TippingPoint IPS系列产品常见问题汇总.docx

TippingPoint IPS系列产品常见问题汇总.docx

《TippingPoint IPS系列产品常见问题汇总.docx》由会员分享，可在线阅读，更多相关《TippingPoint IPS系列产品常见问题汇总.docx（13页珍藏版）》请在冰豆网上搜索。

TippingPointIPS系列产品常见问题汇总

Q&A

TippingPointIPS系列产品FAQ

Q.E系列产品与非E系列产品有那些区别？

A.E系列支持分不式拒绝服务攻击DDoS（我们一般称之为高级拒绝服务攻击），而非E系列不支持，仅支持一些基本的DoS攻击。

Q.系列不具备哪些功能？

A.对垃圾邮件过滤不支持；支持少量的文本型病毒的检测。

对URL过滤、VPN也不支持。

Q.易于部署体现在哪里？

A.易于部署主要体现在：

1）透明模式，即插即用；2）内置了缺省的策略配置（一些过时的Filter被Disable了）；3）SMS统一管理；4）图形化界面。

Q.TP能作为IDS使用吗?

能联动吗？

A.TP可以作为IDS使用，只要从接入设备上将流量镜向到IPS即可。

IPS完成检测，告警当无法阻断。

IPS因为主要是在线部署，TP部署于IDS模式时，无法跟其它防火墙或交换机联动。

Q.TP的网络隔离能做到什么程度？

A.SMS通过SNMP管理IPS，隔离能做到以下三种程度：

1）IPSonly

这种工作模型中，只需要IPS就足够了。

过程：

•客户端PC接入网络

•客户端PC发起恶意流量，被IPS发觉，该流量被阻断

后续客户端访问Web，被IPS重定向到另外一个WebServer或者返回一个隔离页面

2）IPS+SMS+NMS

在这种隔离模型中，除IPS设备外还需要SMS以及NMS，其中NMS需要是3com的专有的NMS（能够解析SMS发出的特定格式TRAP报文）,这样的模型更利于对整个网络的集中管理。

过程：

•网络中客户端正常连入网络

•某个客户端发起恶意报文，该报文经过IPS，并且命中某条filter

•IPS将filter、报文源IP、目的IP、源端口、目的端口等信息以SNMP报文格式发送给SMS

•SMS向NMS发送TRAP报文

NMS收到TRAP报文后，可以自动向所管理的交换机等接入设备下发相应的安全策略，也可以让管理员手动下发安全策略，从而可以将交换机上对应的端口down掉、将端口扔到一个GuestVlan、或者强迫该MAC地址进行RADA的重新认证。

3）IPS+SMS+RADA

在这种隔离模型中，除IPS设备外还需要SMS以及Radius服务器，其中SMS处于NAS和Radius服务器之间，扮演的是Radius代理的角色。

工作过程：

•终端用户发起认证，认证通过后终端接入网络。

接入交换机发起radius认证时，SMS是作为一个Radius代理来将交换机的认证请求转发给Radius服务器的，而对于接入交换机来将SMS就是Radius服务器

•SMS处于NAS（在这儿也就是接入交换机）和Radius服务器中间，学习到mac/交换机IP/交换机上的端口的对应关系。

•某个终端发起恶意报文，该报文经过IPS，并且命中某条filter

•SMS将IP地址逆向解析成MAC地址

•SMS将该MAC地址放入黑名单以及策略集

•SMS向接入设备发送消息，强制该mac地址重新认证

策略集合下发到终端所在在接入交换机的端口上，该终端的行为受策略集里action的限制。

Q.什么是操作系统指纹？

A.操作系统的类型和版本即操作系统指纹（Fingerprinting）。

优秀的分析工具可以找出所有网络上具有物理连接的主机，报告操作系统的操作系统指纹。

Q.TP主备倒换是如何做的？

A.TippingPointIPS设备支持冗余部署。

互为备份的多台IPS即可以工作在主备（Active/Passive）模式，也可以工作在负载分担（Active/Active）模式，但必须与已经在网络中大规模部署的VRRP、OSPF多出口等冗余保护技术无缝的结合在一起。

TPIPS由于业务口无IP地址，因此本身无法配置VRRP、OSPF，只能依赖于上行、下行交换机/路由器配置冗余链路。

可以将TPIPS看做一根网线。

两台热备的IPS之间通过管理口互连可实现状态同步，链路同步信息包括：

阻断流、隔离流，但无法同步所有的会话。

同步协议是TP的私有协议。

Q.TPE系列防DdoS有哪些技术?

