售后培训天融信入侵防御产品配置与维护V.pptx
- 文档编号:1723697
- 上传时间:2022-10-23
- 格式:PPTX
- 页数:194
- 大小:13.18MB
售后培训天融信入侵防御产品配置与维护V.pptx
《售后培训天融信入侵防御产品配置与维护V.pptx》由会员分享,可在线阅读,更多相关《售后培训天融信入侵防御产品配置与维护V.pptx(194页珍藏版)》请在冰豆网上搜索。
,中国信息安全领导企业,天融信IPS产品配置与维护,October23,2022,北京天融信科技有限公司,目录,网络卫士入侵防御系统是集访问控制、应用识别、漏洞攻击防御、蠕虫检测、报文完整性分析为一体的网络安全设备,为用户提供整体的立体式网络安全防护。
与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向。
五合一防护DoS/DDoS入侵防御应用管控URL过滤卡巴斯基流病毒查杀特色功能万兆网络支持WAF增值IPv6环境,产品介绍,设备部署拓扑,设备界面介绍,Console配置接口,MGMT管理接口IP:
192.168.1.2Mask:
255.255.255.0,HA连接接口,设备运行指示灯,扩展模块插槽参考TOPSEC扩展模块安装手册,上线流程,设备安装,部署位置依据设备的使用目的选择相应的安装位置根据安装位置环境对设备进行软硬件配置接口类型根据网络设备部署位置配置不同的接口模块,安装环境,PC一台拥有COM连接口具有超级终端等远程操作程序Console线缆随机附赠相应的网络线缆/接口卡/模块系统升级补丁升级签名库,准备工具,Console登录,ID:
supermanPWD:
talent,Console端操作,虽然Console端可以对设备进行完整配置,但是我们建议操作在WebUI下完成。
在设备上线前,对设备管理配置可在console端完成:
管理接口配置命令行语法如下:
networkinterfaceipaddmask参数说明:
string:
网络卫士入侵防御系统物理接口名称,字符串,例如eth0。
管理范围配置命令行语法如下:
定义IP:
definehostaddnameipaddr定义子网:
definesubnetaddnameipaddrmask定义地址范围:
definerangeaddnameip1ip2参数说明:
string:
资源名称,字符串。
WebUI管理,ID:
supermanPWD:
talent,默认管理:
https:
/192.168.1.254,系统监视系统管理网络管理流量管理资源管理入侵防御网站防护日志与报表,配置培训,系统监视模块对整个系统的基本状态进行实时监控,支持对系统总体及某一特定对象(如基于接口、协议、内容或其他规则)通信量、连接数、网络攻击、应用流量、带宽等数据的采集、统计和显示,用以满足用户对各种数据统计以及应用层流量管理的需求。
这个模块有9个子模块:
基本信息版本信息攻击统计病毒统计应用统计URL统计当前连接接口流量统计自定义统计,系统监视,2,基本信息,注意事项:
由于刷新频率不同步会出现同一参数在不同页面数据不一致的情况,系统资源和检测统计数据差距不大,网络接口瞬时速率会出现差别比较大的情况。
基本信息,版本信息,攻击统计,单击事件号能够查看规则的详细信息,点击主机IP可以查看该主机所受攻击的详细信息。
攻击统计,注意事项:
将内网监控的监控级别设置为详细,才能显示主机排名。
另外,如果主机监控数达到最大值后,则不会显示主机排名。
因为受攻击主机排名列表中的数据取自实时内存,详细信息的统计信息取自日志,所以会出现两者数据不一致的情况。
病毒统计页面,点击病毒名称查看病毒攻击源,点击受病毒攻击主机地址能够查看到攻击的病毒名称,病毒统计,应用统计,点击某应用可以查看是哪些主机占用了该应用协议的上下行流量。
点击主机IP可以查看该主机所占用应用协议流量的详细信息,注意事项若监控范围设为any时,IP记录了客户端和服务器两个IP,每个IP记录了上下行流量,这样记录了两次,而应用协议只记录了一次上下行流量,因此所有IP上下行流量总和约为应用协议上下行流量总和的2倍。
