TCSE2015认证培训课件ChannelEnablingTeam趋势科技IWSA(InterscanWebSecurityAppliance)3/16/2020Confidential|Copyright2013TrendMicroInc.TCSE2015认证培训课件学习目的•通过本课程学习,您可以掌握InterscanWebSecurityAppliance在企业网络中的安装部署及常规配置。帮助用户实现Web网关安全防护。TCSE2015认证培训课件内容大纲•功能概述•安装讲解及实验•重要配置讲解及实验•日志以及报告呈现TCSE2015认证培训课件产品概述TCSE2015认证培训课件IWSA的主要功能•协议的防护–HTTP,HTTPS,FTPTCSE2015认证培训课件6TrendMicrouseonlyIWSA新型号部署方式IWSA部署方式;管理员可以根据企业的本身需求,部署IWSA设备,部署后不会影响现有客户的网络结构。•代理联动模式•ICAP+IWSA•完全透明桥模式•与L4交换机联动•与Cisco交换机联动•多链路支持TCSE2015认证培训课件透明桥接模式•无需终端变更•无需网络架构变更•无网络“故障点”TCSE2015认证培训课件代理部署模式•整合用户上网代理•无需指定代理服务器类型TCSE2015认证培训课件高可用性部署•有效利用原有投入•无网络“故障点”•提供网络高可用性WCCP模式负载均衡设备联动TCSE2015认证培训课件多链路支持•IWSA新型号支持以下种类的多链路部署方式–多链路–端口组–断路检测–链路聚合•*详情请参见附件SOPTCSE2015认证培训课件IWSA产品系列规格比较(1)TCSE2015认证培训课件IWSA产品系列规格比较(2)TCSP2013TrainingCourse|Copyright2013TrendMicroInc.TCSE2015认证培训课件安装部署TCSE2015认证培训课件安装前的准备•必须掌握用户的网络拓扑–是否有代理/防火墙/监控/审计等专用设备•了解用户使用习惯–并发连接数,吞吐量–对比IWSA官方数据•换个流量小的位置部署•换一个部署模式•Bypass一些IP或IP段•利用隐藏功能(大于某个并发连接阙值的都不扫描)–软件使用习惯•决定IWSA的部署模式•决定网络参数TCSE2015认证培训课件用户的需求分析•用户的实际功能需求•用户极为重视IWSA扫描对性能的影响–参考IWSA测试建议配置相关文档调优,如•文件类型拦截•大文件处理方式•压缩文件处理方式•……TCSE2015认证培训课件硬件准备工作•IWSA设备•9针串口线•USB键盘•显示器•交叉线TCSE2015认证培训课件安装演示•使用虚拟环境下部署时–绕过硬件检测•安装界面按Tab键•输入“nohwfail”TCSE2015认证培训课件安装部署实验•实验一:完成IWSA的程序安装TCSE2015认证培训课件配置和维护TCSE2015认证培训课件管理界面•Web控制台––用户名:adminTCSE2015认证培训课件策略配置•测试流程建议–上线前先关闭所有扫描功能,网络通讯正常后再逐步启用–用户现场测试不建议启用•Web信誉规则•Applets/ActiveX•URL过滤•HTTP/HTTPS/FTP扫描配置•黑白名单的设置TCSE2015认证培训课件配置实验•实验二:阻止用户访问的网页上显示图像文件,网址例外•实验三:配置IWSA,使客户端无法上,但能访问music.baidu.com.cn:•实验四:阻止用户通过FTP下载eicar测试病毒TCSE2015认证培训课件日常维护配置•登录预设控制台–可使用Putty工具(需启用SSH)–用户名:root,密码为安装时所设置•补丁和系统的更新TCSE2015认证培训课件维护实验•实验五:使用Putty工具登录IWSA预设置控制台TCSE2015认证培训课件日志报告呈现•摘要管理•报告设置•日志查询和分析–开启URL访问日志TCSE2015认证培训课件日志报告实验•实验六:开启URL访问日志,并查询生成的日志内容•实验七:生成一份实时报告TCSE2015认证培训课件BYPASS机制TCSE2015认证培训课件Bypass机制:硬件bypass(Lanbypass卡)•原理硬件bypass即为lanbypass卡bypass,如果被启用,IWSA就像一根网线,网络流量根本不经过IWSA机器,对于客户的网络性能没有任何影响,•适用场景–如果IWSA出现故障,需要暂时bypass;–如果需要重启IWSA网卡;–如果需要重启IWSA机器。•优势不影响客户网络流量下,可以对IWSA机器做任何事情TCSE2015认证培训课件•常用命令(假设eth1和eth2为IWSA上下行网口,其中eth1为master网口,下面的命令必须对master网口设置才起作用,如果对slave网口设置,其会提示出错信息。)查看IWSA的网卡是否为bypassbpctleth1get_bypass启用lanbypass(即网络流量不经过IWSA)bpctleth1set_bypasson禁用lanbypass(即恢复扫描状态)bpctleth1set_bypassoff•注意事项在启用lanbypass功能之前,需要设置IWSA的管理口连接,否则无法管理机器,在lanbypass启用之后,只用通过管理口或者COM口才能连上IWSA。Bypass机制:硬件bypass(Lanbypass卡)TCSE2015认证培训课件Bypass机制:系统bypass(IWSA系统内核层)•原理利用IWSA操作系统内核conntrack进行bypass,即通常所说的rpolicybypass。通过rpolicy设置,可以控制IWSVA对哪些端口,哪些IP(包括目的IP和源IP)或者哪些mac地址进行扫描。