搜索
中国信息安全领导企业天融信IPS产品配置与维护May12,2020北京天融信科技有限公司目录IPS系统安装配置TP系统安装配置典型实验案例网络卫士入侵防御系统是集访问控制、应用识别、漏洞攻击防御、蠕虫检测、报文完整性分析为一体的网络安全设备,为用户提供整体的立体式网络安全防护。与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向。•五合一防护–DoS/DDoS–入侵防御–应用管控–URL过滤–卡巴斯基流病毒查杀•特色功能–万兆网络支持–WAF增值–IPv6环境产品介绍设备部署拓扑设备界面介绍Console配置接口MGMT管理接口IP:192.168.1.2Mask:255.255.255.0HA连接接口设备运行指示灯指示灯名称指示灯状态描述工作灯(Run)当入侵防御系统进入工作状态时,工作灯闪烁。主从灯(M/S)主从灯亮的时候,代表这台设备是工作设备;反之,如果主从灯处于熄灭状态,则该入侵防御系统工作在备份模式。管理灯(MGMT)当网络管理员,如安全审计管理员,登录入侵防御系统时,管理灯点亮。日志灯(Log)当有日志记录动作发生时,且前后两次日志记录发生的时间间隔超过1秒钟时,日志灯会点亮。扩展模块插槽参考《TOPSEC扩展模块安装手册》上线流程设备安装•部署位置–依据设备的使用目的选择相应的安装位置–根据安装位置环境对设备进行软硬件配置•接口类型–根据网络设备部署位置配置不同的接口模块安装环境•PC一台–拥有COM连接口–具有超级终端等远程操作程序•Console线缆–随机附赠•相应的网络线缆/接口卡/模块•系统升级补丁•升级签名库准备工具Console登录ID:supermanPWD:talentConsole端操作虽然Console端可以对设备进行完整配置,但是我们建议操作在WebUI下完成。在设备上线前,对设备管理配置可在console端完成:•管理接口配置命令行语法如下:networkinterfacestringipaddipaddressmasknetmask参数说明:string:网络卫士入侵防御系统物理接口名称,字符串,例如eth0。•管理范围配置命令行语法如下:定义IP:definehostaddnamestringipaddripaddress定义子网:definesubnetaddnamestringipaddripaddressmasknetmask定义地址范围:definerangeaddnamestringip1ipaddressip2ipaddress参数说明:string:资源名称,字符串。WebUI管理ID:supermanPWD:talent默认管理:系统监视系统管理网络管理流量管理资源管理入侵防御网站防护日志与报表配置培训系统监视模块对整个系统的基本状态进行实时监控,支持对系统总体及某一特定对象(如基于接口、协议、内容或其他规则)通信量、连接数、网络攻击、应用流量、带宽等数据的采集、统计和显示,用以满足用户对各种数据统计以及应用层流量管理的需求。这个模块有9个子模块:基本信息版本信息攻击统计病毒统计应用统计URL统计当前连接接口流量统计自定义统计系统监视2基本信息注意事项:•由于刷新频率不同步会出现同一参数在不同页面数据不一致的情况,系统资源和检测统计数据差距不大,网络接口瞬时速率会出现差别比较大的情况。基本信息版本信息攻击统计单击事件号能够查看规则的详细信息点击主机IP可以查看该主机所受攻击的详细信息。攻击统计注意事项:•将内网监控的监控级别设置为详细,才能显示主机排名。另外,如果主机监控数达到最大值后,则不会显示主机排名。•因为受攻击主机排名列表中的数据取自实时内存,详细信息的统计信息取自日志,所以会出现两者数据不一致的情况。