当内网监控指定IP时,应用排名中流量统计与详细信息中主机流量基本相符。
应用统计,URL统计,点击URL名称可以查看哪些主机访问了该类网站以及具体的访问次数。
点击主机IP可以查看该主机访问了哪类网站以及具体的访问次数,当前连接,接口流量统计,点击具体接口,显示该接口的详细流量信息。
自定义统计,对设备接口流量状况、安全区域内的受攻击状况、病毒感染状况、对应用流量的使用状况及内主机访问URL的状况进行自定义查询。
系统管理,双机热备-基本设置,进入系统管理双机热备,进入双机热备的设置页面身份:
选择主机时,默认的优先级为254,;选择从属机时,默认的优先级为100,当然优先级可以手动更改地址:
分为本地与对端,需要注意的是,这两个地址必须在同一个网段心跳间隔:
两台网络卫士设备互发通信报文的时间间隔。
抢占:
是指主网关宕机后,重新恢复正常工作时,是否重新夺回主网关的地位。
优先级相同的两设备中不存在抢占,并且只有优先级高设备抢占优先级低的设备的主身份对端同步:
从对端机同步配置到本机上本地同步:
从本地机同步配置到对端上,双机热备-基本设置,配置HA接口时,一定要将“ha-static”勾选,不然配置同步时会将该接口的信息覆盖,配置物理接口,其实VRID组就是用来选主备的,默认的情况下,所有的接口都是属于VRID0的,我们可以创建一个VRID组(组号在1到255之间),组优先级高的会优先成为主,同时设备上也只能创建一个VRID组,后创建的VRID组会将前面创建的覆盖掉fw36#haas-vrid1,在设备上创建vrid1,然后将通信接口加入到该组,配置物理接口,注意:
目前我们的设备只支持AS模式。
创建VRID组后,我们可以将接口加入到该组,如果加入到该组的某个接口down后,该组的优先级就会变为0最好用设备上专用的HA口做双机热备设备处于standy时,接口不回复、转发报文,所以不能用WEBUI登录设备只有在配置正确完成后才能上架,不然在直连、交换模式下容易造成环路,配置物理接口,网络管理,链路聚合模块的作用是使多个接口的流量汇聚到单条链路上,也能使单个接口收到的流量均衡的从多个接口发出,可以起到扩充链路带宽和链路备份的作用。
这个功能是topidpv5上新加的功能,设备上总共可以配置4条聚合链路,每条聚合链路上可以添加8个物理成员接口。
负载均衡算法一共支持11个,分别根据不同的目标进行负载均衡,例如:
根据源mac地址进行负载均衡,那么同一mac的流量只走聚合链路中的一个接口,不同mac的流量按照接口顺序进行轮询。
其余算法的原理一样,链路聚合,注:
建立起来一个聚合链路,那么这个聚合链路就当作一个逻辑接口来看待,加入聚合链路的物理口,其本身的属性都不生效了。
目前聚合链路只支持交换和路由两种模式,不支持直连,不能强制设定其双工和速率,不能对其接口设定区域进行访问控制,链路聚合,流量管理,流量管理分为两个部分:
带宽控制流量异常分布,带宽控制,QOS策略属性,出厂时,是没有任何QOS策略的,单击添加,出现如上的页面添加策略的名称QOS策略可以同时控制上、下行带宽,根据需要填写在上、下行中可以选择QOS的类型:
1.策略独享:
当多条ACL引用同一策略独享策略时,不同ACL之间的连接独享限制带宽与保证带宽,同一ACL中的不同连接限制共享限制带宽与保证带宽2.独享:
当多条ACL引用同一独享策略时,不同ACL之间的连接独享限制带宽与保证带宽,同一ACL中的不同连接独享限制带宽与保证带宽3.共享:
匹配ACL的所有连接共享限制带宽与保证带宽4.受控:
每个连接的带宽不超过每主机限制带宽,所有连接的带宽之和不超过总限制带宽优先级:
优先级只在同种策略中才起效,接口的剩余带宽优先分配给优先级高的链接。
但前提是不高于限制带宽优先级有四个等级:
特权、高、中、低,QOS策略属性,注意:
1.当配置的QOS策略中有保证带宽时,默认的优先级为中,可以手动选择特权或高;当只有限制带宽时,优先级只能为低,不可更改。
同时受控类型的策略的优先级也只能时低。
2.只要上、下行中选的不是共享策略,那么其他三种策略可以互相搭配,QOS策略属性,以下是关于优先级实验的截图这是区域area_eth3中主机的下载速度。
