IDP客户端使用教程Word下载.docx

上传人:b****3 文档编号:15892262 上传时间:2022-11-16 格式:DOCX 页数:12 大小:396.54KB
下载 相关 举报
IDP客户端使用教程Word下载.docx_第1页
第1页 / 共12页
IDP客户端使用教程Word下载.docx_第2页
第2页 / 共12页
IDP客户端使用教程Word下载.docx_第3页
第3页 / 共12页
IDP客户端使用教程Word下载.docx_第4页
第4页 / 共12页
IDP客户端使用教程Word下载.docx_第5页
第5页 / 共12页
点击查看更多>>
下载资源
资源描述

IDP客户端使用教程Word下载.docx

《IDP客户端使用教程Word下载.docx》由会员分享,可在线阅读,更多相关《IDP客户端使用教程Word下载.docx(12页珍藏版)》请在冰豆网上搜索。

IDP客户端使用教程Word下载.docx

3、IDP的当前运行状态也会自动送到NSM服务器上

配置IDPsensor的第一步是去NSM的DeviceManager→SecurityDeivce中。

点击“+”添加设备模板。

并选择“Device”。

(NSM服务器安装过程见《NSM安装手册(DC版)》)

在DeviceName中输入设备模板的名字,在Color选择模板图标的颜色(名字和图标颜色只用于表示设备,没有实际意义)。

如果IDP已经配置好,则选择“deviceisreachable(i.e.staticIPaddress)”。

并点击下一步

输入IDPsensor的IP地址,admin用户名,密码和root的密码。

若设备是ISG+IDP。

则输入的admin用户名和密码均使用防火墙的用户名和密码。

在ConnectToDeviceWith中选择使用什么协议和设备进行通讯,默认为SSHv2。

IDP和NSM通信的第二阶段则是通过DevSvr进程的7803端口通信

点击下一步以后NSM服务器的DevSvr进程会按照实际情况去寻找设备。

找到设备以后,模板还没有设备的配置,只有设备的序列号等信息,因此需要在“Device→Configuration→ImportDeviceConfig”中导入现有设备的配置,则可以看到当前被导入设备的状态,序列号,软件版本等信息;

或在新增的设备上双击鼠标左键,NSM服务器会自动运行ImportDeviceConfig;

配置IDP的策略

IDP的策略配置是最为关键和要消耗较多的时间,IDP的策略包括以下几种

1、IDP:

入侵检测和保护的策略,主要针对来自应用层的攻击行为。

包括两种检查机制signature和anomaly

2、Synprotector:

syn泛滥保护策略,主要是针对通过IDP设备的SYN泛滥攻击

3、Trafficanomaly:

流量异常策略,主要是针对通过IDP的端口扫描

4、Exempt:

5、Backdoor:

6、Honeypot:

 

新建策略的时候是新建一整套的策略,具体的防护策略则在新建的策略里面添加

在“PolicyManager→SecurityPolicies”中点击右键,并选择NewPolicy

输入名字和描述,并点击下一步

选择CreatenewPolicyfor。

新建一套策略模板

如果设备是防火墙ISG+IDP,则选择firewall/vpnDevice。

如果设备是单独的IDP设备则选择StandAloneIDPDevcies。

再次点击next以后选择安装到那台设备,可以暂时不选择,再点击next。

完成策略的模板设置。

若新建的是防火墙策略,则只出现防火墙部分,要增加IDP策略的时候则需要在‘+’那里选择addIDPRulebase。

点击增加以后会出现一套IDPRULEBASE。

(其余honeypot,backdoor也是一样的设置)

在source框中点击右键可以选择对应的地址,在attacks框中可以攻击特征库。

此时策略处于模板的形式,还没有安装到指定的设备上。

在“InstallOn”下面的“any”上点击右键,选择“SelectTarget”。

选择需要将此策略安装到指定的设备上。

策略新建完成以后需要进行保存。

保存好以后,选择“Device→Configuration→updateDeviceConfig”对该设备的配置进行升级。

4.IDP配置实例

1、IDP的入侵保护策略配置实例

本次配置的采用状态签名和协议异常的全部特征库,针对Metasploit发起的攻击进行检测,主要是针对IIS和SMB协议的攻击,配置图如下所示:

本次因为两边的特征库不重叠,也就是策略1和策略2所引用的特征库都不一样,所以不需要选择TerminateMatch。

如果是新手配置IDP,action可以配置recommand,可以对威胁等级较高的攻击进行dropconnect或droppacket。

通过MetaSploit进行攻击发现有以下的条目

经过检查发现被攻击的机器没有启动IIS,所以发送过去的80端口的请求,均被客户端发送RST数据包终结请求。

在客户端安装了IIS以后,再次进行攻击就由于有IIS的响应而产生了对应的LOG,如下所示:

攻击已经被发现,但本次由于是测试IDP对攻击的检查力度,所以action都是accept

2、IDP防网络扫描配置实例

本次测试IDP的防扫描功能用的是NMAP工具,命令如下所示:

nmap–sSX.X.X.X

IDP的配置如下:

Trafficanomalies选择detect,severity选择default,缺省是critical的等级

在进行端口扫描以后出现以下的LOG日志信息

3、IDP防SYN配置实例

本次测试IDP的防SYN攻击功能采用的是HPING产生的SYNFLOOD攻击,命令如下所示

hpingx.x.x.x-pport-iu1000-S

而IDP的配置如下所示:

MODE的模式采用了passive模式。

在syn泛滥的时候在达到一定程度的时候自动block其他的synflood流量。

采用hping以后产生了如下的告警信息:

5.IDP特征库的升级

选择“Tools→View/UpdateNSMAttackDatabase”可以对特征库进行升级

6.查看IDPsensor的状态

点击“RealtimeMonitor→DeviceMonitor”可以查看处于NSM管理下的设备的状态,包括,型号,软件版本,状态等信息

查看DevSvr和GuiSvr进程的状态,包括进程所使用的硬盘情况,内存情况和状态等信息

查看DevSvr和GuiSvr的配置和端口号等信息,其中包括服务进程的名字,NSM的IP地址,通讯端口好等

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 初中教育 > 语文

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1