联想网御LSPE-UTM技术培训V20

1联想网御PowerV-UTM案例培训2010年3月（软件版本：3.0.4.26）2PowerVUTM升级服务注册PowerVUTM登陆与界面介绍PowerVUTM深度防护配置PowerVUTM入侵防护功能配置PowerVUTM病毒防护功能配置12345PowerVUTM反垃圾邮件功能配置6目录3案例一、升级服务注册4案例1.升级服务注册UTM升级服务注册好处攻击特征库近2600条特征，以及Blade测试库500多条特征。IPS和UTM等产品可以通过配置自动在线升级、定时升级和立即升级等方式，下载最新的特征，防范最新的攻击。病毒库与江民科技成立“黑客攻击与网络病毒研究联合实验室”，共同研究分析网络攻击行为特征和恶意代码特征。应用特征库支持近百种应用400多条特征，全面支持主流应用的检测、阻断和带宽控制，包括最新BT加密协议、eMule、迅雷等P2P下载软件，PPLive、QQLive等P2P视频软件，QQ和MSN等IM软件及其子协议，网游和炒股软件等。URL分类库包括52个分类，按分类过滤。挂马站点库通过自动监控平台和人工分析，监测国内400万网站的一级和二级页面。在产品中内置挂马站点库，用户访问被挂马的网站时，提示风险，阻断木马的主要传播途径。5升级服务发放联想网御安全产品服务购买证明尊敬的联想网御用户，您好！首先，诚挚地感谢您选购我公司的产品和相应服务！我们将为您提供专业的支持服务。本证明是对贵单位购买我公司产品的服务内容和起止时间说明。服务内容：联想网御绿色上网功能模块升级服务GS-H-Update（绿色上网功能模块的1年升级服务）注册码：aa00-1b34-2357-3ed5注册码编号：6011111服务起始时间：2008/11/25服务结束时间：2009/12/25出厂日期：2008/11/23请确保您在获得此文件的时候，注册码涂层未被提前刮开，并尽快完成用户注册以便开始使用所购买的服务。步骤如下：1、登陆联想网御公司网站，打开“客户服务”--“在线升级”页面；2、凭此注册码和您的设备NT号完成用户注册，并下载License文件；3、将License文件导入设备您可以通过以下方式联系我公司获得更多服务：通讯地址：北京市海淀区中关村南大街6号中电信息大厦8层邮编：100086客户热线：400-810-7766010-82167766传真：010-82166998网址：联想网御科技（北京）有限公司案例1.升级服务注册6升级服务中心域名和登录方式升级服务服务中心域名为:用户两种进入方式：1、登陆、直接输入进入升级服务中心是公司与用户之间的桥梁，是用户获取公司最新升级信息的最佳方式。案例1.升级服务注册7用户凭注册码和设备NT号注册案例1.升级服务注册8案例1.升级服务注册查看设备升级服务信息9案例1.升级服务注册导入License文件10案例二、登陆与界面介绍11串口命令行管理方式：管理方式介绍-串口管理1234ConsoleCable开始－程序－附件－通讯－超级终端12串口命令行管理方式：管理方式介绍-串口管理13串口命令行管理方式：管理方式介绍-串口管理14推荐使用证书方式管理UTM安全网关！Web页面管理的必要条件（二选一）：A.证书认证需要导入IE证书，之后即可通过IE浏览器管理UTM安全网关。B.电子钥匙认证需要安装电子钥匙驱动程序和UTM登录认证程序。管理方式介绍-web管理151、接通UTM设备的电源，按下开关开启UTM设备，当听到“滴滴滴”后系统启动完成。2、选用一台带USB接口、以太网卡、串口和光驱的PC机作为UTM的管理主机，操作系统应为Window98/2000/XP/2003(暂不支持Linux、Unix)。3、使用随机提供的交叉线，连接管理主机和UTM设备的FE4网口10.1.5.254(出厂默认的地址),将管理主机的IP地址改为10.1.5.200（UTM默认的管理主机IP）。管理方式介绍-web管理16当IE证书导入成功后，我们在管理主机打开IE浏览器并输入，出现选择证书提示后点击“确定”。管理方式介绍-web管理17证书认证：出现安全警报后点击“是（Y)”就会出现UTM安全网关的登录页面*注：XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口选取去掉：如下图登录UTM安全网关18默认用户名：administrator默认密码:administrator登录UTM安全网关19•UTM安全网关界面是基于B/S模式。大致可分为以下几个模块：快速配置系统配置网络配置资源管理入侵防护病毒防护反垃圾邮件深度防护状态监控报表帮助UTM安全网关管理界面熟悉WEB配置界面开始针对UTM安全网关WEB配置界面进行认识20仪表盘UTM安全网关仪表盘21流量统计图UTM安全网关仪表盘22最新事件UTM安全网关仪表盘23系统参数如要修改UTM的名称，请点击“编辑”更改完名称后点击确定更改UTM的名称UTM安全网关系统配置24案例三、深度防护配置25•深度防护结合了病毒防护与入侵检测两种防护策略，可以先通过病毒防护对数据包内容进行过滤，再通过入侵检测防护对数据包行为进行监测，进而达到对用户网络的全方位防护。