这是区域area_eth2中主机的下载速度(图片中的两个数据不是同时的),从上图可以看出,接口剩余带宽优先分配给优先级高的连接,QOS策略创建好之后,必须在ACL中引用才能起作用如果ACL引用的策略带有保证带宽,那么我们必须要选择区域,并且区域只包含一个接口,同时这个接口设置了有效带宽同一QOS策略被不同ACL引用时,保证带宽之和不能超过接口的有效带宽其他的选项同ACL,这里不详细详述,打开ACL的“选项”,点击“高级”就可以看到创建的QOS策略。
我们可以看到上面还有一个QOS选项,其实他和受控差不多,只不过他只能控制下载的速率,而不能控制上传的速率,对接口或协议相关的指标设制相应的阀值并制定相应的报警机制,档统计值大于定值时报警,流量异常检测,入侵防御,在入侵防御策略的配置方面,策略的源和目的的配置与以前的v1版本相同,可以配置地址对象和区域对象。
入侵防御策略配置,在规则集引用部分,和v3保持一致,依然采用单选的方式,而动作的执行在规则集里进行单独配置。
入侵防御策略配置,入侵防御策略里引擎动作包括防火墙联动、阻断时禁止连接、阻断时加入黑名单、输出应用识别所有日志、输出url所有日志。
防火墙联动功能:
仅在ids监听模式下有效,当配置好防火墙联动的配置以后,需要在引擎里打开这个开关后才能正常向防火墙下发策略阻断时禁止连接:
当判断出连接上存在攻击时向客户端/服务器双方向发rst来关闭连接,不勾选时仅为丢包阻断时加入黑名单:
勾选时会将识别为攻击特征的连接其中的源地址自动添加到黑名单,并启用一个定时器,在这个定时器时间范围内此源地址无法穿过idp建立任何连接注:
黑名单也可以手动设置,入侵防御策略后新加的选项就是添加黑名单,这种方式添加的黑名单是永久生效的,除非手动删除输出应用识别和url日志:
默认是只在判断为阻断的情况下进行记录,如果勾选则只要匹配规则的都会进行记录,因为记录大量的日志会消耗大量的系统资源。
入侵防御策略配置-检测引擎参数设置,入侵防御策略配置-检测引擎参数设置,引擎工作模式包括:
检测模式和优先模式。
检测模式分为智能检测和深度检测:
智能检测:
只检测每个连接的前n个报文(n可以用户指定),能够起到很好的性能优化作用。
深度检测:
连接的所有通信报文都进行检测,性能会有很大降低。
入侵防御策略配置-检测模式,优先模式分为应用优先和安全优先:
应用优先:
启动软件bypass功能,如果流量增大到检测引擎无法处理的情况,则软件bypass功能发挥作用,超出的流量不再上送引擎处理,直接转发,当引擎能够处理后,流量又上送引擎检测。
在性能优化方面起到作用。
保证了客户的正常应用,避免因处理能力导致的断网。
安全优先:
不启动软件bypass功能,如果流量超过检测引擎处理能力,那么会出现丢包现象。
入侵防御策略配置-优先模式,协议支持,协议支持的作用是针对用户可能使用的非标准协议端口而起作用。
如:
HTTP8080或者FTP2121等。
对应的配置在WEBUI上“资源管理协议”页面中。
本页面中已经预定义了绝大多数的应用层协议及其标准服务端口。
已经预定义好的协议包括:
ftp、ssh、telnet、smtp、dns、finger、http、pop2、pop3、sunrpc、auth、nntp、smb、imap、snmp、https、rlogin、rsh、mssql、oracle、mysql、oicp、irc。
协议支持,举例说明:
某用户使用的HTTP服务器的服务端口为8080。
那么,就需要在http协议对应的修改页面中的端口部分修改为8080这个端口号,当然也可以不删除原有的80端口,而是写入8080端口与原有的80端口同时存在,使用“,”分隔开就可以了。
协议支持,对某协议端口的配置还可以通过使用一些符号来达到灵活配置的目的。
例如上面说到的如果同时存在HTTP80和HTTP8080的服务器的话
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 售后 培训 天融信 入侵 防御 产品 配置 维护