IWSA技术培训进阶篇.ppt

IWSA技术培训初级篇,内容概要,IWSA2500&5000功能介绍 IWSA2500各种模式的工作原理 IWSA2500配置方法 IWSA典型部署排错思路,内容概要,IWSA2500&5000功能介绍 IWSA2500各种模式的工作原理 IWSA2500配置方法 IWSA典型部署排错思路,IWSA 2500&2500 主要功能,HTTP/FTP 恶意代码扫描 间谍软件/灰色软件扫描 反钓鱼 支持ICAP 支持LDAP URL过滤 支持EPS AAXS 支持透明桥模式 与DCS联动 Web信誉评估 URL分类过滤 不同用户权限管理,Web信誉度评估服务 HTTP/FTP 恶意代码扫描 间谍软件/灰色软件扫描 反钓鱼 支持ICAP 支持LDAP URL过滤 支持EPS AAXS 完全透明桥模式 与DCS联动 硬件产品 支持WCCP/L4 Switch联动 支持完全透明部署,IWSA 2500,Linux Kernel 2.6.14 数据库PostgreSQL 7.4.16 （适用于日志和报告） 能够支持最多5000用户 1 U 机架,IWSS 5.0 for Linux 2 U 机架 能够支持最多10000用户 并发Http连接数6000个,IWSA 2500,内容概要,IWSA2500&5000功能介绍 IWSA2500各种模式的工作原理 IWSA2500配置方法 IWSA典型部署排错思路,IWSA 2500 (InterScan Web Security Appliance 2500),IWSA 2500,IWSA部署方式；管理员可以根据企业的本身需求，部署 IWSA设备，部署后不会影响现有客户的网络结构。,代理联动模式 ICAP+IWSA 透明桥模式 与L4交换机联动,网桥模式工作原理,内部,外部,部署客户端与防火墙之间，对流经IWSA的HTTP及FTP数据流进行扫描 最多可以容纳5000个客户端 优势说明 透明桥工作模式，无需更改客户端的代理设置； 即插即用，部署简单； 注意事项：需要使用两个以太网口,代理模式（StandAlone）工作原理,客户端,Internet Web 服务器,数据包被扫描/过滤模块处理,发送到8080端口,FTP,HTTP,返回数据也被IWSA处理,IWSA 充当内部客户端 向外部站点发起连接,优势: 不需要额外硬件 限制: 需要修改IE中的代理设置,Proxy: :,代理模式（Dependent）工作原理（非DMZ区）,HTTP 客户端,1,3 / 8,4,目标 Web 服务器,2,路由规则定义： 1，重定向所有的HTTP数据包到IWSA 2，IWSA的数据包允许访问Internet,7,9,IWSA,5,6,Internet,Internet,代理模式（Dependent）工作原理（DMZ区）,4a,4b,7,5b,HTTP 客户端,1,3 / 6,目标 Web 服务器,2,IWSA,5a,路由规则定义： 1，重定向所有的HTTP数据包到IWSA 2，IWSA的数据包允许访问Internet,代理模式（WCCP）工作原理 （DMZ区）,WCCP是一种高速缓存技术协议， 是路由器/交换机与缓存引擎之间的 通信协议，其中缓存引擎是 作为Web 缓存的专用设备，用来 管理存储Web 页面，也可以用来 过滤Web页面中的内容。,反向代理模式工作原理,IWSA 反向代理 for ,1,4,3,HTTP 服务器 for ,5,2,23,23,Internet,HTTP 客户端, 23,专职保护服务器(Web/FTP服务器),ICAP 模式拓扑工作原理,ICAP Device,单台 IWSA 设备,ICAP Device,多台 IWSA 设备,1,2,3,5,4,8,7,6,HTTP Client,HTTP Client,Internet,Internet,ICAP 协议是一种对HTTP 信息 执行远程过程调用的轻量协议。 该协议可以让ICAP 客户端 将HTTP 信息发送至ICAP 服务器。,优势: 高性能、高稳定性 限制: 每笔数据经历两次网络轮询 额外（昂贵的）硬件 Remarks: 只用端口1,FTP独立模式和代理模式工作原理,1,6,5,2,FTP 代理服务器,4,3,Internet,FTP 客户端,IWSA,1,4,3,2,Internet,FTP 客户端,IWSA,IWSA Server Farm拓扑,负载均衡路由器/交换机,HTTP/FTP 客户端,DB,HTTP/FTP,IWSA Slave,IWSA Slave,ICAP,Data,Data,IWSA Master,SYNC,内容概要,IWSA2500&5000功能介绍 IWSA2500各种模式的工作原理 IWSA2500配置方法 IWSA典型部署排错思路,访问新系统,用串口线与电脑相连 配置超级终端 115200 bps / 8bits / No parity / 1 stop bit / Hardware control 访问超级终端 Username: root, Password: iwsa 配置主机名、IP等信息 Main Menu 1) System Configuration 2) Configure Device Settings 1) Change Device Host Name, 2) Change Device Network Settings 连接设备到目标网络 Port 1 Port 2 访问Web控制台 http:/:1812/ User ID: admin, Password: adminIWSS85,帐户和配置,进入管理界面,超级终端主菜单,System Configuration Menu,Utilities Menu,Connecting to IWSA 2500,登录方式 HTTP :/IWSA_IP:1812 HTTPS :/IWSA_IP:8443,登录Web控制台,管理页面组成,配置全局参数,设置隔离目录 DCS服务器注册 设置Web控制台密码 产品激活码设置 Web Console Access Protocol,隔离目录设置,DCS注册配置,设置Web控制台密码,产品激活码设置,激活HTTPS连接,1. 登录 IWSA 2500 web 控制台 2. 导航至 Administration Web Console 3. 选择 SSL mode 4. 从本地上传证书至 IWSA 2500 5. 提供 SSL password 6. 提供侦听端口 (default 8443) 7. 保存配置,Administration Web Console screen,配置通知信息,Notifications E-mail screen,Notifications HTTP Scanning screen,Notifications HTTP Blocked Files screen,Notifications URL Blocking screen,Notifications FTP Scanning screen,Notifications Applet and ActiveX screen,Notifications Pattern File Updates screen,Notifications Scan Engine Updates screen,IWSA 2500更新方式: 手动更新 预设更新 更新步骤: 1. 