病毒统计页面点击病毒名称查看病毒攻击源点击受病毒攻击主机地址能够查看到攻击的病毒名称病毒统计应用统计点击某应用可以查看是哪些主机占用了该应用协议的上下行流量。点击主机IP可以查看该主机所占用应用协议流量的详细信息注意事项若监控范围设为any时,IP记录了客户端和服务器两个IP,每个IP记录了上下行流量,这样记录了两次,而应用协议只记录了一次上下行流量,因此所有IP上下行流量总和约为应用协议上下行流量总和的2倍。当内网监控指定IP时,应用排名中流量统计与详细信息中主机流量基本相符。应用统计URL统计点击URL名称可以查看哪些主机访问了该类网站以及具体的访问次数。点击主机IP可以查看该主机访问了哪类网站以及具体的访问次数当前连接接口流量统计点击具体接口,显示该接口的详细流量信息。自定义统计对设备接口流量状况、安全区域内的受攻击状况、病毒感染状况、对应用流量的使用状况及内主机访问URL的状况进行自定义查询。双机热备---基本设置进入系统管理—双机热备,进入双机热备的设置页面身份:选择主机时,默认的优先级为254,;选择从属机时,默认的优先级为100,当然优先级可以手动更改地址:分为本地与对端,需要注意的是,这两个地址必须在同一个网段心跳间隔:两台网络卫士设备互发通信报文的时间间隔。抢占:是指主网关宕机后,重新恢复正常工作时,是否重新夺回主网关的地位。优先级相同的两设备中不存在抢占,并且只有优先级高设备抢占优先级低的设备的主身份对端同步:从对端机同步配置到本机上本地同步:从本地机同步配置到对端上双机热备---基本设置配置HA接口时,一定要将“ha-static”勾选,不然配置同步时会将该接口的信息覆盖配置物理接口其实VRID组就是用来选主备的,默认的情况下,所有的接口都是属于VRID0的,我们可以创建一个VRID组(组号在1到255之间),组优先级高的会优先成为主,同时设备上也只能创建一个VRID组,后创建的VRID组会将前面创建的覆盖掉fw36#haas-vrid1,在设备上创建vrid1,然后将通信接口加入到该组配置物理接口注意:目前我们的设备只支持AS模式。创建VRID组后,我们可以将接口加入到该组,如果加入到该组的某个接口down后,该组的优先级就会变为0最好用设备上专用的HA口做双机热备设备处于standy时,接口不回复、转发报文,所以不能用WEBUI登录设备只有在配置正确完成后才能上架,不然在直连、交换模式下容易造成环路配置物理接口链路聚合模块的作用是使多个接口的流量汇聚到单条链路上,也能使单个接口收到的流量均衡的从多个接口发出,可以起到扩充链路带宽和链路备份的作用。这个功能是topidpv5上新加的功能,设备上总共可以配置4条聚合链路,每条聚合链路上可以添加8个物理成员接口。负载均衡算法一共支持11个,分别根据不同的目标进行负载均衡,例如:根据源mac地址进行负载均衡,那么同一mac的流量只走聚合链路中的一个接口,不同mac的流量按照接口顺序进行轮询。其余算法的原理一样链路聚合注:建立起来一个聚合链路,那么这个聚合链路就当作一个逻辑接口来看待,加入聚合链路的物理口,其本身的属性都不生效了。目前聚合链路只支持交换和路由两种模式,不支持直连,不能强制设定其双工和速率,不能对其接口设定区域进行访问控制链路聚合流量管理分为两个部分:带宽控制流量异常分布带宽控制QOS策略属性出厂时,是没有任何QOS策略的,单击添加,出现如上的页面添加策略的名称QOS策略可以同时控制上、下行带宽,根据需要填写在上、下行中可以选择QOS的类型:1.策略独享:当多条ACL引用同一策略独享策略时,不同ACL之间的连接独享限制带宽与保证带宽,同一ACL中的不同连接限制共享限制带宽与保证带宽2.独享:当多条ACL引用同一独享策略时,不同ACL之间的连接独享限制带宽与保证带宽,同一ACL中的不同连接独享限制带宽与保证带宽3.