•配置步骤：新建深度防护策略，再在深度防护规则中引用。案例3.深度防护配置深度防护配置—概述26深度防护策略案例3.深度防护配置要新建深度防护策略，点击“添加”最后点击“确定”选择相应的入侵防护模版选择相应的防病毒模版27深度防护策略在这里可以看到刚才新建的深度防护策略案例3.深度防护配置28深度防护规则要添加新的深度防护规则点击“添加”案例3.深度防护配置引用定义好的的深度防护策略在这里可以看到刚才新建的深度防护规则29案例四、入侵防护配置30•入侵防护功能是UTM安全网关配置的重点。•应用入侵防护功能，首先需要定义入侵防护策略，然后将此策略应用于深度防护策略中，并在深度防护规则中引用生效。入侵防护—概述案例4.入侵防护配置31攻击机:192.168.1.100被攻击服务器:192.168.1.200Brg：192.168.1.254fe2fe3•本案例UTM配置需求：•UTM的FE2\FE3口配置为透明模式，配置管理ip：192.168.1.254。•新建一条名字为ips的入侵防护策略，引用标准入侵防护模板。•新建一个名为test1的深度防护策略，单独引用之前的IPS策略。•新建一个的深度防护规则，源地址是192.168.1.100,目的地址是192.168.1.200深度防护策略处引用test1策略。•攻击机发送攻击回放包，在UTM的仪表盘和日志中查看相应的现象。入侵防护拓扑图案例4.入侵防护配置32入侵防护配置案例4.入侵防护配置先添加一个ips策略，引用标准入侵防御模板在这里可以看到我们新建的新建的ips策略33入侵防护配置案例4.入侵防护配置添加一个test1的深度防护策略在这里可以看到刚才新建的test1深度防护策略34入侵防护配置案例4.入侵防护配置由于系统已经内置了一条深度防护规则，需要将其修改一下至此，本案例配置完毕，此时攻击机发送，在UTM上观察仪表盘以及日志。35入侵防护验证案例4.入侵防护验证扫描类攻击溢出类攻击扫描类攻击溢出类攻击本案例进行的扫描类攻击、溢出类攻击的事件报警。如果则深度过滤规则中进行日志记录可以在日志中查到相应信息。36案例五、病毒防护配置37•病毒防护，英文即Anti-virus（简称AV），是安全网关系统的重要功能之一。•应用病毒防护功能，首先需要定义病毒防护策略，然后将此策略应用于深度防护策略中，并在深度防护规则中引用生效。病毒防护—概述案例5.病毒防护配置38客户机：192.168.1.100病毒服务器:192.168.1.200Brg：192.168.1.254fe2fe3•本案例UTM配置需求：•UTM的FE2\FE3口配置为透明模式，配置管理ip：192.168.1.254。•新建一条名字为av的病毒防护策略，引用标准病毒防护模板。•新建一个名为test2的深度防护策略，单独引用之前的IPS策略。•新建一个深度防护规则,并将其放置在第一条规则，源地址是any,目的地址是any深度防护策略处引用test2策略。•在UTM的仪表盘和日志中查看相应的现象。病毒防护拓扑图案例5.病毒防护配置39病毒防护配置案例5.病毒防护配置添加一个新的av模板，选择标准病毒防护策略在这里可以看到我们新建的新建的av防病毒策略40病毒防护配置案例4.病毒防护配置添个一个名为test2的深度防护策略，只引用av策略在这里可以看到我们新建的新建的test2深度防护策略41病毒防护配置案例5.病毒防护配置由于系统已经内置了一条深度防护规则，需要将其修改一下至此，本案例配置完毕，此时客户机通过FTP下载的方式获取病毒样本，观察UTM的仪表盘以及日志42病毒防护验证案例5.病毒防护验证病毒文件病毒文件病毒文件病毒文件本案例进行的病毒下载实例的事件报警。如果深度防护规则中进行日志记录可以在日志中查到相应信息。43案例六、反垃圾邮件配置44•面对日益增多的垃圾邮件的干扰，联想UTM网关通过反垃圾邮件系统有效的对垃圾邮件进行适合用户需求的多样化处理。目前，反垃圾邮件系统的主要功能有：•垃圾邮件服务器IP地址黑名单功能；•启用垃圾邮件地址检查；•启用主题关键字检查；•注：反垃圾邮件功能只支持路由模式。而且反垃圾邮件功能会和SMTP\POP3协议的防病毒功能互斥。反垃圾邮件—概述案例6.反垃圾邮件配置45192.168.1.100172.16.1.100192.168.1.1fe2fe3•本案例UTM配置需求：•UTM的FE2\FE3口配置为路由模式。•打开UTM上的反垃圾邮件功能。•打开反垃圾邮件之主题关键字检查功能。•发送带有“法轮功”“拉登”的邮件，在UTM的仪表盘和日志中查看相应的现象。反垃圾邮件拓扑图172.16.1.1案例6.反垃圾邮件配置46反垃圾邮件配置案例6.反垃圾邮件配置47反垃圾邮件配置案例6.反垃圾邮件配置至此，本案例配置完毕，发送带有法轮功字样的邮件，观察UTM日志等是否会将其阻拦。48反垃圾邮件验证案例6.反垃圾邮件验证配置好关键字过滤后，UTM会自动删除邮件中的关键字，进行日志记录可以在日志中查到相应信息。49