华为NIPeudemon防火墙联动配置手册.docx
- 文档编号:23225159
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:25
- 大小:35.15KB
华为NIPeudemon防火墙联动配置手册.docx
《华为NIPeudemon防火墙联动配置手册.docx》由会员分享,可在线阅读,更多相关《华为NIPeudemon防火墙联动配置手册.docx(25页珍藏版)》请在冰豆网上搜索。
华为NIPeudemon防火墙联动配置手册
插图目录
表格目录
1概述
1.1目的
本文中将说明NIP如何实现与Eudemon防火墙联动。
NIP通过TCP端口连接到Eudemon防火墙,通过口令认证后在防火墙上根据配置的联动策略动态生成防火墙阻断策略。
1.2内容
包括如何配置NIP与Eudemon防火墙实现联动,并查看结果。
1.3其它
在联动之前要确认:
NIP引擎的管理口与Eudemon防火墙IP可达;
了解Eudemon防火墙的管理员账户和口令。
2与EUDEMON联动配置
2.1策略编辑
步骤1:
打开策略编辑器:
选择菜单“策略”-“NIP”-“策略”,打开“NIP策略编辑器”;
步骤2:
选择工具栏中的“响应”按钮,打开响应对象窗口;
步骤3:
选择Eudemon防火墙,进行编辑;
要配置Eudemon防火墙和NIP联动,应在[响应]窗口中选择Eudemon防火墙进行编辑,打开窗口如图所示。
Eudemon防火墙响应窗口
在窗口下部列表框中,选择Eudemon防火墙,在[响应对象]对话框中显示Eudemon防火墙,单击<编辑>按钮,打开[对象属性]对话框,如图所示。
步骤1响应对象对话框
输入防火墙IP地址、联动通讯的端口以及认证数据(这些数据需要在防火墙中事先配好),单击<确定>按钮,保存编辑,如图所示。
Eudemon防火墙响应属性窗口
配置好响应对象后,在响应方式对话框,选择需要的阻断方式打开,比如选择双向阻断,如图所示。
步骤2响应方式属性对话框
具体参数说明如下:
●源子网掩码:
事件源IP的掩码。
●目的子网掩码:
事件目的IP的掩码。
●源端口:
事件的源IP的端口号,选项为所有端口和特定端口,默认为所有端口。
●目的端口:
事件的目的IP的端口号,选项为所有端口和特定端口,默认为所有端口。
●阻断时间:
防火墙阻断数据包的时间,默认360秒。
步骤4编辑检测策略
在左侧事件列表中选择要编辑检测策略的事件,默认为“全部”;
点击的检测策略列表下方的“添加”按钮,打开策略属性对话框,添加新的检测策略;
点击响应右侧的
按钮,打开响应对象列表窗口
选择上面定义好的“Eudemon防火墙”;
保存编辑的策略并下发到引擎。
2.2Eudemon防火墙配置
参照“附件:
IDS联动防火墙配置”
2.3攻击测试
步骤1:
攻击
测试攻击采用“ping超长请求”攻击:
步骤2:
查看报警事件
步骤3:
在防火墙上查看结果:
根据联动策略验证是否成功阻断。
若出现没有成功阻断的现象,可以通过查看防火墙生成的黑名单以及抓一下NIP管理口发出的到防火墙IP的数据包来判断问题所在。
3安装引擎
关于本章
本章描述内容如下表所示。
标题
内容
3.1
安装准备
安装前的技术,环境,工具,流程的准备。
3.2安装开始
安装前的注意事项以及整个安装过程。
3.3安装检查
安装后的检查。
3.4初始配置引擎
安装后的配置。
3.1
安装准备
3.1.1备齐技术文件
硬件安装相关的技术文件如表3-1所示。
表3-1硬件安装相关技术文件
文件类别
文件名称
说明
工程安装指导文件
网络规划书、机房平面布置图、施工详图、电缆走线图
应由用户方委托的设计单位完成,并于供货前由用户向供货商提供文件副本。
