IDP系统安装维护操作手册.docx
《IDP系统安装维护操作手册.docx》由会员分享,可在线阅读,更多相关《IDP系统安装维护操作手册.docx(11页珍藏版)》请在冰豆网上搜索。
IDP系统安装维护操作手册
NetscreenIDP(入侵检测防御系统)
系统安装维护操作手册
北京天刚数码科技有限公司
一、
安装IDPSensor的软件
当IDP系统软件发生故障或者有新版本软件发布,可以通过ApplianceCD进行IDP系统恢复,必须参照一下步骤:
1.备份LICENSE
由于LICENSE是随机带的,因此在恢复或升级系统之前必须先将LICENSE备份出来。
首先:
通过FTP方式将两个文件(backuplic.sh&restorelic.sh)拷贝到IDP指定目录(/mnt/floppy)中;
然后,执行命令:
chmod700*.sh来添加这两个文件的执行权限;
执行命令:
./backuplic.sh,系统会将三个LICENSE文件(host-id&idp.cfg&idp.lic)拷贝到/mnt/floppy中;
再使用FTP将这三个文件备份出来。
2.备份配置信息
IDP会将所有配置信息(包括:
定制的策略、LOG、系统信息、OBJECTS信息)放置在指定目录(/usr/idp/mgt-svr/var),因此使用一下命令:
tarcvffilename/usr/idp/mgt-svr/var
随后将这个文件备份出来以便后面恢复当初的配置
3.恢复系统
插入ApplianceCD,连接显示器和键盘,重新启动IDP,当提示boot:
时按回车,系统会自动恢复不需要任何操作,安装结束后按提示Ctrl+Alt+Del重起机器,系统会自动重起两次完成恢复工作。
4.恢复LICENSE
恢复完系统后,缺省是没有LICENSE的,因此首先通过FTP方式将备份出来的三个LICENSE文件和restorelic.sh拷贝到制定目录(/mnt/floppy),
输入命令:
chmod700restorelic.sh添加文件执行属性
输入命令:
./restorelic.sh恢复LICENSE
5.恢复系统配置
将备份出来的系统配置文件(使用tarcvffilename/usr/idp/mgt-svr/var备份出来的文件)拷贝到临时目录,使用一下命令进行恢复:
tarxvffilename
6.确认系统恢复完成
使用以下命令来确认系统恢复是否完成:
scioliclist查看LICENSE是否安装成功;
idp.shstatus查看IDP所有进程是否启动成功
进入/usr/idp/mgt-svr/bin目录,实行命令:
./mgtSvr.shstatus查看所有管理服务器的进程是否启动成功。
二、
IDP系统配置操作
1.修改管理端口IP地址
可以有两种方式修改IDP管理端口IP地址:
a)使用超级终端用root用户登录后,系统会出现对话方式:
是否修改相关端口的IP地址[eth2],可以按照提示进行相关端口的IP地址修改,包括添加缺省路由;
b)进入/etc/sysconfig/network-scripts目录,修改相关端口配置文件,例如需要修改eth2端口,就viifcfg-eth2,修改成功后重起IDP。
2.通过ACM进行系统基本配置
IP地址修改成功后,使用HTTPS方式连接IDP:
https:
//xxx.xxx.xxx.xxx
初始配置可以使用wizard方式依照系统提示进行相关配置,配置内容包括:
a)输入root、admin密码
b)IDP运行模式:
Sniffer、Bridge、Proxy-ARP、Transparent、Router;
c)FQDN域名:
例如;
d)选择是否将管理服务器安装在本地(仅限于IDP-100),如安装在本地,则需要输入管理服务器admin的密码以及OTP密码;如不选择安装在本地,则需要指定管理服务器IP地址以及OTP密码;
e)端口模式:
10M、100M、half-duplex、full-duplex;
f)选择管理端口并配置IP地址;
g)输入缺省路由以及静态路由;
h)选择Sniffer或者转发端口;
i)输入DNSServer(如果有必要的话);
j)选择TIMEZONE以及输入正确时间;
k)输入NTPServer(如果有必要的话);
l)输入RadiusServer(如果有必要的话);
m)输入SNMP相关信息(如果有必要的话);
选择save&apply,然后confirm。
这样ACM基本配置完毕,必要的话(例如安装了管理服务器)可以重新启动IDP。
3.安装UI并进行相关设置
a)登录到管理服务器
b)UIDashboard界面
c)进入Objects,添加Sensor
其中Address是IDP管理端口的IP地址;VIN可以通过ACMviewanddisplayConfigurationinformation去查看VIN的信息;Password就是在ACM里面定义的OTP的密码