A.防护技术有：

•SYN代理机制

•每秒最大连接数

•每台主机最大连接数

•随机丢包

•漏洞保护

具体可参考技术专栏上的TPDDoS攻击防御白皮书。

Q.TP在网络B超/测试中攻击或病毒日志较少的原因可能是?

A.此中原因可能很多，在客户网络上实际测试后效果不明显，未看到很多的攻击日志。

原因有：

•网络上的攻击很少

•技术人员对TP不了解，将IPS设置工作在二层模式，该模式下TP不检测仅转发

•相关的filter没有启用

•相关的filter动作没有notify（告警）

•TP的操作系统（TOS）或DV不是最新版本

Q.TP服务是怎样的?

A.TP设备购买后，附带了1年免费服务，服务内容包括设备修理、DV升级等。

但1年后的服务需要购买。

目前购买分为1年和3年服务两种，服务价格可向产品经理获取。

用户服务期快到期后，TP会发邮件通知客户，过期后TP会停止提供DV的升级服务。

Q.TP目前有哪些知名的获奖？

A.NSS测评金奖：

NSS是英国的一个第三方权威测评机构，全球有大量的安全厂商会送给NSS测评。

TP是到目前为止，唯一一个获得NSS金奖的。

ICSA测评：

TP是第一个通过ICSA实验室认证的前兆IPS系统。

CC：

TippingPoint2003年获CCEAL2级认证，但应该已过期了。

Q.描述设备的ACL总数（或规则总数）的限制？

A.目前，流量管理过滤器可以用作ACL（对流量根据3、4层的参数和流量方向进行阻断或限流）。

TippingPoint设备最多可以创建5000条流量管理过滤器（TMFs）。

但是，一般情况下，推荐每对网络接口使用最多300条左右的TMFs。

Q.TP当前能支持哪些P2P类型？

A.支持的P2P类型有：

编号

P2P应用类型

1

AresGalaxy（Ares）

2

AresGalaxy（Gnutella）

3

BearShare（Gnutella）

4

BitTorrent

5

Blubster

6

DirectConnect

7

eDonkey

8

eMule

9

EarthStation5

10

Freewire（Gnutella）

11

Gnucleus（Gnutella）

12

Gnutella

13

Grokster（FastTrack）

14

iMesh（FastTrack）

15

iMesh（MusicNet）

16

KaZaA（FastTrack）

17

Limewire（Gnutella）

18

MLdonkey

19

Morpheus（Gnutella）

20

Mutella（Gnutella）

21

MyNapster（Gnutella）

22

NeoNapster（Gnutella）

23

OverNet

24

Phex（Gnutella）

25

Piolet

26

QtraxMax（Gnutella）

27

RockItNet

28

Shareaza（Gnutella）

29

Skype

30

Soulseek

31

Twister

32

Warez（Ares）

33

WinMX

34

xMule

35

XoloX（Gnutella）

Q.TP当前能支持哪些IM类型？

A.支持的IM类型有：

编号

IM应用类型

1

AOL

2

ICQ

3

Jabber/GoogleTalk

4

MSN

5

Yahoo!

6

 e-Messenger

7

AOL

8

ICQ

9

Jabber/GoogleTalk

10

MSN

11

Yahoo!

12

 e-Messenger

Q.TP当前能支持哪些间谍软件类型？

A.支持的Spyware类型有：

编号

Spyware应用类型

1

180solutions

2

2020Search

3

AbySoftware

4

AddictiveTechnologies

5

Altnet

6

A（Alexa）

7

ArdamaxSoftware

8

AskJeeves

9

AvenueMedia

10

BargainBuddy

11

BelcaroGroup

12

BestOffersNetwork（ABetterInternet）

13

BlazingToolsSoftware

14

BuddyLinks

15

CDT

16

Claria

17

ClickSpring

18

ClipGenie

19

Comodo

20

ContextPlus（AproposMedia,PeopleOnPage）

21

CoolWebSearch

22

CPMMedia

23

CrackSpider

24

Cydoor

25

DotComToolbar

26

e2Give

27

Effective-I

28

ElectronicGroup

29

Eltima

30

EnternetMedia

31

eXactAdvertising

32

eZula

33

GlobalAccesS.L.

