售后培训---天融信入侵防御产品配置与维护(v5)---20121010.pptx

中 国 信 息 安 全 领 导 企 业 天融信IPS产品配置与维护 October 10, 2012北京天融信科技有限公司目录IPS系统安装配置TP系统安装配置典型实验案例网络卫士入侵防御系统是集访问控制、应用识别、漏洞攻击防 御、蠕虫检测、报文完整性分析为一体的网络安全设备，为用户提 供整体的立体式网络安全防护与现在市场上的入侵防御系统相比 ，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒 度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和 协议支持，代表了最新的网络安全设备和解决方案发展方向 • 五合一防护 –DoS/DDoS –入侵防御 –应用管控 –URL过滤 –卡巴斯基流病毒查杀 • 特色功能 –万兆网络支持 –WAF增值 –IPv6环境产品介绍设备部署拓扑设备界面介绍Console配置接口MGMT管理接口 IP：192.168.1.2 Mask：255.255.255.0 HA连接接口设备运行指示灯指示灯名称指示灯状态描述工作灯（Run）当入侵防御系统进入工作状态时，工作灯闪烁主从灯（M/S）主从灯亮的时候，代表这台设备是工作设备；反之，如果主从灯处于熄灭状态，则该入侵防御系统 工作在备份模式。

管理灯（MGMT）当网络管理员，如安全审计管理员，登录入侵防御系统时，管理灯点亮日志灯（Log）当有日志记录动 作发生时，且前后两次日志记录发 生的时间间 隔超过1秒钟时 ，日志灯会点亮扩展模块插槽参考《TOPSEC扩展模块安装手册》上线流程 环境了解线下配置空载上线加载需求功能验证防御效果设备安装• 部署位置 – 依据设备的使用目的选择相应的安装位置 – 根据安装位置环境对设备进行软硬件配置 • 接口类型 – 根据网络设备部署位置配置不同的接口模块安装环境• PC一台 – 拥有COM连接口– 具有超级终端等远程操作程序 • Console线缆– 随机附赠 • 相应的网络线缆/接口卡/模块• 系统升级补丁 • 升级签名库准备工具Console登录ID：superman PWD:talentConsole端操作虽然Console端可以对设备进行完整配置，但是我们建议操作在WebUI下完 成 在设备上线前，对设备管理配置可在console端完成： •管理接口配置命令行语法如下： network interface ip add mask 参数说明： string：网络卫士入侵防御系统物理接口名称，字符串，例如eth0。

•管理范围配置 命令行语法如下： 定义IP：define host add name ipaddr 定义子网：define subnet add name ipaddr mask 定义地址范围：define range add name ip1 ip2 参数说明： string：资源名称，字符串WebUI管理ID：superman PWD:talent默认管理：https://192.168.1.254Ø 系统监视 Ø 系统管理 Ø 网络管理 Ø 流量管理 Ø 资源管理 Ø 入侵防御 Ø 网站防护 Ø 日志与报表配置培训系统监视模块对整个系统的基本状态进行实时监控，支持对系统总体及某一特定对象（如基于接口、协议、内容或其他规则）通信量、连接数、网络攻击、应用流量、带宽等数据的采集、统计和显示，用以满足用户对各种数据统计以及应用层流量管理的需求这个模块有9个子模块：n基本信息n版本信息n攻击统计n病毒统计n应用统计nURL统计n当前连接n接口流量统计n自定义统计系统监视2基本信息注意事项： • 由于刷新频率不同步会出现同一参数在不 同页面数据不一致的情况，系统资源和检 测统计数据差距不大，网络接口瞬时速率 会出现差别比较大的情况。

