DPtech IPS系列入侵防御系统开局指导资料.docx
《DPtech IPS系列入侵防御系统开局指导资料.docx》由会员分享,可在线阅读,更多相关《DPtech IPS系列入侵防御系统开局指导资料.docx(18页珍藏版)》请在冰豆网上搜索。
DPtechIPS系列入侵防御系统开局指导资料
DPtechIPS2000开局指导
杭州迪普科技有限公司
2011年07月
目录
DPtechIPS2000开局指导1
第1章前期调研1
1.1调研内容1
1.2确定部署方案2
第2章实施步骤3
2.1准备工作3
2.2部署条件3
2.3安装断掉保护PFP(如需安装)3
2.4实施方案4
2.4.1基本配置方案1-旁路部署4
2.4.2基本配置方案2-透明部署8
2.4.3基本配置方案3-混合部署11
2.4.4扩展配置12
2.4.5高级配置13
2.4.6其他配置14
第3章实施注意事项18
第1章前期调研
1.1调研内容
调研表
单位名称
联系人
联系电话
编号
调查项目
子项目
结果
备注
1
网络拓扑层调查
网络拓扑图
附图
设备承载总带宽
峰值
出口NAT设备
设备接入方式
串行、旁路、混合
统一管理中心位置
如安装,则填写
确定网络拓扑位置
上行设备:
我司设备:
下行设备:
编号
调查项目
子项目
结果
备注
2
设备接入层调查
上行设备型号
上行设备接口类型及参数
电口/光口,协商/强制、速率、双工状态
下行设备型号
下行设备接口类型及参数
电口/光口,协商/强制、速率、双工状态
链路是否存在Trunk
有则记录交换机上每个VLAN对应的ID、该vlan所处的网络段,掩码
部署链路数
是否需要端口聚合
编号
调查项目
子项目
结果
备注
3
功能配置层调查
管理方式
带内、带外(确认IP地址)
所需开启策略
与统一管理中心联动
如安装,则确定IP地址
编号
调查项目
子项目
结果
备注
4
硬件部署层调查
设备高度
注明上架数量
设备电源数及满载功率数
断电保护设备高度
如有,则填写
集中管理平台高度
如上架,则填写
集中管理平台电源数及满载功率数
确定部署物理位置
入侵防御设备:
断电保护设备:
统一管理中心:
1.2确定部署方案
根据调研及交流的结果,确定物理部署位置、逻辑部署位置、开启功能策略等
第2章实施步骤
2.1准备工作
Ø向用户介绍入侵防御系统实施内容、产品
Ø与用户沟通入侵防御系统实际部署时间
2.2部署条件
Ø设备正常启动
Ø连接线(双绞线、光纤等)正常可用
Ø部署机柜满足部署条件(机柜空间、插座数、功率载荷)
Ø管理地址已分配,且满足互通等要求
Ø确定部署方式(组网模式、部署链路数)
2.3安装断掉保护PFP(如需安装)
Ø将PFP插卡板安装在PFP主机上
Ø将内网连接线(如SW引出)连接至PFP“1”口,外网连接线(如FW引出)连接至PFP“4”口,流量于1——4间物理透传,此时验证网络畅通性
ØPFP插板“2、3”口平行连接IPS主机“A、B”口,即实施后的流量流向应为:
局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网,链路上下行连接错误,会导致日志分析异常
Ø此时切忌连接PFP主机与IPS主机的“USB”连接线,需完成全部功能配置后,再连接“USB”连接线
2.4实施方案
2.4.1基本配置方案1-旁路部署
Ø组网拓扑图
注意:
此模式下只做检测,不做控制
ØPC直连设备管理口,缺省IP地址为192.168.0.1;用户名:
admin,密码:
admin
Ø在【网络管理】->【组网模式】中,修改某一接口对组网模式为“旁路模式”
注意:
如上图所示,eth1/0与eth1/1接口对组网模式改为旁路模式后,此接口将无接口对概念,eth1/0与eth1/1独立存在,且均可作为旁路检测接口
Ø在【网络管理】->【网络用户组】中,添加IP用户组
Ø如果设备需要跨网段管理,则需在【网络管理】->【单播IPv4路由】中,添加指定或默认路由
Ø在【IPS规则】中创建规则后,引用到【IPS策略】中的指定旁路接口
Ø在【日志管理】->【业务日志】中,开启将IPS日志输出UMC功能(IP:
UMC安装服务器的IP地址,PORT:
9514)
Ø在【审计分析】->【流量分析】中,开启将流量分析日志输出UMC功能(IP:
UMC安装服务器的IP地址,PORT:
9502)
Ø在服务器安装UMC后,用IE访问其网卡IP地址(注:
UMC地址需与IPS管理地址互通),用户名:
admin,密码:
UMCAdministrator
Ø在【设备管理】->【设备列表】中,添加IPS设备
Ø在【系统管理】->【时间同步配置】中,点击“立即同步”(注:
UMC与IPS时间不一致,会影响日志统计)
Ø在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志(如果未使用UMC,则在IPS设备【IPS日志】中查看)
