搜索
H3CSecPathT系列IPS培训ISSUE1.0日期:2008-02杭州华三通信技术有限公司版权所有,未经授权不得使用与传播为什么需要IPS?怎么部署和管理IPS设备?如何安装、配置、管理、维护H3C的IPS设备?如何排查H3C的IPS设备的网上问题?引入了解IPS基本原理和典型应用掌握IPS的安装和开局配置思路掌握IPS的Web管理方式掌握IPS的CLI管理维护方式掌握IPS的网上问题排查技巧学习完本课程,您应该能够:课程目标IPS基本原理和典型应用IPS的安装和开局配置思路Web管理方式介绍CLI管理方式介绍网上问题排查目录:TransportLayerL3:NetworkLayerL2:LnkLayerL1:Phy.Layer路由器传统防火墙TCP/IPStackNICOSesWebServersWebApplicationFrameworksApplications风险越高越迫切需要被保护ApplicationDataSessionIDHTTPRequest/RespondTCPConnectionIPPacketEthernetPacketBitonWire内部“特征库”特征相匹配大型数据中心ISP/大型数据中心大型企业总部大型企业总部大型分支/中型企业大型分支/中型企业中型分支/小型企业中型分支/小型企业SOHO/小型分支SOHO/小型分支SecPathT200-S100Mbps(待定)SecPathT200200MbpsSecPathT200-E300MbpsSecPathT1000-S500MbpsSecPathT1000-M800MbpsSecPathT1000-A1.2GbpsSecPathT5000-A310GbpsSecBladeIPS1GbpsISP/大型数据中心ISP/大型数据中心大型企业总部大型企业总部大型分支/中型企业大型分支/中型企业中型分支/小型企业/SOHO中型分支/小型企业/SOHO无源连接设备PFC无源连接设备PFCSecPathPFC区,交换机将进出DMZ区的流量镜像到IPS,可以;检测来自Internet的针对DMZ区服务器的应用层攻击;检测来自Internet的DDoS攻击IPS部署在数据中心:;抵御来自内网攻击,保护核心服务器和核心数据;提供虚拟软件补丁服务,保证服务器最大正常运行时间;基于服务的带宽管理IPS部署在内部局域网段之间,可以;抑制内网恶意流量,如间谍软件、蠕虫病毒等等的泛滥和传播;抵御内网攻击分支机构分支机构分支机构IPS部署在广域网边界:;抵御来自分支机构攻击;保护广域网线路带宽IPS部署在外网Internet边界,放在防火墙前面,可以;保护防火墙等网络基础设施;对Internet出口带宽进行精细控制,防止带宽滥用;URL过滤,过滤敏感网页•借助于PFC,可保证IPS掉电时,网络依然畅通•PFC通过USB由IPS供电,当IPS掉电时,PFC会自动短路无源连接设备PFC(PowerFreeConnector)IPS与PFC组网PFC网络流量USB供电IPS的深度检测保证了网络的应用安全和应用性能H3CSecPathT系列IPS的各产品型号H3CSecPathT系列IPS领先的特性和优势IPS可随时、随地接入网络的各关键路径上,并可在不同的关键路径上应用不同的安全策略IPS的管理和维护是一个闭环过程本章总结IPS基本原理和典型应用IPS的安装和开局配置思路Web管理方式介绍CLI管理方式介绍网上问题排查目录设备的三种管理方法及组网设备的初始配置设备的各类安全策略IPS的安装和开局配置思路的Web管理方法z基于Telnet/SSH的命令行管理方法设备的三种管理方法及组网系统自带的“超级终端”工具注意选择的串口与配置电缆实际连接的串口一致设置串口终端的参数点击“还原为默认值”,设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,数据流控制为无的Web管理方法z基于Telnet/SSH的命令行管理方法设备的三种管理方法及组网[H3C]interfacem-gigabit0/0/0[H3C-if]ipaddressip-addressmask[H3C-if]undoshutdown默认情况下,设备上没有预先配置管理口IP地址上电启动完毕后,需要在串口上配置管理口IP地