《现场勘测报告》
供货方勘测工程师进行现场勘测时填写。
《工程设计文件》
由华为公司工程设计部根据各个局点的设备配置情况制定,并随设备一起发到现场。
产品手册
《NIP网络智能入侵检测系统安装手册》
供货方在供货时以光盘形式向用户提供。
其他工程相关文件
合同协议书
供货方在供货时向用户提供。
发货清单
3.1.2检查安装环境
工程督导到达工程现场后应进行施工条件检查,根据实际情况填写《安装环境检查表》,确认各项条件具备后与客户共同签订《开工协议书》,并制定《工程安装规划》。
若客户的工程准备不具备开工条件,要填写《现场工作联络单》向客户说明不能开工的原因,如果客户坚持要求开工,要让客户承诺预计完成准备工作的时间并签字。
对无法整改和整改达不到要求的工程须签备忘录。
表3-1安装环境检查表
编号
项目
检查要求
1
选址
通信机房选址不宜在温度高、有灰尘、有害气体、易燃、易爆、易受电磁干扰(大型雷达站、发射电台、变电站)及电压不稳的环境中;应避开经常有大震动或强噪声的地方。
因此,在进行工程设计时,应根据通信网络规划和通信设备的技术要求,综合考虑水文、地质、地震、电力、交通等因素,选择符合通信设备工程环境设计要求的地址。
2
空调
在当地最热月机房气温超过35℃,应安装空调(可支持断电重启功能)。
空调安装位置应避免空调出风直接吹向设备。
3
防潮
对于相对湿度大于70%,需加装除湿设备(如带除湿功能空调、专用除湿机)等。
机房严禁出现渗水、滴漏、结露现象。
4
采暖
累年日平均气温低于5℃大于或等于90天应设置采暖设备,对大于或等于60天但小于90天建议设置采暖设备。
5
防尘
对于位于沙尘源附近(煤矿、乡村公路、农田)的机房,窗户应采用双层铝合金门窗密封,机房门应采用防盗防火门。
安装设备处应与机房门分隔,利用挡板效应截留部分粉尘。
6
防止雷击
机房应有避雷针、避雷带等防止击雷装置,其防雷接地(避雷针等装置的接地)应与机房的保护接地共用一组接地体。
7
接地电阻
机房采用联合接地(产品的工作地、保护地和防雷地合用同一个接地体),机房内各种通信设备、通信电源应尽量合用同一个保护接地排,容量小于1万线大于2千线时地阻小于3Ω,容量小于2千线时小于5Ω。
8
接地引入线
机房接地排到机房地网应可靠连接。
可采用40×4mm以上镀锌扁钢;或者截面积95mm2以上的线缆,其长度不应超过30m。
扁钢和线缆都应进行绝缘防腐处理,出土部分有机械损伤保护,中间不能有断点接续。
9
交流电压
机房交流电压应在170V~250V(220V)或88V~132V(110V)之间,交流配电开关和交流电源线安装到位。
10
交流接地
机房电源线的中性线严禁在机房内与各种通信设备的保护地连接。
11
交流防雷
机房交流电源系统应安装标称放电电流不小于20kA的防雷单元,且应可靠接地。
12
直流电压
机房提供的直流电压满足-40V~-57V(-48V)或者19V~29V(24V),蓄电池容量满足设备供电要求,-48V(24V)电源线布放到华为高阻柜或直流分线盒旁。
13
直流接地
机房直流配电柜中工作地应与机房保护地直接相连,其线缆截面积应不小于95mm2。
同时,根据现场情况,确认其它特殊的需求,如:
●设备安装前,需要确认是否需要向设备安装场所的物业管理部门提供安装公司的资质证明;
●运输前,需要确认机柜尺寸是否满足货物运输通道的要求(例如电梯、楼道等);
●需要提前确认送货时间和安装工作时间(例如早8点~晚6点)等。
3.1.3检查工具、仪表
设备安装前需准备的工具仪表如表3-3所示。
表3-1工具及仪表清单表
通用工具
十字螺丝批P1-100MM、电批头型号可选D76-2X5X60、套筒-M6、一字螺丝批4-75mm、镊子
专用工具
地阻测量仪、防静电手腕、防静电手套、剥线钳、压线钳、水晶头压线钳、光纤连接器、打线刀
