TopIDP产品操作培训

1网络卫士入侵防御系统产品操作培训产品管理部2TopIDP的产品简介TopIDP的安装TopIDP配置TopIDP的常见问题（ＦＡＱ）内容3TopIDP2000-22051U机型，配备硬件加速卡：标配5个10/100BASE-TX端口（4个作两路IDP转发，1个管理端口）性能:200MbBypass、Inline切换开关：切换IDP转发端口Bypass、Inline状态USB口：USBkey恢复口RST：重启设备IDP转发端口指示灯管理端口USB口Bypass、Inline切换开关TopIDP产品简介RST系列号：2000系列产品类型：低端产品扩展口数量：无扩展口端口数量：5个端口4TopIDP2000-23081U机型；标配8个10/100BASE-TX端口(4个作IDP转发，3个作通讯转发，1个管理端口）性能:400Mb线速Bypass、Inline切换开关：切换IDP转发端口Bypass、Inline状态USB口：USBkey恢复口RST：重启设备IDP转发端口指示灯防火墙端口管理端口USB口Bypass、Inline切换开关TopIDP产品简介RST5TopIDP3000-32234U机型：标配2个千兆GBIC插槽＋3个10/100BASE-TX端口（2个作IDP转发，1个管理端口）性能:2000Mb线速Bypass、Inline切换开关：切换IDP转发端口Bypass、Inline状态USB口：USBkey恢复口RST：重启设备IDP转发端口LCD管理端口USB口Bypass、Inline切换开关AUXTopIDP产品简介RST6TopIDP的产品简介TopIDP的安装TopIDP配置TopIDP的常见问题（ＦＡＱ）内容7直通线注：管理口必须接入网络才能进行邮件病毒过滤和在线升级Swich、Hub管理机硬件安装：TopIDP系统连线TopIDP的安装直通线交叉线路由器、防火墙直通线8直通线注：管理口必须接入网络才能进行邮件病毒过滤和在线升级Swich、Hub管理机硬件安装：TopIDP系统连线TopIDP的安装光纤跳线直通线路由器、防火墙光纤跳线9安装须知加电启动时，系统检测硬件pwr、err、log、chk灯会闪烁几次，启动完成后pwr灯常亮、系统有问题err灯常亮。系统出厂ip为192.168.1.254，出厂用户名：superman，出厂密码：talent11系统默认开放8、80端口，如果连接不正常，请尝试ping192.168.1.254或telnet192.168.1.25480首次安装使用时，要将所有策略都配置上，响应方式设为检测并记录日志，试运行一周，每天观察并判断哪些是真正的攻击，哪些是误报，将误报的策略从策略组删除或进行调整TopIDP的安装10TopIDP的安装软件安装此时安装程序会检测是否已经安装过低版本的TopIDP客户端软件，如果安装过，安装程序会自动将其卸载，软件安装后须重新启动计算机11TopIDP的安装软件界面项目区：向用户提供类似资源管理器的树型列表实时运行记录：当TopIDP系统截获与设置的安全策略相匹配的数据报文时，将在此窗口显示相应的信息系统配置区：用户在导航菜单选择不同的菜单时，在右侧界面显示相应模块的配置信息，用户可以在此对配置信息进行查看、添加、修改、删除以及其他的管理工作显示区：实时显示网络/端口/系统/邮件运行状况开启实时记录查看功能关闭实时记录查看功能将窗口当前的记录全部清空12TopIDP的产品简介TopIDP的安装TopIDP配置TopIDP的常见问题（ＦＡＱ）内容13基本配置网络、网络组对象管理时间对象管理用户、用户组对象管理（用户名）报警对象管理路由、NAT、端口转换设置接口地址设置检测&阻断策略设置查看综合报表查看详细日志、系统日志查看配置日志、认证日志、完整性检查日志14网络、网络组对象管理网络、网络组对象管理掩码方式可以对独立网段的每个分段/特定主机进行限定。掩码方式下ip地址数量由子网掩码值决定，图中所示设定确定后将自动变更为192.168.1.0网段，而不是192.168.1.100的IP或特定网段的每个组掩码方式可以对特定网段的每个组进行限定15时间对象管理时间对象管理星期选项条目与日期选项相对应16用户、用户组对象管理用户、用户组对象管理用户密码前两位必须为字母，且密码至少要包含两位数字，新建用户密码可以为空，但是空密码用户不能使用，新建用户必须添加用户权限后才能登录用户的ID名称，可以使用最多20个大写或小写字母来命名，不能含有“‘/\;:*?+=[]”字符，含有这些字符时无法完成输入对用户按照属性进行分类管理时需要输入，否则无法在系统管理处查看该用户相关属性及策略为了密码的安全有必要周期性的进行修改密码。指定期限后，如过了期限将不能再使用该ID。选择“终止”时可以设定该用户的有效期“无效(A)”是指该用户不能使用。