2.4.2基本配置方案2-透明部署
ØPC直连设备管理口,缺省IP地址为192.168.0.1;用户名:
admin,密码:
admin
Ø在【网络管理】->【网络用户组】中,添加IP用户组
Ø如果设备需要跨网段管理,则需在【网络管理】->【单播IPv4路由】中,添加指定或默认路由
Ø在【IPS规则】中创建规则后,引用到【IPS策略】中的指定旁路接口
Ø在【日志管理】->【业务日志】中,开启将IPS日志输出UMC功能(IP:
UMC安装服务器的IP地址,PORT:
9514)
Ø在【审计分析】->【流量分析】中,开启将流量分析日志输出UMC功能(IP:
UMC安装服务器的IP地址,PORT:
9502)
Ø在服务器安装UMC后,用IE访问其网卡IP地址(注:
UMC地址需与IPS管理地址互通),用户名:
admin,密码:
UMCAdministrator
Ø在【设备管理】->【设备列表】中,添加IPS设备
Ø在【系统管理】->【时间同步配置】中,点击“立即同步”(注:
UMC与IPS时间不一致,会影响日志统计)
Ø在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志(如果未使用UMC,则在IPS设备【IPS日志】中查看)
2.4.3基本配置方案3-混合部署
Ø如上图所示,eth1/0与eth1/1为旁路模式,可独立做旁路检测(IDS);eth1/2与eth1/3,eth1/4与eth1/5为在线模式,存在接口对概念,可做在线检测(IPS);即实现了同时在线检测与旁路检测的混合模式
2.4.4扩展配置
Ø【防病毒】,在【常用功能】->【防病毒】中,添加防病毒策略;下图策略为:
从eth1/0与eth1/1接口流入的流量,进行防病毒策略的安全匹配(流行度概念,请参见用户手册)
Ø【带宽限速】,在【扩展功能】->【应用防火墙】->【网络应用带宽限速】中,添加带宽限速策略;下图策略为:
从eth1/0接口流入,且源IP组为test,目的IP组为Allusers的流量,P2P限速5000kbps(注意单位);从eth1/1接口流入,且源IP组为Allusers,目的IP组为test的流量,P2P限速5000kbps(注意单位)
Ø【访问控制】,在【扩展功能】->【应用防火墙】->【网络应用访问控制】中,添加访问控制策略;下图策略为:
从eth1/0接口流入,且源IP组为test,目的IP组为Allusers的流量,阻断网络应用-即时通讯;从eth1/1接口流入,且源IP组为Allusers,目的IP组为test的流量,阻断网络应用-即时通讯
Ø【URL】,在【扩展功能】->【应用防火墙】->【URL过滤】中,添加URL过滤策略;下图策略为:
从eth1/0接口流入,且源IP组为test的流量,对主机名为的URL进行过滤
2.4.5高级配置
Ø端口捆绑(注意:
虚接口绑定遵循上下行,即上行口不能与下行口绑定)
Ø自定义IPS特征(根据报文参数,自定义设置IPS特征,并引入到IPS策略)
Ø带宽限速/访问控制自定义应用组(创建自定义网络应用组后,可应用到带宽限速/访问控制策略中)
ØURL分类库及推送配置(注意:
此功能在有URLLicense,且已经导入URL特征库的情况下,方可使用)
2.4.6其他配置
Ø添加管理员,并设置管理权限
Ø设置Web访问协议参数
Ø导入/出配置文件,需重启(推荐在同一软件版本下使用)
Ø修改接口同步状态(注意:
当开启接口同步状态下,当接口对中的eth1/0口down后,在数秒种后,eth1/1口的管理状态会dwon,如恢复管理状态需在console口下操作,重新noshutdown该接口状态)
Ø创建IP用户组,IP用户群,IP用户簇(IP可实现分级管理,并应用到策略)
ØWeb页面修改管理口地址
Ø软件bypass,开启后流量不做安全检测(VIP流量概念,请参见用户手册)
Ø黑名单
Ø基础DDos配置(添加防护网段配置后,根据网络情况,下发DDos防护策略)
Ø基本攻击防护策略
第3章
实施注意事项
Ø管理服务器的安全性
管理服务器安装Windows2003Server或者Windows2008操作系统后,管理员一定要确保对Windows进行重要安全补丁修补,规范操作系统口令和密码设置,保证正常启动运行。
管理员应定期对服务器杀毒系统进行升级并进行全机扫描以确保本服务器无病毒。
在安装集中管理软件时,需要增加自启动选项,部分杀毒软件会给出提示信息,需要手动确认。
Ø网络中防火墙的设置注意事项
集中管理服务器与入侵防御系统之间存在的防火墙,要求开启9502、9514、9516、69、9503、9030、9504、9505、9501端口。
Ø入侵防御系统接口配置
初次上线需观察接口参数(接口管理状态、接口链路状态、速率、双工)是否正常,入侵防御系统与上下行设备端口的工作模式需要保持一致。
升级会员 