仪表
万用表、500伏兆欧表(测绝缘电阻用)、2M通路误码仪、光功率计
●工具仪表由供货方提供清单,并与用户协商确定工具提供人。
●仪表必须经过计量校验,证明合格后方能使用。
3.1.4开箱验货
开箱要求
工程督导应与客户人员共同点验货物。
首先按各包装箱上所附的装箱单号查点总件数是否相符,运达地点是否与实际安装地点相符,包装箱外观是否完好。
如果出现外包装严重损坏、外包装箱浸水、或设备出现锈蚀或浸水,则应停止开箱,查明原因,向当地办事处反馈。
为保护设备和查明原因,应将已拆包装箱的设备转室内妥善存放,对设备存放现场环境、已有生锈或腐蚀情况的设备、包装箱、包装材料进行拍照并存档,并将已拆包装箱以及包装材料妥善保存。
如货物完好即可开箱验货,打开贴有“内置装箱单”指示标签的箱子,取出装箱单,然后根据装箱单逐项检查,如出现错货、缺货,请填写《货物差错反馈表》反馈,在开箱过程中,如发现货物有损坏现象,填写《货物更换申请表》反馈,最后与客户共同签字确认《装箱单》。
在运输和搬放产品、零件或部件时,避免与门、墙、货架等物体碰撞。
在运输、搬运和安装过程中严格禁止戴汗透或脏污的手套接触零件或部件的未喷漆的金属表面。
开箱方法
开箱过程中注意:
当设备从一个温度较低、较干燥的地方拿到温度较高、较潮湿的地方时,至少必须等30分钟以后再拆封。
否则,会导致潮气凝聚在设备表面,损坏设备。
开箱方法如下:
步骤1查看纸箱标签,了解箱内设备类型、数量。
步骤2用斜口钳剪断打包带。
步骤3用裁纸刀沿箱盖盒缝处划开胶带,在用刀时注意不要插入过深,避免划伤内部物品。
步骤4打开纸箱,取出泡沫板。
步骤5浏览单板盒标签,查看数量是否与纸箱标签上注明数量相符,然后取出单板盒。
步骤6对照装箱单,对箱内单板类型、数量进行清点,当面签收。
----结束
装箱清单
一台基本配置的NIP引擎,应包含的项目如表3-4所示:
表3-1NIP1000网络智能入侵检测系统及附件
项目
名称
数量
说明
1
NIP引擎主机
1台
无
2
光盘
1套
控制台安装程序、用户资料
3
电源线
2根
无
4
以太网线
3根
直通网线2根、交叉网线1根
5
光纤电缆
2根
多模SC接口
6
配置串口电缆
1根
无
7
安装结构件
1套
无
3.1.5了解安装流程
图3-1NIP引擎安装流程
开始安装NIP引擎前,请确认:
已经仔细阅读第1章内容且第1章中所述要求已经满足。
3.2安装开始
3.2.1了解安全注意事项
在NIP引擎安装和使用过程中,特提出如下安全建议:
●将NIP引擎放置在远离潮湿或者远离热源的地方
●确认NIP引擎正确可靠接地。
●在安装维护过程中佩戴防静电手腕,并确保防静电手腕与皮肤良好接触。
●不要带电插拔电缆。
●正确连接NIP引擎的接口电缆。
●注意激光使用安全。
不要用眼睛直视激光器的光发射口或与其相连的光纤连接器。
●建议用户使用UPS(UninterruptedPowerSupply)。
3.2.2安装引擎到机柜
下面的描述以NIP1000为例,其他引擎的安装和NIP1000的安装相同。
NIP1000的尺寸为(宽×深×高)。
安装步骤如下:
步骤1在NIP机盒的左、右两侧各安装一个安装弯角,每个安装弯角上有2个腰形孔。
步骤2检查机柜的接地与稳定性,确认机柜内部和周围没有影响设备安装的障碍物。
步骤3将NIP机盒从机柜正面放到机柜中相应的滑道上。
步骤4将NIP机盒轻轻推进机柜中,使机盒的安装弯角与机柜的方孔条接触;
步骤5调整机盒的左右位置使机盒位于机柜中部,此时机盒两侧安装弯角上的2个腰形孔应该与装在机柜方孔条上的浮动螺母对齐。
步骤6然后拧入4个M6×12的皇冠螺钉。
----结束
在拧紧螺钉的过程中,先轻力拧上,然后再按对角线的顺序将螺钉拧紧。
