H3CSecPathT系列IPS开局指导.ppt

H3C SecPath T系列IPS开局指导,ISSUE 1.0,日期：2008-08,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,为什么需要IPS？怎么部署和管理IPS设备？ 如何安装、配置H3C的IPS设备？,引入,了解IPS基本原理和典型应用 掌握IPS的安装和开局配置思路 掌握IPS的Web管理方式 掌握IPS的CLI管理维护方式,课程目标,学习完本课程，您应该能够：,IPS基本原理和典型应用 IPS的安装和开局配置思路 Web管理方式介绍 CLI管理方式介绍,目录,IPS防范网络攻击和网络滥用流量,Web Server,Mail Server,user,user,Attack,与IPS内部“特征库”特征相匹配,IPS的部署与安全策略应用,研发,财经,市场,DMZ区,SMTP,POP3,WEB,ERP,OA,CRM,数据中心,IPS旁路部署在DMZ区，交换机将进出DMZ区的流量镜像到IPS，可以 检测来自Internet的针对DMZ区服务器的应用层攻击 检测来自Internet的DDoS攻击,IPS部署在数据中心： 抵御来自内网攻击，保护核心服务器和核心数据 提供虚拟软件补丁服务，保证服务器最大正常运行时间 基于服务的带宽管理,IPS部署在内部局域网段之间，可以 抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播 抵御内网攻击,分支机构,分支机构,分支机构,IPS部署在广域网边界： 抵御来自分支机构攻击 保护广域网线路带宽,IPS部署在外网Internet边界，放在防火墙前面，可以 保护防火墙等网络基础设施 对Internet出口带宽进行精细控制，防止带宽滥用 URL过滤，过滤敏感网页,IPS基本原理和典型应用 IPS的安装和开局配置思路 Web管理方式介绍 CLI管理方式介绍,目录,设备的三种管理方法及组网 设备的初始配置 设备的各类安全策略,IPS的安装和开局配置思路,基于串口命令行管理方法 基于HTTP/HTTPS的Web管理方法 基于Telnet的命令行管理方法,设备的三种管理方法及组网,串口管理的组网,新建串口连接,使用windows系统自带的“超级终端”工具,注意选择的串口与配置电缆实际连接的串口一致,设置串口终端的参数,点击“还原为默认值”，设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，数据流控制为无,串口管理界面,密码为大写的H3C,基于串口命令行管理方法 基于HTTP/HTTPS的Web管理方法 基于Telnet的命令行管理方法,设备的三种管理方法及组网,Web管理方式的组网,system H3Cinterface m-gigabit0/0/0 H3C-ifip address ,默认情况下，设备默认管理口是g0/0/0,默认地址是：/24 上电启动完毕后，可以在串口上修改管理口IP地址,禁止使用g0/0/1作为管理口地址,Web管理方式的登陆界面,输入“http:/”,用户名、密码默认admin,基于HTTPS的Web管理方式,输入“https:/” 设备初始化时，默认开启此管理方式,基于串口命令行管理方法 基于HTTP/HTTPS的Web管理方法 基于Telnet的命令行管理方法,设备的三种管理方法及组网,基于Telnet/SSH的命令行管理方式组网,设备默认情况下，没有打开Telnet服务 需要在串口上开启服务，方可用Telnet登陆设备,system H3Ctelnet service enable,基于Telnet的命令行管理方式,密码为大写的H3C,设备的三种管理方法及组网 设备的初始配置 设备的各类安全策略,目录,设备的初始化配置,配置管理口IP地址 配置安全区域 配置段 添加管理口静态路由（可选配置） 开启设备的二层回退功能,从左往右依次是1个为管理串口，两个USB口，四个业务口，一个管理网口 左边上、下两个业务口为一个段，右边上、下两个业务口为一个段,在菜单”对象管理”安全区域管理”下，将IPS的业务口加入相应的区域中； 首先创建两个域：WAN和LAN；然后将接口g-ethernet0/0/2添加到区域WAN 中，将接口g-ethernet0/0/3添加到区域LAN中。,安全区域配置,2. 在菜单”对象管理”段管理”创建段”下，内部域和外部域：内部域、 外部域决定了策略的检测方向及流量管理的限流方向；（切记） 创建段1，并且将域LAN添加到内部域，将域WAN添加到外部域中。