DPtechIPS系列入侵防御系统开局指导Word文档下载推荐.docx
《DPtechIPS系列入侵防御系统开局指导Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《DPtechIPS系列入侵防御系统开局指导Word文档下载推荐.docx(19页珍藏版)》请在冰豆网上搜索。
1
网络拓扑层调查
网络拓扑图
附图
设备承载总带宽
峰值
出口NAT设备
设备接入方式
串行、旁路、混合
统一管理中心位置
如安装,那么填写
确定网络拓扑位置
上行设备:
我司设备:
下行设备:
2
设备接入层调查
上行设备型号
上行设备接口类型及参数
电口/光口,协商/强制、速率、双工状态
下行设备型号
下行设备接口类型及参数
链路是否存在Trunk
有那么记录交换机上每个VLAN对应的ID、该vlan所处的网络段,掩码
部署链路数
是否需要端口聚合
3
功能配置层调查
管理方式
带、带外〔确认IP地址〕
所需开启策略
与统一管理中心联动
如安装,那么确定IP地址
4
硬件部署层调查
设备高度
注明上架数量
设备电源数及满载功率数
断电保护设备高度
如有,那么填写
集中管理平台高度
如上架,那么填写
集中管理平台电源数及满载功率数
确定部署物理位置
入侵防御设备:
断电保护设备:
统一管理中心:
1.2确定部署方案
根据调研及交流的结果,确定物理部署位置、逻辑部署位置、开启功能策略等
第2章实施步骤
2.1准备工作
Ø
向用户介绍入侵防御系统实施容、产品
与用户沟通入侵防御系统实际部署时间
2.2部署条件
设备正常启动
连接线〔双绞线、光纤等〕正常可用
部署机柜满足部署条件〔机柜空间、插座数、功率载荷〕
管理地址已分配,且满足互通等要求
确定部署方式〔组网模式、部署链路数〕
2.3安装断掉保护PFP〔如需安装〕
将PFP插卡板安装在PFP主机上
将网连接线〔如SW引出〕连接至PFP“1〞口,外网连接线〔如FW引出〕连接至PFP“4〞口,流量于1——4间物理透传,此时验证网络畅通性
PFP插板“2、3”口平行连接IPS主机“A、B〞口,即实施后的流量流向应为:
局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网,链路上下行连接错误,会导致日志分析异常
此时切忌连接PFP主机与IPS主机的“USB〞连接线,需完成全部功能配置后,再连接“USB〞连接线
2.4实施方案
2.4.1根本配置方案1-旁路部署
组网拓扑图
注意:
此模式下只做检测,不做控制
PC直连设备管理口,缺省IP地址为192.168.0.1;
用户名:
admin,密码:
admin
在【网络管理】->
【组网模式】中,修改某一接口对组网模式为“旁路模式〞
如上图所示,eth1/0与eth1/1接口对组网模式改为旁路模式后,此接口将无接口对概念,eth1/0与eth1/1独立存在,且均可作为旁路检测接口
【网络用户组】中,添加IP用户组
如果设备需要跨网段管理,那么需在【网络管理】->
【单播IPv4路由】中,添加指定或默认路由
在【IPS规那么】中创立规那么后,引用到【IPS策略】中的指定旁路接口
在【日志管理】->
【业务日志】中,开启将IPS日志输出UMC功能〔IP:
UMC安装效劳器的IP地址,PORT:
9514〕
在【审计分析】->
【流量分析】中,开启将流量分析日志输出UMC功能〔IP:
9502〕
在效劳器安装UMC后,用IE访问其网卡IP地址〔注:
UMC地址需与IPS管理地址互通〕,用户名:
UMCAdministrator
在【设备管理】->
【设备列表】中,添加IPS设备
在【系统管理】->
【时间同步配置】中,点击“立即同步〞〔注:
UMC与IPS时间不一致,会影响日志统计〕
在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志〔如果未使用UMC,那么在IPS设备【IPS日志】中查看〕
2.4.2根本配置方案2-透明部署
2.4.3根本配置方案3-混合部署
如上图所示,eth1/0与eth1/1为旁路模式,可独立做旁路检测〔IDS〕;
eth1/2与eth1/3,eth1/4与eth1/5为在线模式,存在接口对概念,可做在线检测〔IPS〕;
即实现了同时在线检测与旁路检测的混合模式
2.4.4扩展配置
【防病毒】,在【常用功能】->
【防病毒】中,添加防病毒策略;
下列图策略为:
从eth1/0与eth1/1接口流入的流量,进展防病毒策略的平安匹配〔流行度概念,请参见用户手册〕
【带宽限速】,在【扩展功能】->
【应用防火墙】->
【网络应用带宽限速】中,添加带宽限速策略;
从eth1/0接口流入,且源IP组为test,目的IP组为Allusers的流量,P2P限速5000kbps〔注意单位〕;
从eth1/1接口流入,且源IP组为Allusers,目的IP组为test的流量,P2P限速5000kbps〔注意单位〕
【访问控制】,在【扩展功能】->
【网络应用访问控制】中,添加访问控制策略;
从eth1/0接口流入,且源IP组为test,目的IP组为Allusers的流量,阻断网络应用-即时通讯;
从eth1/1接口流入,且源IP组为Allusers,目的IP组为test的流量,阻断网络应用-即时通讯
【URL】,在【扩展功能】->
【URL过滤】中,添加URL过滤策略;
从eth1/0接口流入,且源IP组为test的流量,对主机名为.baidu.的URL进展过滤
2.4.5高级配置
端口捆绑〔注意:
虚接口绑定遵循上下行,即上行口不能与下行口绑定〕
自定义IPS特征〔根据报文参数,自定义设置IPS特征,并引入到IPS策略〕
带宽限速/访问控制自定义应用组〔创立自定义网络应用组后,可应用到带宽限速/访问控制策略中〕
URL分类库及推送配置〔注意:
此功能在有URLLicense,且已经导入URL特征库的情况下,方可使用〕
2.4.6其他配置
添加管理员,并设置管理权限
设置Web访问协议参数
导入/出配置文件,需重启〔推荐在同一软件版本下使用〕
修改接口同步状态〔注意:
当开启接口同步状态下,当接口对中的eth1/0口down后,在数秒种后,eth1/1口的管理状态会dwon,如恢复管理状态需在console口下操作,重新noshutdown该接口状态〕
创立IP用户组,IP用户群,IP用户簇〔IP可实现分级管理,并应用到策略〕
Web页面修改管理口地址
软件bypass,开启后流量不做平安检测〔VIP流量概念,请参见用户手册〕
黑
根底DDos配置〔添加防护网段配置后,根据网络情况,下发DDos防护策略〕
根本攻击防护策略
第3章实施考前须知
管理效劳器的平安性
管理效劳器安装Windows2003Server或者Windows2021操作系统后,管理员一定要确保对Windows进展重要平安补丁修补,规操作系统口令和密码设置,保证正常启动运行。
管理员应定期对效劳器杀毒系统进展升级并进展全机扫描以确保本效劳器无病毒。
在安装集中管理软件时,需要增加自启动选项,局部杀毒软件会给出提示信息,需要手动确认。
网络中防火墙的设置考前须知
集中管理效劳器与入侵防御系统之间存在的防火墙,要求开启9502、9514、9516、69、9503、9030、9504、9505、9501端口。
入侵防御系统接口配置
初次上线需观察接口参数〔接口管理状态、接口链路状态、速率、双工〕是否正常,入侵防御系统与上下行设备端口的工作模式需要保持一致。