3.2.3安装引擎到工作台
把NIP1000放置在工作台上时,需要注意:
●保证工作台的平稳性与良好接地。
●设备四周留出10cm的散热空间。
●不要在设备上放置重物。
●注意设备周围环境的防尘。
3.2.4连接电源线
步骤1确认保护地已经良好接地。
步骤2确认NIP1000的电源开关置于OFF位置。
步骤3将NIP1000随机所带的电源线一端插到NIP1000机箱后面板上的电源插座上。
步骤4将电源线的另一端插到交流电源插座上。
步骤5把NIP1000电源开关拨到ON位置。
步骤6检查NIP1000前面板电源灯是否点亮,灯常亮则表示电源连接正确。
----结束
3.2.5连接设备到配置终端
NIP1000提供了一个EIA/TIA-232异步串行配置口(Console),通过这个接口用户可完成对NIP1000的配置。
配置串口的属性请参见“表1-1NIP1000配置串口属性”。
配置串口电缆
配置串口电缆是一根8芯屏蔽电缆,一端压接RJ-45插头,插入NIP1000的Console口;另一端则同时带有一个DB-9(孔)和一个DB-25(孔)连接器,可根据实际情况选择其中之一插入配置终端的串口。
配置串口电缆如图3-2。
图3-1配置串口电缆示意图
配置串口电缆连接关系请参见“附录BB.1配置口电缆”。
连接配置串口电缆
步骤1关闭NIP1000、配置终端的电源;
步骤2通过配置电缆连接配置终端的RS-232串口与NIP1000的配置串口。
配置终端可以是标准的具有RS-232串口的字符终端,也可以是一台普通的PC机,常用的是后者。
----结束
3.2.6连接设备到以太网
以太网电缆
10/100BASE-TX以太网口一般采用5类双绞线连接以太网,以太网电缆如图3-3所示:
图3-1以太网电缆示意图
因使用情况不同又可将以太网电缆分为直通网线(straightthroughcable)和交叉网线(crossovercable)两种,介绍如下:
●直通网线用于终端设备和网络之间通讯连接,通过网络连接维护终端或网管工作站时,使用直通网线。
●交叉网线用于两个终端之间直接通讯,通过维护网口直接连接维护终端时,使用交叉网线。
NIP1000提供直通、交叉网线各一根。
两种网线的连接关系及识别和制作方法请参见“附录BB.2网线”。
用户制作网线时,请优先采用屏蔽电缆,以保证电磁兼容的需要。
连接以太网电缆
以连接admin口为例。
步骤1选择以太网线
●NIP1000连接PC,使用交叉网线;
●NIP1000连接HUB或LANSwitch,使用直通网线。
步骤2使用直通网线连接NIP1000的admin接口和HUB或LANSwitch的网口。
●连接时请认准接口上的标识,以免误插入其它接口;
●连接LANSwitch时,应连接到标有10/100MBASE-TX的接口。
3.3安装检查
在NIP1000安装过程中,加电前要进行安装检查,检查事项如下:
●请检查NIP1000周围是否留有足够的散热空间,机柜是否稳固。
●检查电源线所接电源与NIP1000要求的电源是否一致。
●检查NIP1000与配置终端等其它设备的连接关系是否正确。
设备安装检查完毕后再给设备通电,具体操作步骤请参见“3.4.2设备上电”。
设备通电后若出现故障请参见“6FAQ及常见故障处理”。
NIP1000安装完毕后的检查非常重要,因为NIP1000安装是否牢固,接地是否良好,电源是否匹配将直接影响到NIP1000的正常使用。
3.4初始配置引擎
3.4.1搭建配置环境
连接引擎到配置终端
如图3-4所示,将配置串口电缆的一端与引擎的配置串口口相连,另一端与配置终端的串口相连,连接引擎到配置终端。
图3-1通过Console口进行本地配置
设置配置终端的参数
步骤1打开配置终端,建立新的连接