共享:匹配ACL的所有连接共享限制带宽与保证带宽4.受控:每个连接的带宽不超过每主机限制带宽,所有连接的带宽之和不超过总限制带宽优先级:优先级只在同种策略中才起效,接口的剩余带宽优先分配给优先级高的链接。但前提是不高于限制带宽优先级有四个等级:特权、高、中、低QOS策略属性注意:1.当配置的QOS策略中有保证带宽时,默认的优先级为中,可以手动选择特权或高;当只有限制带宽时,优先级只能为低,不可更改。同时受控类型的策略的优先级也只能时低。2.只要上、下行中选的不是共享策略,那么其他三种策略可以互相搭配QOS策略属性QOS策略创建好之后,必须在ACL中引用才能起作用如果ACL引用的策略带有保证带宽,那么我们必须要选择区域,并且区域只包含一个接口,同时这个接口设置了有效带宽同一QOS策略被不同ACL引用时,保证带宽之和不能超过接口的有效带宽其他的选项同ACL,这里不详细详述打开ACL的“选项”,点击“高级”就可以看到创建的QOS策略。我们可以看到上面还有一个QOS选项,其实他和受控差不多,只不过他只能控制下载的速率,而不能控制上传的速率对接口或协议相关的指标设制相应的阀值并制定相应的报警机制,档统计值大于定值时报警流量异常检测在入侵防御策略的配置方面,策略的源和目的的配置与以前的v1版本相同,可以配置地址对象和区域对象。入侵防御策略配置在规则集引用部分,和v3保持一致,依然采用单选的方式,而动作的执行在规则集里进行单独配置。入侵防御策略配置入侵防御策略里引擎动作包括防火墙联动、阻断时禁止连接、阻断时加入黑名单、输出应用识别所有日志、输出url所有日志。防火墙联动功能:仅在ids监听模式下有效,当配置好防火墙联动的配置以后,需要在引擎里打开这个开关后才能正常向防火墙下发策略阻断时禁止连接:当判断出连接上存在攻击时向客户端/服务器双方向发rst来关闭连接,不勾选时仅为丢包阻断时加入黑名单:勾选时会将识别为攻击特征的连接其中的源地址自动添加到黑名单,并启用一个定时器,在这个定时器时间范围内此源地址无法穿过idp建立任何连接注:黑名单也可以手动设置,入侵防御策略后新加的选项就是添加黑名单,这种方式添加的黑名单是永久生效的,除非手动删除输出应用识别和url日志:默认是只在判断为阻断的情况下进行记录,如果勾选则只要匹配规则的都会进行记录,因为记录大量的日志会消耗大量的系统资源。入侵防御策略配置--检测引擎参数设置入侵防御策略配置--检测引擎参数设置引擎工作模式包括:检测模式和优先模式。检测模式分为智能检测和深度检测:智能检测:只检测每个连接的前n个报文(n可以用户指定),能够起到很好的性能优化作用。深度检测:连接的所有通信报文都进行检测,性能会有很大降低。入侵防御策略配置--检测模式优先模式分为应用优先和安全优先:应用优先:启动软件bypass功能,如果流量增大到检测引擎无法处理的情况,则软件bypass功能发挥作用,超出的流量不再上送引擎处理,直接转发,当引擎能够处理后,流量又上送引擎检测。在性能优化方面起到作用。保证了客户的正常应用,避免因处理能力导致的断网。安全优先:不启动软件bypass功能,如果流量超过检测引擎处理能力,那么会出现丢包现象。入侵防御策略配置--优先模式协议支持的作用是针对用户可能使用的非标准协议端口而起作用。如:HTTP8080或者FTP2121等。对应的配置在WEBUI上“资源管理→协议”页面中。本页面中已经预定义了绝大多数的应用层协议及其标准服务端口。已经预定义好的协议包括:ftp、ssh、telnet、smtp、dns、finger、http、pop2、pop3、sunrpc、auth、nntp、smb、imap、snmp、https、rlogin、rsh、mssql、oracle、mysql、oicp、irc。协议支持举例说明:某用户使用的HTTP服务器的服务端口为8080。那