基本信息版本信息攻击统计单击事件 号能够查 看规则的 详细信息点击主机IP可 以查看该主机 所受攻击的详 细信息攻击统计注意事项： • 将内网监控的监控级别设置为详细，才能 显示主机排名另外，如果主机监控数达 到最大值后，则不会显示主机排名 • 因为受攻击主机排名列表中的数据取自实 时内存，详细信息的统计信息取自日志， 所以会出现两者数据不一致的情况病毒统计页面点击病毒名称查 看病毒攻击源点击受病毒攻击主机地 址能够查看到攻击的病 毒名称病毒统计应用统计点击某应用可以 查看是哪些主机 占用了该应用协 议的上下行流 量点击主机IP可以 查看该主机所占 用应用协议流量 的详细信息注意事项若监控范围设为any时，IP记录了客户端和服务 器两个IP，每个IP记录了上下行流量，这样记录 了两次，而应用协议只记录了一次上下行流量， 因此所有IP上下行流量总和约为应用协议上下行 流量总和的2倍当内网监控指定IP时，应用排名 中流量统计与详细信息中主机流量基本相符应用统计URL统计点击URL名称可以查 看哪些主机访问了 该类网站以及具体 的访问次数点击主机IP可以 查看该主机访问 了哪类网站以及 具体的访问次数当前连接接口流量统计点击具体接口，显示该接口 的详细流量信息。

自定义统计对设备接口流量状况、安全区域内的受攻击状况、病毒感染状况、 对应用流量的使用状况及内主机访问URL的状况进行自定义查询系统管理双机热备---基本设置n 进入系统管理—>双机热备，进入双机热备的设置页面 n 身份：选择主机时，默认的优先级为254,；选择从属机时 ，默认的优先级为100，当然优先级可以手动更改 n 地址：分为本地与对端，需要注意的是，这两个地址必须 在同一个网段 n 心跳间隔：两台网络卫士设备互发通信报文的时间间隔 n 抢占：是指主网关宕机后，重新恢复正常工作时，是否重 新夺回主网关的地位优先级相同的两设备中不存在抢占 ，并且只有优先级高设备抢占优先级低的设备的主身份 n 对端同步：从对端机同步配置到本机上 n 本地同步：从本地机同步配置到对端上双机热备---基本设置n 配置HA接口时，一定要将“ha-static”勾选，不然配置同步时会将该接口的信 息覆盖配置物理接口n 其实VRID组就是用来选主备的，默认的情况下，所有的接口都是属于VRID 0 的，我们可以创建一个VRID组（组号在1 到 255 之间），组优先级高的会优 先成为主，同时设备上也只能创建一个VRID组，后创建的VRID组会将前面创 建的覆盖掉 n fw36# ha as-vrid 1，在设备上创建vrid 1，然后将通信接口加入到该组配置物理接口注意： n 目前我们的设备只支持AS模式。

n 创建VRID组后，我们可以将接口加入到该组，如 果加入到该组的某个接口down后，该组的优先级 就会变为0 n 最好用设备上专用的HA口做双机热备 n 设备处于standy时，接口不回复、转发报文，所 以不能用WEBUI登录 n 设备只有在配置正确完成后才能上架，不然在直 连、交换模式下容易造成环路配置物理接口网络管理n链路聚合模块的作用是使多个接口的流量汇聚到单条链路上，也能使单个接口收 到的流量均衡的从多个接口发出，可以起到扩充链路带宽和链路备份的作用 n这个功能是topidpv5上新加的功能，设备上总共可以配置4条聚合链路，每条聚合 链路上可以添加8个物理成员接口 n负载均衡算法一共支持11个，分别根据不同的目标进行负载均衡，例如：根据源 mac地址进行负载均衡，那么同一mac的流量只走聚合链路中的一个接口，不同mac 的流量按照接口顺序进行轮询其余算法的原理一样链路聚合n注：建立起来一个聚合链路，那么这个聚合链路就当作一个逻辑接口来看待， 加入聚合链路的物理口，其本身的属性都不生效了目前聚合链路只支持 交换和路由两种模式，不支持直连，不能强制设定其双工和速率，不能对 其接口设定区域进行访问控制链路聚合流量管理流量管理分为两个部分：n带宽控制n流量异常分布带宽控制QOS策略属性出厂时，是没有任何QOS策略的，单击添加，出现如上的页面 n添加策略的名称 nQOS策略可以同时控制上、下行带宽，根据需要填写 n在上、下行中可以选择QOS的类型： 1.策略独享：当多条ACL引用同一策略独享策略时，不同ACL之间的连接独享限制带宽 与保证带宽，同一ACL中的不同连接限制共享限制带宽与保证带宽 2.独享：当多条ACL引用同一独享策略时，不同ACL之间的连接独享限制带宽与保证带 宽，同一ACL中的不同连接独享限制带宽与保证带宽 3.共享：匹配ACL的所有连接共享限制带宽与保证带宽 4.受控：每个连接的带宽不超过每主机限制带宽，所有连接的带宽之和不超过总限制 带宽 n优先级：优先级只在同种策略中才起效，接口的剩余带宽优先分配给优先级高的链 接。