,段配置,3.这样，就可以在菜单”对象管理”段管理”段配置”下，查看到当前已经配 置完成的段：,4.在菜单”系统管理”网络管理”下，启用相关接口，配置接口3和接口4速率、双工 状态。 此时，一定要保证速率和双工状态与对端设备相同； 由于端口芯片实现原因，IPS业务口禁止手动强制1000M。,段配置,5.当管理PC与H3C IPS管理口的地址不在同一网段是，就需要添加管理口路由。 在菜单”系统管理”路由管理”添加路由”下，添加设备的管理口默认网关。,管理口路由配置,6.开启二层回退功能 在菜单”系统管理”二层回退”下，”启用二层回退”功能。 设备配置过程中与设备割接时，务必保证设备以二层回退状态接入网络； 在此状态下，如果用户网络一切正常，再将设备恢复到正常状态。,二层回退配置,设备的三种管理方法及组网 设备的初始配置 设备的各类安全策略,目录,攻击防护策略 带宽管理策略 URL过滤策略 DDoS策略 病毒防护策略,设备的各类安全策略,在实际应用时，IPS为必配项 其他几项策略为可选项，请根据用户需求做适当配置,IPS基本原理和典型应用 IPS的安装和开局配置思路 Web管理方式介绍 CLI管理方式介绍,目录,Web界面概览 各类安全策略配置 其他配置,Web管理方式介绍,Web 界面概览,辅助区,Web 界面概览,导航区,Web 界面概览,配置区,Web 界面概览 初始化,首次登陆后，请： 添加管理帐号； 选择HTTP/HTTPS服务，默认推荐使用HTTP方式； 给设备添加License； 升级设备软件版本和特征库版本。,Web 界面概览 初始化,添加管理员帐户；,在“系统管理 ”用户管理 ” “用户列表”菜单下，添加新的管理员帐户。,Web 界面概览 初始化,2.选择HTTP/HTTPS服务，默认推荐使用HTTP方式；,默认配置时，设备启用的是Https管理；如果要切换成Http管理，需要在“系统管理” HTTP/HTTPS配置”菜单下，勾选HTTP管理选项，保存系统配置，然后重启设备即可。,Web 界面概览 初始化,3.添加License；,在菜单”系统管理” “License文件管理”文件信息”下，可以查看设备的License注册信息 。 设备如果没有进行License注册，将不能升级特征库版本。,Web 界面概览 初始化,4.升级设备软件版本和特征库版本；,手动升级： 在设备割接前，应将IPS的系统软件和特征库软件升级到当前最新版本。 在”系统管理” “升级管理 ”软件版本升级”菜单下，可以升级设备的系统软件。,4.升级设备软件版本和特征库版本；,手动升级： 在”系统管理” “升级管理 ”手动升级”菜单下，可以升级设备的特征库版本。,Web 界面概览 初始化,4.升级设备软件版本和特征库版本；,特征库自动升级： 在”系统管理” “升级管理 ”自动升级”菜单下，可以配置设备自动升级。,Web 界面概览 初始化,攻击防护. 带宽控制. URL 过滤. DDoS. 病毒防护.,各类安全策略配置,攻击防护 概念,安全区域和段 安全区域是一个物理/网络上的概念（特定的物理端口 ） 段可以看作是连接两个安全的区域的一个透明网桥 策略被应用在特定的段上。 段 + 策略 + 网络配置 (IP地址、方向) 特征、规则和策略 特征定义了一组检测因子来决定如何对当前网络中的流量进行检测 规则的范畴比特征要广。规则 = 特征 + 启用状态 + 动作集 策略是一个包含了多条规则的集合 动作和动作集,攻击防护 配置,前提 创建好需要的安全区域和段 (参见Web 配置手册中段管理以及安全区域模块)。 配置步骤： 创建一个IPS策略 (从缺省的进行拷贝)，如： “IPS for Finance”。 对创建的策略进行相关的修改，搜索、修改、保存。 将策略 “IPS for Finance” 应用到指定的段上。 激活配置更改。 可参见Web 配置手册中的 IPS典型配置举例 。,攻击防护 配置,在”对象管理”IPS”快捷应用”菜单下，可以新建一条IPS防护规则。,攻击防护 配置,在”对象管理”IPS”策略管理”菜单下，可以配置IPS策略。,攻击防护. 带宽控制. URL 过滤. DDoS. 病毒防护.,各类安全策略配置,带宽控制 配置,策略带宽控制配置 创建策略控制带宽配置 (对象管理 - BWC管理 - 策略带宽控制列表) 创建带宽管理策略 (对象管理 - 带宽控制 - 策略管理) 将策略带宽控制关联到带宽管理策略 （同上一步页面） 配置带宽管理规则 (可选，如果需要配置相关的应用带宽) 在段上应用配置后的带宽管理策略(对象管理 - 段管理 - 段策略管理)。 