使用计算机进行配置,需要在计算机上运行终端仿真程序(如Windows3.1的Terminal,Windows98/2000/XP/NT的超级终端),建立新的连接。
下面的操作以WinodowsXP操作系统为例。
打开[开始/程序/附件/通讯/超级终端],如图3-5所示,键入新连接的名称,单击<确定>按钮。
图3-1新建连接
步骤2选择连接端口
在进行本地配置时,“连接时使用”一栏选择连接的串口(注意选择的串口应该与配置电缆实际连接的串口一致)。
如图3-6所示。
然后单击<确定>按钮。
图3-1本地配置连接端口设置
步骤3设置串口参数
在串口的属性对话框中设置波特率为38400,数据位为8,奇偶校验为无,停止位为1,流量控制为无,单击<确定>按钮,进入超级终端窗口。
图3-1串口参数设置
步骤4配置超级终端属性
在超级终端中选择[属性/设置]一项,进入属性设置窗口,如图3-8所示,选择终端仿真类型为“VT100”或“自动检测”,单击<确定>按钮,返回超级终端窗口。
----结束
图3-1终端类型设置
3.4.2设备上电
上电前检查
设备上电之前应进行如下检查:
●电源线和地线连接是否正确。
●供电电压与设备的要求是否一致。
●配置电缆连接是否正确,配置用微机或终端是否已经打开,并设置完毕。
上电之前,要确认设备供电电源开关的位置,以便在发生事故时,能够及时切断供电电源。
设备上电
打开设备电源开关。
上电后检查/操作
设备上电后,要进行如下检查:
●设备前面板上的指示灯显示是否正常
●配置终端显示是否正常
●启动结束后用户键入回车,出现命令行提示符“login:
”时即可进行配置了。
3.4.3登录命令行接口
设备上电后,配置终端上出现命令行提示图“login:
”,输入用户名和密码后(系统默认用户名:
admin,默认密码:
admin。
),即可登录配置页面。
如图3-9。
图3-1NIP系统命令行主菜单
3.4.4确认需要配置的参数
NIP第一次需要配置的参数如下:
●引擎设备的IP地址
●引擎设备的主机名称
●引擎设备的系统时间
●升级服务器的地址
3.4.5配置步骤
配置IP地址
在命令行界面上,依次选择[主菜单/系统配置/网络配置/查看IP配置]菜单项,打开[查看IP配置]界面,默认的配置是:
●IP地址:
●子网掩码:
●网关:
无
选择[主菜单/系统配置/网络配置/编辑IP配置]菜单项,修改IP地址和子网掩码。
配置主机名称
选择[主菜单/系统配置/查看&编辑主机名]菜单项,查看或修改主机名称,主机名称根据引擎类型的确定。
●NIP1000:
千兆
●NIP200:
百兆高端
●NIP100:
百兆低端
配置系统时间
选择[主菜单/系统配置/查看&编辑系统时间]菜单项,修改系统时间为当前时间。
配置升级服务器地址
选择[主菜单/引擎升级/设置/升级服务器地址]菜单项,修改升级服务器的地址。
4安装控制台
关于本章
本章描述内容如下表所示。
标题
内容
4.1安装准备
安装控制台前的硬件,操作系统,光盘的准备等。
4.2开始安装
控制台安装详细步骤。
4.3安装后检查
安装后的检查。
本章介绍NIP系统控制台的安装过程。
4.1安装准备
NIP系统控制台是用于配置网络智能入侵检测系统的功能和策略的用户界面程序,需安装在独立运行的计算机上。
开始安装前需要确认下面的信息。
硬件需求
表4-1控制台硬件需求
项目
要求
CPU
IntelPⅢ500MHz以上
RAM
256MB以上
硬盘
20GB以上
网卡
10M/100M
显示分辨率
不低于1024×768
操作系统需求
NIP系统控制台支持的操作系统为:
Windows2000、WindowsXP和Windows2003。
浏览器为IE6.0以上。
安装光盘和license文件
