IDP客户端使用教程Word下载.docx
《IDP客户端使用教程Word下载.docx》由会员分享,可在线阅读,更多相关《IDP客户端使用教程Word下载.docx(12页珍藏版)》请在冰豆网上搜索。
3、IDP的当前运行状态也会自动送到NSM服务器上
配置IDPsensor的第一步是去NSM的DeviceManager→SecurityDeivce中。
点击“+”添加设备模板。
并选择“Device”。
(NSM服务器安装过程见《NSM安装手册(DC版)》)
在DeviceName中输入设备模板的名字,在Color选择模板图标的颜色(名字和图标颜色只用于表示设备,没有实际意义)。
如果IDP已经配置好,则选择“deviceisreachable(i.e.staticIPaddress)”。
并点击下一步
输入IDPsensor的IP地址,admin用户名,密码和root的密码。
若设备是ISG+IDP。
则输入的admin用户名和密码均使用防火墙的用户名和密码。
在ConnectToDeviceWith中选择使用什么协议和设备进行通讯,默认为SSHv2。
IDP和NSM通信的第二阶段则是通过DevSvr进程的7803端口通信
点击下一步以后NSM服务器的DevSvr进程会按照实际情况去寻找设备。
找到设备以后,模板还没有设备的配置,只有设备的序列号等信息,因此需要在“Device→Configuration→ImportDeviceConfig”中导入现有设备的配置,则可以看到当前被导入设备的状态,序列号,软件版本等信息;
或在新增的设备上双击鼠标左键,NSM服务器会自动运行ImportDeviceConfig;
配置IDP的策略
IDP的策略配置是最为关键和要消耗较多的时间,IDP的策略包括以下几种
1、IDP:
入侵检测和保护的策略,主要针对来自应用层的攻击行为。
包括两种检查机制signature和anomaly
2、Synprotector:
syn泛滥保护策略,主要是针对通过IDP设备的SYN泛滥攻击
3、Trafficanomaly:
流量异常策略,主要是针对通过IDP的端口扫描
4、Exempt:
5、Backdoor:
6、Honeypot:
新建策略的时候是新建一整套的策略,具体的防护策略则在新建的策略里面添加
在“PolicyManager→SecurityPolicies”中点击右键,并选择NewPolicy
输入名字和描述,并点击下一步
选择CreatenewPolicyfor。
新建一套策略模板
如果设备是防火墙ISG+IDP,则选择firewall/vpnDevice。
如果设备是单独的IDP设备则选择StandAloneIDPDevcies。
再次点击next以后选择安装到那台设备,可以暂时不选择,再点击next。
完成策略的模板设置。
若新建的是防火墙策略,则只出现防火墙部分,要增加IDP策略的时候则需要在‘+’那里选择addIDPRulebase。
点击增加以后会出现一套IDPRULEBASE。
(其余honeypot,backdoor也是一样的设置)
在source框中点击右键可以选择对应的地址,在attacks框中可以攻击特征库。
此时策略处于模板的形式,还没有安装到指定的设备上。
在“InstallOn”下面的“any”上点击右键,选择“SelectTarget”。
选择需要将此策略安装到指定的设备上。
策略新建完成以后需要进行保存。
保存好以后,选择“Device→Configuration→updateDeviceConfig”对该设备的配置进行升级。
4.IDP配置实例
1、IDP的入侵保护策略配置实例
本次配置的采用状态签名和协议异常的全部特征库,针对Metasploit发起的攻击进行检测,主要是针对IIS和SMB协议的攻击,配置图如下所示:
本次因为两边的特征库不重叠,也就是策略1和策略2所引用的特征库都不一样,所以不需要选择TerminateMatch。
如果是新手配置IDP,action可以配置recommand,可以对威胁等级较高的攻击进行dropconnect或droppacket。
通过MetaSploit进行攻击发现有以下的条目
经过检查发现被攻击的机器没有启动IIS,所以发送过去的80端口的请求,均被客户端发送RST数据包终结请求。
在客户端安装了IIS以后,再次进行攻击就由于有IIS的响应而产生了对应的LOG,如下所示:
攻击已经被发现,但本次由于是测试IDP对攻击的检查力度,所以action都是accept
2、IDP防网络扫描配置实例
本次测试IDP的防扫描功能用的是NMAP工具,命令如下所示:
nmap–sSX.X.X.X
IDP的配置如下:
Trafficanomalies选择detect,severity选择default,缺省是critical的等级
在进行端口扫描以后出现以下的LOG日志信息
3、IDP防SYN配置实例
本次测试IDP的防SYN攻击功能采用的是HPING产生的SYNFLOOD攻击,命令如下所示
hpingx.x.x.x-pport-iu1000-S
而IDP的配置如下所示:
MODE的模式采用了passive模式。
在syn泛滥的时候在达到一定程度的时候自动block其他的synflood流量。
采用hping以后产生了如下的告警信息:
5.IDP特征库的升级
选择“Tools→View/UpdateNSMAttackDatabase”可以对特征库进行升级
6.查看IDPsensor的状态
点击“RealtimeMonitor→DeviceMonitor”可以查看处于NSM管理下的设备的状态,包括,型号,软件版本,状态等信息
查看DevSvr和GuiSvr进程的状态,包括进程所使用的硬盘情况,内存情况和状态等信息
查看DevSvr和GuiSvr的配置和端口号等信息,其中包括服务进程的名字,NSM的IP地址,通讯端口好等