址,并启用管理口后方可登陆Web界面管理方式的登陆界面输入“http://管理口IP地址”用户名、密码默认admin管理方式输入“https://管理口IP地址”的Web管理方法z基于Telnet/SSH的命令行管理方法设备的三种管理方法及组网的命令行管理方式组网设备默认情况下,没有打开Telnet和SSH服务需要在串口上开启服务,方可用Telnet/SSH方式登陆设备H3Csystem[H3C]telnetserviceenable[H3C]sshserviceenable的命令行管理方式——使用putty工具输入“管理口IP地址”的命令行管理方式——使用putty工具的命令行管理方式——SecureCRT工具点“快速连接”,输入管理口IP地址及用户名设备的三种管理方法及组网设备的初始配置设备的各类安全策略目录设备的初始化配置配置管理口IP地址,开启管理口开启业务口配置安全区域配置段添加管理口静态路由(可选配置)开启设备的二层回退功能从左往右依次是1个为管理串口,两个USB口,四个业务口,一个管理网口左边上、下两个业务口为一个段,右边上、下两个业务口为一个段设备的三种管理方法及组网设备的初始配置设备的各类安全策略目录病毒防护策略设备的各类安全策略在实际应用时,IPS为必配项其他几项策略为可选项,请根据用户需求做适当配置设备的三种管理方式及组网设备的初始化配置设备的各种安全策略本章总结IPS基本原理和典型应用IPS的安装和开局配置思路Web管理方式介绍CLI管理方式介绍网上问题排查目录Web界面概览各类安全策略配置其他配置故障排查Web管理方式介绍界面概览–初始化首次登陆后,请:1.更改admin用户的密码2.配置管理口的接口路由3.选择HTTP/HTTPS服务配置策略并部署IPS步骤1.配置各个业务接口的速率和双工2.创建所需的安全区域3.创建相关的段4.配置相关的策略(攻击防护、URL过滤、……)并应用到相应的段上5.进行一些简单的线下测试(例如:ping是否通)6.将IPS接入网络中配置–用户系统管理-用户管理SecPathIPS有5种类型的用户(LEVEL0-LEVEL3和审计员)LEVEL0:只能使用Ping工具LEVEL1:观察者。在LEVEL0的基础,可以查看除用户配置外的所有配置和除操作日志外的所有日志LEVEL2:管理用。在LEVEL1的基础上,可以配置除了和用户、操作日志、恢复出厂设置相关的所有配置LEVEL3:超级用户。执行所有操作审计员:查看操作日志,配置和操作日志相关的配置两个注意点:缺省配置下,若干次登陆失败后用户将被锁定当前最大在线用户数:5攻击防护.带宽控制.URL过滤.DDoS.病毒防护.各类安全策略配置攻击防护–概念安全区域和段安全区域是一个物理/网络上的概念(特定的物理端口+VLANID)段可以看作是连接两个安全的区域的一个透明网桥策略被应用在特定的段上。段+策略+网络配置(IP地址、方向)特征、规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广。规则=特征+启用状态+动作集策略是一个包含了多条规则的集合动作和动作集攻击防护–概念安全区域和段(Zone&Segment)WANDMZ-攻击防护–概念特征、规则和策略–(Rule&Signature&Policy)PolicyPolicyRule1001Rule1001Rule6004Rule6004Rule1002……Rule1002SignatureblocknotifyENABLEProtocol:TCPProtocol:TCPStatus:EstablishStatus:EstablishPayload:……Payload:…………攻击防护–配置前提1.创建好需要的安全区域和段(参见《Web配置手册》中段管理以及安全区域模块)。配置步骤:1.创建一个IPS策略(从缺省的进行拷贝),如:“IPSforFinance”。2.对创建的策略进行相关的修改,搜索、修改、保存。3.将策略“IPSforFinance”应用到指定的段上。4.激活配置更改。5.可参见《Web配置手册》中的IPS典型配置举例。攻击防护–日志攻击防护的日志两种类型:阻断和告警(在数据库里为2张不同的表)可以使用过滤条件:攻击名称、攻击级别、动作类型……可以导出为CSV进行分析