d)进入Objects,添加相关主机和网段
e)LogViewer窗口
f)DeviceMonitor窗口
会显示所有IDPSensor以及管理服务器的性能状态以及Sensor运行的PolicyName、PolicyVersion;
g)
添加SecurityPolicy
输入Policy名称,选择使用系统预定义模版还是使用EmptyPolicy
h)对于各RuleBase(TrafficAnomalies、SYN-Protector、NetworkHoneypot、Main、BackdoorDetection)的Policy需要逐条添加;
✧每个RuleBase分别代表一种检测机制:
TrafficAnomalies:
检测异常流量包括IP地址扫描、端口扫描等等;
SYN-Protector:
DOS(DenialofService)攻击防护;
NetworkHoneypot:
网络蜜罐,用以开放虚拟端口引诱攻击者进行攻击,从而进行跟踪记录;
Main:
基于特征库来进行检测,是主要的检测防护机制;
Backdoor:
后门检测,基于检测交互式流量的检测机制
✧添加Rule需要注意的地方
TrafficAnomalies:
目标地址具体化,仅保护需要受保护的主机以及网段(事先在Objects内定义好);
SYN-Protector:
目标地址具体化,仅保护需要受保护的主机以及网段(事先在Objects内定义好),尽量不要记LOG(当使用inline模式),因为一旦攻击产生会生成大量LOG;
NetworkHoneypot:
在IDP上模拟网络内重要主机的一些虚拟端口(在主机上没有开放的),检测试图访问这些端口用户并进行记录;
Main:
细化策略,包括源、目标的IP地址、网段,目标的Service端口以及定义针对于目标机器已经开放的端口的攻击类型(例如目标主机开放HTTP端口,那只需要选择“LookFor”HTTP类型的攻击即可);另外如果使用Inline模式,Action的选择需斟酌,尽量使用DropPacket或者CloseServer、CloseClient、CloseClient&Server方式;
Backdoor:
如需使用此RuleBase,则需先添加目标主机现有的交互式应用(FTP、TELNET、SSH等等),Operation选择Ignore,Action选择Accept,随后再添加到达目标主机的其他流量,让IDP来检测是否还存在交互式的流量,Operation选择Detect,Action自行选择(建议先选择Accept,一旦确认再选择其他的Action),并记录LOG。
备注:
具体策略优化方式请参照IDPv3.0ConceptGuide。
i)修改管理服务器各项参数
进入菜单ToolsPreferences…
在这里可以添加SNMP、SMTP、Syslog、LogPurging等等参数。
三、
常用日常维护命令
1.检测IDP各进程是否运行正常;
进入目录:
/usr/idp/device/bin,输入命令:
idp.shstatus
2.重起IDP各进程;
进入目录:
/usr/idp/device/bin,输入命令:
idp.shrestart
3.停止IDP各进程
进入目录:
/usr/idp/device/bin,输入命令:
idp.shstop
4.检查IDP软件版本
进入目录:
/usr/idp/device/bin,输入命令:
idp.shversion
5.检测管理服务器(ManagementServer)各进程是否运行正常;
进入目录:
/usr/idp/mgt-svr/bin,输入命令:
./mgtSvr.shstatus
6.重起管理服务器(ManagementServer)各进程
进入目录:
/usr/idp/mgt-svr/bin,输入命令:
./mgtSvr.shrestart
7.停止管理服务器(ManagementServer)各进程
进入目录:
/usr/idp/mgt-svr/bin,输入命令:
./mgtSvr.shstop
8.检查管理服务器(ManagementServer)软件版本
进入目录:
/usr/idp/mgt-svr/bin,输入命令:
./mgtSvr.shversion
9.检查IDPLicense情况
进入目录:
/usr/idp/device/bin,输入命令:
scioliclist
10.检查IDP各监控端口数据流量情况
进入目录:
/usr/idp/device/bin,输入命令:
sctop
选择相关选项分别检查不同的数据流量,具体参数可以参照IDPv3.0ConceptGuide。
11.检查IDP与管理服务器之间的数据流
输入命令tcpdump–ihostandport7202
升级会员 