IGSA_SOP_标准操作手册_中文版.doc

趋势科技InterScan Gateway Security Appliance 标准操作手册SOP 目 录1存在的威胁22产品总体描述22.1功能概览22.2硬件规格43产品部署分析54产品安装步骤75产品基本配置146产品正常运行测试307产品系统升级步骤328产品网站资源381 存在的威胁众所周知，病毒、间谍软件、垃圾邮件以及不适当的内容会破坏业务运营，并对员工生产力造成影响。隐藏在电子邮件或网页中的这些威胁消耗着系统和网络资源，并增加了支持成本。此外，网络钓鱼攻击会使用虚假电子邮件窃取身份，而一些间谍软件则偷取财务或其他保密资料。趋势科技InterScan网关设备可以在各种安全威胁损害网络之前，就在网关处提供全面而综合的保护。通过减少支持电话、提高员工生产力、自动清除威胁以及保护网络资源，这种安全内容管理工具可以节约大量时间和资金。2 产品总体描述2.1 功能概览功能特点：全合一的网关安全防止多种威胁和不适当内容进入网络l 反间谍软件 n 网关过滤，降低桌面端间谍软件清除负担n 自动阻断间谍软件Phone Home，保护企业机密信息不外泄n 提高员工生产力 l 反垃圾邮件 n 提高邮件应用效率 n 保证不间断邮件系统业务支持n 结合动态IP信誉评估技术（NRS），提高垃圾邮件的扫描效率和精准度l 病毒实时过滤 n 采用趋势科技Intelli-trap技术，对已知和未知病毒进行防范n 降低桌面端恶意软件清除成本，保证业务连续性l 反网络钓鱼 n 防护目前比较流行的phishing攻击，阻止客户访问钓鱼网站n 避免公司财务损失l URL filtering n 控制员工internet访问的时间、范围和访问量n 改善员工生产力，避免工作时间访问无关网站n 限制法律影响 l 邮件过滤n 限制法律影响 n 强制邮件收发规范，可以对内容、关键字进行过滤，也可以对附件进行管理l 损害清除服务n 发现中毒机器后，自动调用损害清除服务DCS进行远程清除n 减轻管理员工作压力l 病毒爆发防护策略n 及时部署防护策略，限制病毒爆发影响范围 n 保护基础网络设施，应对最新病毒威胁n 独一无二的快速响应机制l 部署简便、易于管理n 基于web的远程管理配置及自动更新n 在不改变硬件的情况下实现轻松升级，减少IT管理员负担n 补充已有防火墙和虚拟专用网的安全防护n 为硬件、软件和可用的长期担保提供一站式支持2.2 硬件规格CPU3.0GHz Intel Pentium 4操作系统Linux Kernel 2.6.x内存1G网络接口3个 10/100/1000Mb RJ45接口硬盘80G可用容量USB接口2.0，兼容1.1PCI扩展槽PCI-X，133MHz/64字节管理接口1个10/100M，1个串行DB-9连接器管理基于Web的管理控制台形状尺寸1U，1.75英寸高，17.3英寸宽，15.7英寸深3 产品部署分析IGSA建议部署在防火墙的后面，对进出网关的HTTP、FTP、SMTP、POP3数据流进行扫描，且支持透明模式，不需要客户端做任何设置上的修改，实施简单，管理方便，有效应对目前比较流行的间谍软件、钓鱼网站、病毒邮件、垃圾邮件等威胁。IGSA deployment methods:Two Firewall with a DMZ:One Firewall with a DMZ:One Firewall without a DMZ:工作模式：IGSA有两种工作模式：完全透明模式（Fully Transparent mode）和透明代理模式（Transparent Proxy mode），两种模式的工作原理如下：两种模式均无需更改网络原有拓扑结构，也无需在客户端做任何设置，不同之处在于，完全透明模式下，IP地址可以透过IGSA透明的传递；透明代理模式下，IGSA无法透明传递客户端的IP地址，而是将其更改为IGSA自己的IP地址，与代理服务器的工作模式相似。4 产品安装步骤设置超级终端：进入登录界面，输入密码（默认密码：admin）也可以通过SSH登录（默认登录用户root，密码为空）主页面Device Information & Status，查看产品状态Device IP Settings，给IGSA设置IP信息Interface Settings，设置端口速率System Tasks，硬盘初始化，恢复出厂设置Advanced Settings，选择是否开启SSH功能，按空格键切换选项SSH Access Control，设置可以通过SSH访问IGSA的机器IPChange PasswordSave Settings访问https:/IGSA_IP ，进入Web管理界面（默认密码admin）5 产品基本配置l SMTP病毒扫描扫描文件类型 All scannable files IntelliScan Specified extensions针对压缩文件的设定: File count exceeds File size exceeds Layers exceeds Compression ratio exceeds有害文件/邮件的处理方式: Clean and pass Quarantine Delete Remove item and pass Pass SMTP扫描间谍软件，可手动添加间谍软件例外列表，可选择需要扫描的间谍软件类型。