“锁定(L)”是当用户的识别出现问题时，只有管理员解除锁定才能再次使用如果想用电子邮件接收报警信息，就要在‘E-mail(E)’里输入电子邮件的地址17报警对象管理报警对象管理TopIDP目前支持声音报警、屏幕报警及邮件报警三种报警方式硬盘空间不足报警数据完整性破坏报警用户登录异常报警HA时备机切换成主机时报警HA时主机切换成备机时报警自动备份报警Bypass-inline状态切换报警18路由设置路由设置（仅适用于TopIDP2308）添加WAN、LAN、DMZ口IP后相关路由自动生成无需设置19NAT设置NAT设置（仅适用于TopIDP2308）LAN访问外网必须设置NAT20端口转换设置端口转换设置（仅适用于TopIDP2308）WAN访问ＬＡＮ必须设置端口转换21接口地址设置接口地址设置设置防火墙WAN、LAN、DMZ口时需设置网口MAC地址，否则无法使用，MAC地址前6位为0，后6位自己定义防火墙WAN、LAN、DMZ最多可以设置4个IP地址管理口必须设好默认网关、DNS服务器并能连通internet才能够进行在线升级、注册、邮件病毒过滤管理口只能设置一个IP地址，添加新的IP地址须删除原IP地址22检测＆阻断设置检测＆阻断设置：界面选择策略生效的模块和端口，可以选择某个特定的端口或几个端口的组合设置检测数据的源与目的网络，可以选择网络对象或网络组，无效的网络组无法应用设置应用的策略对象，可以选择策略对象或策略组对象，无效的策略组无法应用响应方式可以选择检测、阻断、检测并记录日志、阻断并记录日志、检测并记录数据、阻断并记录数据，其中检测、阻断不记录日志也不记录数据包，检测并记录日志与阻断并记录日志仅记录日志，不记录数据包，检测并记录数据与阻断并记录数据不仅记录日志，而且记录数据包设置策略的生效时段新策略添加后必须保存、应用后才能生效系统调试信息设置某条策略的颜色23查看综合报表综合报表分类标准报表时间段报表日报表周报表月报表综合报表的分类24查看综合报表标准报表分为以下几种：网络使用情况（Mbps）网络使用情况（帧）字节分类报表允许帧和阻断帧变化报表病毒报表标准报表25查看综合报表时间段报表分为以下几种：Top10攻击类型Top10受攻击主机Top10攻击者Top10病毒类型Top10接收病毒邮件地址Top10发送邮件病毒地址时间段报表26查看综合报表日报表分为以下几种：攻击事件/流量Top10攻击类型Top10受攻击主机Top10攻击者Top10病毒类型Top10接收病毒邮件地址Top10发送病毒邮件地址事件数量和上一天相比日报表27查看综合报表周报表分为以下几种：攻击事件/流量事件数量和上周相比周报表28查看综合报表月报表分为以下几种：所有检测/阻断列表按照类型阻断/检测个数按照类型阻断/检测流量月报表29查看详细日志、系统日志详细日志：是在检测&阻断的响应方式中选择了记录所有数据时，流经IPS的数据在符合条件时记录的数据。邮件日志：病毒邮件记录详细日志、邮件日志30查看详细日志、系统日志系统日志包含以下几种：邮件日志：正常邮件日志引擎管理：硬件加速卡启动／停止日志日志信息：系统启动／关闭日志自动备份：详细日志、邮件日志自动备份时的日志报警信息：报警日志系统日志31查看配置日志、认证日志、完整性检查日志配置日志包含配置记录及自动更新日志两种，其中配置记录包含配置菜单中的操作及工具菜单中选项菜单中的操作，实时更新日志记录系统升级信息。认证日志包含用户登录、注销的记录信息完整性日志包含手动完整性检查的日志和自动完整性检查的日志配置日志、认证日志、完整性检查日志32高级配置自定义策略恢复出厂配置异常配置Syslog配置33自定义策略深度转向代理服务器，仅邮件病毒过滤时需要目前仅支持TCP、UDP、ICMP协议内容过滤，7层过滤时需设置34偏移：54，深度：0，内容（攻击特征）：5F75702E657865，长度7自定义策略目的端口：5554，源端口使用默认1024-65635即可，长度：默认0-6553535恢复出厂配置USBkey恢复内容：1）出厂IP地址：192.168.1.2542）superman密码3）inbound、outbound设置注意事项：启动后第一次恢复时，插入USBkey即可，第二次恢复时需重新启动系统，待系统启动完成后插入USBkey即可。配置中所有选项工具菜单中内容变更管理口IP地址、日志36异常配置异常配置：1）针对源主机、目的主机及TCP、UDP、ICMP协议配置Dos/DDos检测策略以及处理方式2）设置针对某台主机或某个网络的某个策略的异常例外处理阻断、检测、限制流量Summarylog（在日志中仅记录流量统计信息）、Detaillog（在日志中记录流量详细信息）、PacketDump（对流量数据包进行转储到详细日志）37syslog配置配置Syslog服务器设置配置完成后点击确定系统即可发送syslog日志38TopIDP的产品简介TopIDP的安装TopIDP详细配置TopIDP的常见问题（ＦＡＱ）内容39Q：设备无法ping通，且telnet也无法连接时怎么办？A：首先检查系统的网络连线是否正确，如果连接正确，请尝试使用USBkey恢复系统出厂IP，恢复方法参考，恢复出厂设置项。如果恢复出厂IP后仍然无法ping通，请将问题设备返厂维修。Q：TopIDP能不能拦截未知攻击？A：可以。我们的产品对未知攻击的防御是采用异常设置，设置之后，正常的数据包可以通行，非正常数据包则被拦截。TopIDP的常见问题（ＦＡＱ）40Q：为什么不能在线升级？A：1、检查工具—〉选项—〉实时更新选项中的策略是否打勾，升级服务器设置是否正确；2、检查工具—〉选项—〉系统选项的出站连接的TCP80端口和TCP3939端口是否打开。Q：为什么新添加策略后无法应用到系统？A：应该是新添加的策略有无效项导致的。解决方法：1、检查源、目的网络或网络组是否有效；2、检测策略组是否有效。TopIDP的常见问题（ＦＡＱ）41谢谢！