NIP系统控制台安装光盘和License文件。
4.2开始安装
NIP系统控制台安装过程如下:
步骤1将NIP系统控制台安装光盘放入光驱,安装光盘自动运行。
图4-1安装光盘自动运行
步骤2点击“安装管理控制台”按钮,开始安装。
图4-1安装控制台-欢迎窗口
步骤3在欢迎窗口中单击<下一步>按钮,弹出同意协议窗口。
图4-1安装控制台-许可协议
仔细阅读《许可协议》,如果同意请单击<是>按钮继续安装(单击<否>按钮退出安装程序)。
在注册信息窗口单击<下一步>按钮继续安装。
图4-2安装控制台-注册信息
步骤4选择安装路径。
控制台的默认安装目录是“C:
\ProgramFiles\Huaweii3SAFE\”,如
图4-5所示。
图4-1安装控制台-选择安装目录
如果希望改变默认安装目录,单击<查找>按钮打开如图4-6所示对话框,选择安装目录,在当前窗口单击<确定>按钮。
然后在选择安装目录对话框中单击<下一步>按钮继续安装。
图4-2安装控制台-选择安装目录
步骤5选择安装证书。
在如图4-7所示的对话框中单击<查找>按钮,选择证书文件,如图4-8所示。
证书文件请从随机光盘的License目录中获取。
图4-1安装控制台-安装证书图4-2安装控制台-选择证书文件
选择完证书文件,在如图4-9所示的对话框中单击<下一步>按钮。
图4-3安装控制台-确认证书
步骤6选择管理程序组,缺省为i3SAFENIP,单击<下一步>按钮继续安装。
图4-1安装控制台-管理程序组
步骤7开始安装,单击<下一步>按钮继续。
图4-1安装控制台-开始安装
步骤8复制文件。
图4-1安装控制台-复制文件
步骤9设置日志目录,默认的日志文件夹是“C:
\ProgramFiles\Huaweii3SAFE\NIP\Log”。
如需改变默认目录,单击<查找>按钮,打开选择日志路径对话框,如图4-14。
图4-1安装控制台-设置日志目录图4-2安装控制台-选择日志目录
步骤10NIP控制台安装完成,单击<完成>按钮结束安装过程。
----结束
4.3安装后检查
启动NIP系统的控制台,能出现登录窗口,则控制台已经正确安装,否则,控制台安装失败。
启动方式参见“5.1登录控制台”。
5建立引擎和控制台之间的通讯
关于本章
本章描述内容如下表所示。
标题
内容
5.1登录控制台
描述怎样登陆控制台。
5.2添加引擎
在控制台上安装引擎的步骤。
5.3查询引擎状态
查询引擎的步骤。
本章介绍在引擎和控制台之间建立通讯关系的过程。
5.1登录控制台
登录控制台之前,首先必须先运行NIP系统控制台,运行NIP系统控制台有两种方法:
●通过开始菜单程序组运行并登录控制台。
●通过双击桌面快捷方式运行并登录控制台。
5.1.1通过开始菜单程序组运行并登录控制台
步骤1选择[开始/程序/i3SAFENIP/i3SAFENIP],启动NIP系统控制台。
步骤2NIP系统控制台初始化以后,显示如图5-1所示的[登录]对话框。
----结束
图5-1登录对话框
第一次登录NIP系统控制台时,必须修改管理员帐户名称和口令。
缺省管理员帐户:
administrator。
缺省口令:
huawei123。
●如果是第一次登录NIP控制台,操作如下:
步骤3在[登录]对话框中输入缺省管理员帐号“administrator”,口令“huawei123”。
单击<确定>按钮,显示如图5-2的[管理员帐户]对话框。
图5-1管理员帐户对话框
步骤4在图5-2中修改管理员帐户名称和口令。
相应的参数说明如表5-1。
表5-1管理员帐户参数及详细描述
参数名称
详细描述
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 NIPeudemon 防火墙 联动 配置 手册