连接趋势科技的更新服务器. 2. 判断需要更新哪些组件. 3. 下载文件至临时目录. 4. 检查更新的组件. 5. 复制更新,配置IWSA 2500更新,Update Connection Settings screen,执行手动更新,Updates Scheduled screen,Applying IWSA 2500 System Patches,SummySystem DashBoard,Summary Scanning screen,Summary URL screen,Summary Spyware screen,Summary Threat Report screen,内容概要,IWSA 2500 Web控制台基本配置 配置IWSA 2500 HTTP Service 配置IWSA 2500 FTP Service 配置IWSA 2500日志与报表 IWSA常见问题处理,HTTP配置页面,HTTP Configuration Proxy Scan screen,工作模式配置：HTTP Configuration User Identification,HTTP Scan Policies Global Policy Web Reputation screen Part 1,HTTP Scan Policies Global Policy Virus Scan Rule screen Part 2,HTTP Scan Policies Spyware/Grayware Scan Rule screen,HTTP Scan Policies Global Policy Actions screen,HTTP Applets and ActiveX Policies screen,HTTP Applets and ActiveX Settings PoliciesJava Applet Screen,HTTP Applets and ActiveX Settings Policies ActiveX screen,HTTP Applets and ActiveX Certificates screen,配置 HTTP URL Filtering,定义并配置工作时间 改变分类 增加用户策略 配置全局策略 在可信库中增加URL,HTTP URL Filtering Settings Global Policy,HTTP URL Filtering Settings Approved URL,HTTP URL Filtering Settings Schedule screen,HTTP URL Filtering Settings URL Re-classify screen,配置 HTTP Access Quota 策略,限制用户在一个时间段内下载/上传数据量 依赖user-ID辨识 拦截所有的传输直至设置的时间过去 默认没有设置策略,HTTP Access Quota Policies Policy List screen,Existing Access Quota Policies,HTTP URL Access Control Trusted URLs screen,HTTTP URL Access Control URL Blocking via Local List screen,HTTTP URL Access Control URL Blocking via Phishtrap screen,内容概要,IWSA 2500 Web控制台基本配置 配置IWSA 2500 HTTP Service 配置IWSA 2500 FTP Service 配置IWSA 2500日志与报表 IWSA常见问题处理,FTP Main Menu,FTP Configuration menu,Configuring FTP Virus Scan Rules,Configuring FTP Spyware / Grayware Scan Rules,Configuring FTP Scanning Actions,Configuring FTP access,Configuring the FTP Server White List,Configuring FTP Destination Ports,内容概要,IWSA 2500 Web控制台基本配置 配置IWSA 2500 HTTP Service 配置IWSA 2500 FTP Service 配置IWSA 2500日志与报表 IWSA常见问题处理,配置IWSA2500日志,IWSA 2500 实时日志: 病毒事件 URLs blocked事件 管理员可以配置 IWSA 2500 记录 性能日志 HTTP / FTP 访问日志 管理员可以配置IWSA 2500： 日志同步间隔 系统日志的路径,Logs Settings Report Logs screen,Logs Settings System Logs screen,配置Debug Log,有助于管理员排错 /etc/iscan/intscan.ini FTP / HTTP 服务 HTTP: http #switch for debug log # 1 - turn on # 0 - turn off verbose=0 FTP: ftp #switch for debug log # 1 - turn on # 0 - turn off verbose=0,Logfile Names and Contents,Virus log virus.log.yyyy.mm.dd URL Blocking log url_blocking.log.yyyy.mm.dd Performance log perf.log.yyyy.mm.dd URL Access log access.log.yyyy.mm.dd FTP action log ftp.log.yyyymmdd.# FTP Put log ftp.log.yyyymmdd.# Mail log mail.log.yyyymmdd.# HTTP scan log http.log.yyyymmdd.# Java scan log jscan.log.yyyymmdd.# Admin log admin.log. yyyymmdd.# Update Log update.log.yyyymmdd.#,Logs selection menu,Example Log Output,配置IWSA2500报表,IWSA 2500 自动生成: Daily Report Weekly Report Monthly Report 管理员可以设置特殊的报表: 选择生成报表的用户对象 选择生成报表的事件对象 管理员可以配置: 报表的内容 图形化报表的格式 报表生成的时间,Reports Real-time Reports screen,Reports Scheduled screen,Reports Customization screen,Consolidated Report Header,内容概要,IWSA2500&5000功能介绍 IWSA2500