但前提是不高于限制带宽 n优先级有四个等级：特权、高、中、低QOS策略属性注意： 1.当配置的QOS策略中有保证带宽时，默认的优先级为中，可以手动选择特权或 高；当只有限制带宽时，优先级只能为低，不可更改同时受控类型的策略的 优先级也只能时低 2.只要上、下行中选的不是共享策略，那么其他三种策略可以互相搭配QOS策略属性以下是关于优先级实验的截图这是区域area_eth3中主机的下载速度这是区域area_eth2中主机的下载速度（图片中的两个数据不是同时的）从上图可以看出，接口剩余带宽优先分配给优先级高的连接QOS策略创建好之后，必须在ACL中引用才能起作用 n如果ACL引用的策略带有保证带宽，那么我们必须要选择区域，并且区域只 包含一个接口，同时这个接口设置了有效带宽 n同一QOS策略被不同ACL引用时，保证带宽之和不能超过接口的有效带宽 n其他的选项同ACL，这里不详细详述n打开ACL的“选项”，点击“高级”就可以看到创建的QOS策略我们可 以看到上面还有一个QOS选项，其实他和受控差不多，只不过他只能控制 下载的速率，而不能控制上传的速率n对接口或协议相关的指标设制相应的阀值并制定相应的报警机制，档统计值大于定值时报警流量异常检测入侵防御n 在入侵防御策略的配置方面，策略的源和目的的 配置与以前的v1版本相同，可以配置地址对象和 区域对象。

入侵防御策略配置n 在规则集引用部分，和v3保持一致，依然采用单 选的方式，而动作的执行在规则集里进行单独配 置入侵防御策略配置n 入侵防御策略里引擎动作包括防火墙联动、阻断时禁止连接、阻断时 加入黑名单、输出应用识别所有日志、输出url所有日志n 防火墙联动功能：仅在ids监听模式下有效，当配置好防火墙联动的配置以后，需要在引擎里打开这个开关后才能正常向防火墙下发策略n 阻断时禁止连接：当判断出连接上存在攻击时向客户端/服务器双方 向发rst来关闭连接，不勾选时仅为丢包n 阻断时加入黑名单：勾选时会将识别为攻击特征的连接其中的源地址 自动添加到黑名单，并启用一个定时器，在这个定时器时间范围内此 源地址无法穿过idp建立任何连接n 注：黑名单也可以手动设置，入侵防御策略后新加的选项就是添加黑 名单，这种方式添加的黑名单是永久生效的，除非手动删除n 输出应用识别和url日志：默认是只在判断为阻断的情况下进行记录，如果勾选则只要匹配规则的都会进行记录，因为记录大量的日志会消 耗大量的系统资源入侵防御策略配置--检测引擎参数设置入侵防御策略配置--检测引擎参数设置n 引擎工作模式包括：检测模式和优先模式。

n 检测模式分为智能检测和深度检测： n 智能检测：只检测每个连接的前n个报文（n可以 用户指定），能够起到很好的性能优化作用 n 深度检测：连接的所有通信报文都进行检测，性 能会有很大降低入侵防御策略配置--检测模式n 优先模式分为应用优先和安全优先： n 应用优先：启动软件bypass功能，如果流量增大 到检测引擎无法处理的情况，则软件bypass功能 发挥作用，超出的流量不再上送引擎处理，直接 转发，当引擎能够处理后，流量又上送引擎检 测在性能优化方面起到作用保证了客户的正 常应用，避免因处理能力导致的断网 n 安全优先：不启动软件b。