SMTP智慧型扫描（Intelltrap） 加强对压缩形态的恶意程序侦测 常见类型有僵尸程序、后门程序等等反垃圾邮件，网络信誉服务NRSRBL+&QIL，从源头上对垃圾邮件进行阻挡。关键字过滤，发件人黑/白名单设置。反钓鱼，对于钓鱼邮件可以打上标记或者直接删除，也可以发送通知信告知管理员或者收件人。SMTP内容过滤，可设定项目：信件大小、信件主旨、信件内容、附件文件名、真实文件类型。HTTP病毒扫描设定，比SMTP多了一项“Large File Handling Options”，可以设置对大文件的扫描方式。 Anti-spyware Anti-Phishing Anti-PharmingURL Filteringl 可按照下列条件禁止浏览网页：n 趋势URL Filter数据库n 黑名单，可按照下列条件设定：u Website/domainu 关键字u 特定URLl 可自选套用时间可按照文件类型和后缀名对文件进行阻挡。针对FTP协议,IGSA可以执行下列侦测: Antivirus Anti-spyware File blocking针对POP3协议,IGSA可以执行下列侦测: Antivirus Anti-spyware IntelliTrap Anti-spam Anti-phishing Content filtering病毒爆发防护：包含组件: Outbreak Prevention Services (OPS)病毒爆发防护服务 Outbreak Prevention Policies (OPPs)病毒爆发防护策略 Damage Cleanup Services（损害清除服务）内部防护: 保存旧有的OPPs 允许启动旧有的OPPsAccess Control，设置是否允许外部（接EXT口一端）访问Web管理控制台保存配置文件，需要的时候可以重新导入IP信息设置设置静态路由，当IGSA部署在多网段的网络环境中时，为确保IGSA的正常通信，需要为每个网段设置一条静态路由选择工作模式：完全透明和透明代理模式，两种模式的区别请参考第三节产品部署分析为确保IGSA可以正常通过网络升级组件，可根据需要设置代理病毒爆发防护OPP设置查找被隔离的文件手动更新设置，可选择更新组件日志查询 产品安装设置FAQ1、IGSA Web Console无法访问A：默认情况下，IGSA只能从Internal的那个网口访问。如果需要从Ext网口访问，需要在IGSA Console administrator access control中设定2、IGSA/IWSA需要保护多个网段，需要设置Static RoutesA：IGSA Console administrator IP Address Settings Static Routes3、重设IGSA console密码，需要重新刷DOM文件4、IGSA更新文件/文档下载A：/TM-Product/Product/IGSA/5、IGSA必须重新刷过DOM文件（.r和.b文件），保证使用的是最新版本6、IGSA自带DCS的功能，可以通过以下地址访问：A：https:/IGSA_IP/nonprotect/cgi-bin/dcs_manual_cleanup.cgi 7、通过Console线访问IGSA时，启动时会出现乱码，这是正常现象，不会影响后续正常配置，在将来的版本中会修改8、IGSA目前已经有Patch 2，建议更新A：/download/product.asp?productid=739、IGSA支持EUQ功能，可以从以下地址获得：A：/download/product.asp?productid=7310、IGSA不支持VlanA：IGSA 不支持VLAN, 你可以从L3 traning book得到更详细的解释:=Vlan is not supported in both transparent and fully transparent operation modesSome network devices use VLAN to saparate network layers. This causes modified VLAN tags. IGSA needs the original VLAN tag to process transactions. IGSA cannot recognize VLAN tags. If IGSA is deployed in a VLAN enviroment, all types of scanning will not work and the management console will be inaccessable.NOTE:If IGSA is deployed in a VLAN environment, the LCM LEDs are unable to provide any indecation that scanning is ineffective.=提醒：IGSA需要原始的VLAN tag来处理数据包，如果进出IGSA的数据包Vlan tag 不一致，会造成IGSA无法处理该数据包。12、IGSA是支持全透明和半透明模式的网桥设备，只支持80/110/25/21端口的数据扫描。