypass功能发挥作用，超出的流量不再上送引擎处理，直接转发，当引擎能够处理后，流量又上送引擎检测在性能优化方面起到作用保证了客户的正常应用，避免因处理能力导致的断网n安全优先：不启动软件bypass功能，如果流量超过检测引擎处理。