如果在rpolicy清空的情况下,即进行全部bypass,在1000M网络性能下,其可以达到900M+,可以说对网络性能几乎没有影响。•应用场景–在性能测试中,IWSVA的吞吐量不够;–在某些时段,客户流量达到一定的并发值之后,上网会变慢;–在某些情形下,内网通过IWSVA不能访问某些网站;–在某些情形下,某些特殊的客户端或者某个子网不能上网;•优势不需要重启网卡,在设置后自动生效TCSE2015认证培训课件两个角度:•从总的connection数目bypass通常IWSA6000会设置总连接bypass的数目为5000,即系统连接数超过5000个连接后的请求直接从系统内核经过,不会再扫描;•对于符合条件的流量进行bypass,比如某些目的/源IP地址,某些目的/源端口,某些目的/源MAC地址;Bypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件•跟rpolicy密切相关的文件(1)/etc/iscan/network.ini(需要重启网卡)–ct_redir_max=5000,即总的连接数超过5000之后即bypass–bypass_dstIP=…,该项参数是bypass所有这些目的IP的数据包/proc/conntrack/rpolicy,查看rpolicy规则Bypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件•跟rpolicy密切相关的文件(2)/proc/conntrack/ct_redir_max–查看当前总连接的bypass数目–network.ini文件中的ct_redir_max参数设置是对应的/proc/conntrack/help–查看rpolicy设置的帮助命令Bypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件常见应用1:动态更改bypass的总连接数(即通常所说的overloadbypass)场景:在测试中频繁使用大文件测试,造成IWSA的性能降低方法:动态降低总的bypass连接数:echo3000/proc/conntrack/ct_redir_max注:在重启网卡或者机器会失效要保留设置,同时修改network.ini参数ct_redir_maxBypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件常见应用2:删除某个policy方法echoDEL5/proc/conntrack/redirect即可以删除第5条rpolicyBypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件常见应用3:动态增加Bypass某些目的IP方法1.先查看rpolicy中端口转发的规则编号(more/proc/conntrack/rpolicy)2.再删除rpolicy中端口转发的规则Bypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件常见应用3:动态增加Bypass某些目的IP方法3.再添加bypass某些目的IP的规则4.然后再添加端口转发规则5.再确认规则是否成功添加(more/proc/conntrack/rpolicy)Bypass机制:系统bypass(IWSA系统内核层)注:保留该设置,请同时修改network.ini参数bypass_dstIP,添加该目的IP段TCSE2015认证培训课件常见应用4:动态增加Bypass某些源IP方法有时候某些特殊的子网IP可能由于IWSA不能上网,这样的话可以增加bypass源IP的命令,步骤和3)完全一样,只是在第c)步的命令为:echoADD–sip10.64.60.1/24-actionpass/proc/conntrack/redirect可以bypass源IP为10.64.60.1的C网IP地址Bypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件常见应用5:bypass所有网络流量(即清空rpolicy)方法:a).先保存现有的rpolicy策略cat/proc/conntrack/rpolicy/tmp/rpolicyb).清空rpolicy很简单:echo/proc/conntrack/rpolicy需要恢复的话,请按以下步骤:c).编辑/tmp/rpolicy文件:vi/tmp/rpolicy如果rpolicy形式如下:Bypass机制:系统bypass(IWSA系统内核层)TCSE2015认证培训课件常见应用5:bypass所有网络流量(即清空rpolicy)方法:需要改为:d).然后键入:cat/tmp/rpolicy/proc/conntrack/rpolicye).more/proc/conntrack/rpolicy确认Bypass机制:系统bypass(IWSA系统内核层)注:rpolicy规则不能超过128条,超过128条后rpolicy会被清空TCSE2015认证培训课件Bypass机制:一键bypass(WSVA5.6)Bridge部署模式:•当出现严重的性能问题或网络数据包无法向外发送时,使用该方法bypass所有流量•摘要页要--“ByPassTraffic”.–已使用LanBypass卡,该操作会启用LanBypass模式mode–未使用LanBypass卡,rpolicy表会被清空TCSE2015认证培训课件Bypass实验•实验八:–配置IWSA下某一客户端,能正常下载eicar.comTCSE2015认证培训课件ThankYou!CEOEva微博云计算安全博客趋势科技官网