激活配置更改 参考 Web配置手册中带宽管理模块中的举例,带宽控制 配置,应用带宽控制配置 和策略带宽配置步骤一致 在配置带宽控制策略的时候对特定的服务进行单独的配置 规则 每一条规则：服务 + 时间表 + 动作集 + 是否启用 应用带宽配置只要被用来进行P2P带宽限制等业务 动作集 （用户可定义）,Action Set,Block / Permit / Rate Limit,Packet Trace or NOT,Notify or NOT,+,+,Rate Limit,Downlink Application BWC,Uplink Application BWC,Max Concurrent Cons,带宽控制 配置,在”对象管理”带宽管理”规则管理”菜单下，可以配置带宽管理策略。,攻击防护. 带宽控制. URL 过滤. DDoS. 病毒防护.,各类安全策略配置,URL 过滤 概念,URL 过滤是如何工作的? 例如： /portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_0.jpg,GET /portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_0.jpg HTTP/1.1 Accept: */* Accept-Language: zh-cn UA-CPU: x86 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 16 Jul 2007 07:48:58 GMT If-None-Match: “6ea942c47dc7c71:263“ User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) Host: Connection: Keep-Alive,传输层数据如下： 00 : 1378 - 0 : 80,IP 地址：0,正则表达式：/portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_0.jpg,主机名：,URL 过滤 配置,配置步骤 创建URL 过滤策略 （对象管理 - URL过滤 - 策略管理） 创建时间表并关联到指定的URL 过滤策略（可选） 在URL过滤策略中创建URL过滤规则（对象管理 - URL过滤 - 规则管理） 在指定的段上配置相应的URL策略 激活配置更改,URL 过滤 配置,在“对象管理”“URL过滤”策略管理”菜单下，可以配置设备的url过滤策略。,攻击防护. 带宽控制. URL 过滤. DDoS. # NOT AVALIABLE TODAY 病毒防护.,各类安全策略配置,攻击防护. 带宽控制. URL 过滤. DDoS. 病毒防护.,各类安全策略配置,病毒防护,IPS中病毒相关的特征和病毒防护功能的区别 IPS中病毒、蠕虫相关的特征只检测病毒、蠕虫间的通讯等特征 AV特征库则检测传输层中数据的特定内容。 (如文件PE头，特定的二进制代码),Sasser,Exploit for RPC-LSASS,执行 Shellcode: 通过 tftp下载 sasser.exe,Sasser.exe PE Header,前提 创建好需要的安全区域和段 (参见Web 配置手册中段管理以及安全区域模块)。 配置步骤： 创建一个AV策略 (从缺省的进行拷贝)，如： “AV for Finance”。 对创建的策略进行相关的修改，搜索、修改、保存。 将策略 “AV for Finance” 应用到指定的段上。 激活配置更改。 可参见Web 配置手册中的 IPS典型配置举例 。,病毒防护 配置,病毒防护 配置,在”对象管理”防病毒管理”策略管理”菜单下，可以配置设备的病毒防护策略。,各类安全策略配置防护策略配置小结,默认的IPS防护策略，内置了2300余种攻击特征规则，设备能够检测出匹配这些规则的攻击。 在实际使用时，直接把这个默认的IPS防护策略应用到段上，指定策略的检测方向即可。 配置步骤如下： 1、在段上应用默认的IPS策略，配置正确的检测方向； 2、激活配置；,提供默认的带宽管理策略，对所有服务的动作都为permit。 使用前，需要了解用户对网络应用有哪些需求，如：哪些服务需要阻断、哪些需要限流。配置步骤如下： 1、配置BWC（可选，当需要对网络应用做限流时才配置） 2、配置动作及动作集（可选） 3、配置时间表（可选） 4、在带宽管理策略下配置规