34

Hotbar

35

IBIS

36

IGNEntertainment

37

IntegratedSearchTechnologies

38

IntelligentExplorer

39

InterCortSystems

40

IntermixMedia

41

L

42

MarketScore

43

NelroyLTD

44

New.Net

45

Patchou

46

SoftTech

47

SpywareLabs

48

SSrv.SSA-Keylogger

49

Starware

50

TibSystems

51

TopConverting

52

TopMoxie

53

TVMedia

54

WeatherBug

55

Webhancer

56

WildTangent

57

Whenu

Q.能否提供TP的数字疫苗更新刷新时间表？

A.该刷新表从2006.1.1日开始，具体更新内容请登陆查询。

编号

DV

发布时间

1

DV6543

2006-07-2609:

45:

32.0

2

DV6534

2006-07-2411:

34:

58.0

3

DV6500

2006-07-1812:

23:

09.0

4

DV6473

2006-07-1210:

25:

24.0

5

DV6468

2006-07-1114:

10:

58.0

6

DV6421

2006-07-0513:

15:

50.0

7

DV6380

2006-06-2614:

08:

25.0

8

DV6351

2006-06-1917:

20:

50.0

9

DV6306

2006-06-1313:

45:

04.0

10

DV6280

2006-06-0816:

07:

39.0

11

DV6256

2006-06-0513:

36:

00.0

12

DV6221

2006-05-3110:

17:

19.0

13

DV6158

2006-05-2316:

02:

42.0

14

DV6155

2006-05-1916:

35:

42.0

15

DV6120

2006-05-1613:

15:

20.0

16

DV6059

2006-05-0913:

24:

10.0

17

DV6017

2006-05-0114:

55:

00.0

18

DV5971

2006-04-2414:

00:

48.0

19

DV5915

2006-04-1115:

09:

37.0

20

DV5794

2006-04-0314:

56:

23.0

21

DV5753

2006-03-2713:

48:

16.0

22

DV5720

2006-03-2013:

27:

06.0

23

DV5669

2006-03-1412:

31:

20.0

24

DV5603

2006-03-0815:

04:

01.0

25

DV5499

2006-02-2712:

26:

44.0

26

DV5471

2006-02-2109:

19:

00.0

27

DV5441

2006-02-1413:

35:

52.0

28

DV5374

2006-02-0711:

56:

37.0

29

DV5273

2006-01-3114:

25:

25.0

30

DV5217

2006-01-2520:

05:

04.0

31

DV5171

2006-01-2315:

03:

26.0

32

DV5119

2006-01-1913:

33:

44.0

33

DV5019

2006-01-1013:

00:

54.0

34

DV4948

2006-01-0513:

00:

22.0

35

DV4933

2006-01-0116:

17:

17.0

36

DV5753

2006-03-2713:

48:

16.0

37

DV5720

2006-03-2013:

27:

06.0

38

DV5669

2006-03-1412:

31:

20.0

39

DV5603

2006-03-0815:

04:

01.0

40

DV5499

2006-02-2712:

26:

44.0

41

DV5471

2006-02-2109:

19:

00.0

42

DV5441

2006-02-1413:

35:

52.0

43

DV5374

2006-02-0711:

56:

37.0

44

DV5273

2006-01-3114:

25:

25.0

45

DV5217

2006-01-2520:

05:

04.0

46

DV5171

2006-01-2315:

03:

26.0

47

DV5119

2006-01-1913:

33:

44.0

48

DV5019

2006-01-1013:

00:

54.0

49

DV4948

2006-01-0513:

00:

22.0

50

DV4933

2006-01-0116:

17:

17.0

Q.能否提供TP的对微软漏洞库的支持列表？

A.这里可以提供2004/2005年的部分列表：

Q.TP超过服务期后如果不继续购买服务还能获得DV升级吗？

A.当TP1年服务到期后，大概会有3～6个月的缓冲期，这段时间内系统会用邮件等方式提醒你到期。

过了这段时间后，系统会将TMC锁死，不能再下载升级了。

Q.从哪里可以得TPICSA、NSS测评报告？

A.ICSA网站上关于TP获证书的通告：

－－“June26,2006-ICSALabsAnnouncesFirstSetofNetworkIPSCertifiedProducts”

ICSA网站上关于TP测试报告：

NSS网站上关于TP的测试报告:

（但要花钱购买）

http:

//www.nss.co.uk/ips/edition1/index.htm

TP网站上NSS对TP的测试报告:

Q.从哪里可以得TPCC认证报告？

A.TippingPoint曾获2003年获CCEAL2级认证，已过期了。