13、当IGSA处于半透明模式的状态下，IGSA会数据流的源IP地址改为本身的IP(只修改通讯端口为80/110/21/25端口)14、升级Firmware后如果不能显示日志，要把硬盘格式化一下；A：升级过程请参考IGSA_update_DOM.ppt：/TM-Product/Product/IGSA/6 产品正常运行测试通过Web检查基本配置是否成功测试内容测试步骤测试目的测试结果评估意见检查IGSA激活码是否生效通过AdministrationProduct License检查产品有效期。 测试IGSA是否成功设置产品激活码 Pass Fail检查IGSA工作模式的运行状态通过AdministrationOperation Mode设置 IGSA的工作模式：n Full Transparent Mode；n Transparent Proxy Mode。测试IGSA在各种工作模式下是否能正常运行 Pass FailIGSA更新测试n 手动更新IGSA；n 预设更新IGSA；测试IGSA能否自动更新 Pass Fail检查SMTP/POP3功能是否生效测试内容测试步骤测试目的测试结果评估意见检查IGSA对SMTP协议过滤是否生效n 通过SMTPScaning Incoming（Outgoing）设定启用SMTP Scaning n 在外网(内网)向公司内部邮件服务器（外部邮箱）发送一封带eicar的测试文件测试IGSA对SMTP协议的阻挡是否成功设置。 Pass Fail检查IGSA对邮件内容过滤是否生效n 通过SMTPContent Filtering设定邮件标题、正文或附件中包含某些关键字，如在邮件标题中包含aaaa的邮件将被IGSA过滤。测试IGSA对邮件标题、正文或附件中包含某些关键字可被过滤功能是否正常。 Pass Fail检查IGSA POP3协议过滤是否生效n 通过POP3Scaning设定启用POP3 Scaning n 在内网通过IE浏览器登陆外部任一Web邮箱，提前下载一个eicar测试文件附件放到Web邮箱中。然后下载此测试文件。测试IGSA POP3协议过滤功能是否正常。 Pass Fail检查HTTP功能是否生效测试内容测试步骤测试目的测试结果评估意见检查IGSA对HTTP协议过滤是否生效n 通过HTTPScaning 设定启用HTTP Scaning n 在内网中通过IE浏览器访问/anti_virus_test_file.htm 任一下载一个eicar测试文件.注意：如果你使用了PROXY连接Internet的话，此时是无法检测到eicar测试病毒的，因为IGSA只能监测HTTP的80端口。测试IGSA对HTTP协议的阻挡是否成功设置。 Pass Fail检查IGSA File Bolcking是否生效n 通过HTTPFile Blocking设定启用文件过滤功能。n 设置阻挡MP3文件下载。测试IGSA对特定文件过滤功能是否正常。 Pass Fail检查FTP功能是否生效测试内容测试步骤测试目的测试结果评估意见检查IGSA FTP功能是否生效n 通过FTPScanning设定启用FTP扫描功能。n 在内网通过客户端FTP软件登陆外网FTP测试站点，下载eicar测试文件，检查测试文件是否被过滤。注意：必须保证IGSA监听的是21端口。 测试IGSA对FTP过滤是否成功设置。 Pass Fail7 产品系统升级步骤通过超级终端及升级工具对IGSA进行系统升级及初始配置。1、 启动IGSA，通过超级终端为IGSA配置一个IP(准备步骤，IP随意)；2、 重启IGSA，当出现如下界面时按下ESC：3、 进入菜单，选择3进入Boot Rescue更新菜单：4、 进入更新状态(如果前面没有为IGSA配置IP，则看不到此界面)5、 运行AFFU工具，获得Beta版本时IGSA的IP；6、 配置超级终端机器IP与当前IGSA在同一个网段；7、 关闭IGSA电源(电源线必须插在上面，密码root)，重新运行上载程序；8、 上载程序会呼叫IGSA重启，完成BMC更新。二、升级BIOS1、 重启IGSA，当出现如下界面时按下ESC：2、 进入菜单，选择3进入Boot Rescue更新菜单：3、 进入更新状态(如果前面没有为IGSA配置IP，则看不到此界面)4、 运行AFFU工具，获得IGSA的IP，此时IGSAIP应变为；5、 配置超级终端计算机IP与当前IGSA在同一个网段；6、 重新更新上载程序(验证码为722B，密码root)-此次不用关闭电源；7、 即可完成更新。三、升级DOM1、 重启IGSA，当出现如下界面时按下ESC：2、 进入菜单，选择5进入Rescue更新菜单：3、 显示进入Rescue Mode：4、 将超级终端计算机配置为00，运行上传程序(注：此时IGSA IP为)：5、 可从超级终端上看到其更新过程；6、 IGSA重启后，可看到版本已更新到最新；7、 进入主菜单，选择4，然后选择“Hard disk initialization”，不断回车，直至IGSA重启；IGSA重启后，请重新执行“Hard disk initialization”，直至硬盘完成初始化。8 产品网站资源趋势科技公司在Internet上提供丰富的网站资源为用户服务，其中常用的内容信息请参见下述网址下载IGSA最新程序和文档/download/product.asp?productid=73下载最新的病毒码 :/corporate/downloads/downloads.htm下载最新的扫描引擎:/corporate/downloads/scanengines.htm下载最新的补丁程序 :/corpor