DPtech IPS2000系列入侵防御系统开局指导.doc

DPtechDPtech IPS2000IPS2000 开局指导开局指导 杭州迪普科技有限公司杭州迪普科技有限公司 2011 年年 07 月月 杭州迪普科技有限公司 目目 录录 DPtechDPtech IPS2000IPS2000 开局指导开局指导 1 第第 1 章章 前期调研前期调研 1 1 1 调研内容 1 1 2 确定部署方案 2 第第 2 章章 实施步骤实施步骤 3 2 1 准备工作 3 2 2 部署条件 3 2 3 安装断掉保护 PFP 如需安装 3 2 4 实施方案 4 2 4 1 基本配置方案1 旁路部署 4 2 4 2 基本配置方案2 透明部署 8 2 4 3 基本配置方案3 混合部署 11 2 4 4 扩展配置 12 2 4 5 高级配置 13 2 4 6 其他配置 14 第第 3 章章 实施注意事项实施注意事项 18 杭州迪普科技有限公司 杭州迪普科技有限公司 第 1 页 第第 1 章章 前期调研前期调研 1 1 调研内容 调研表 单位 名称 联系人联系电话 编号调查项目子项目结果备注 网络拓扑图附图 设备承载总 带宽 峰值 出口 NAT 设 备 设备接入方 式 串行 旁路 混合 统一管理中 心位置 如安装 则填写 上行设备 我司设备 1 网络拓扑 层调查 确定网络拓 扑位置 下行设备 编号调查项目子项目结果备注 上行设备型 号 上行设备接 口类型及参 数 电口 光口 协商 强制 速率 双工状态 下行设备型 号 下行设备接 口类型及参 数 电口 光口 协商 强制 速率 双工状态 链路是否存 在 Trunk 有则记录交换机上每个 VLAN 对应的 ID 该 vlan 所处的网 络段 掩码 部署链路数 2 设备接入 层调查 是否需要端 口聚合 杭州迪普科技有限公司 杭州迪普科技有限公司 第 2 页 编号调查项目子项目结果备注 管理方式带内 带外 确认 IP 地址 所需开启策 略 3 功能配置 层调查 与统一管理 中心联动 如安装 则确定 IP 地址 编号调查项目子项目结果备注 设备高度注明上架数量 设备电源数 及满载功率 数 断电保护设 备高度 如有 则填写 集中管理平 台高度 如上架 则填写 集中管理平 台电源数及 满载功率数 入侵防御设备 断电保护设备 4 硬件部署 层调查 确定部署物 理位置 统一管理中心 1 2 确定部署方案 根据调研及交流的结果 确定物理部署位置 逻辑部署位置 开启功能策略等 杭州迪普科技有限公司 杭州迪普科技有限公司 第 3 页 第第 2 章章 实施步骤实施步骤 2 1 准备工作 向用户介绍入侵防御系统实施内容 产品 与用户沟通入侵防御系统实际部署时间 2 2 部署条件 设备正常启动 连接线 双绞线 光纤等 正常可用 部署机柜满足部署条件 机柜空间 插座数 功率载荷 管理地址已分配 且满足互通等要求 确定部署方式 组网模式 部署链路数 2 3 安装断掉保护 PFP 如需安装 将 PFP 插卡板安装在 PFP 主机上 将内网连接线 如 SW 引出 连接至 PFP 1 口 外网连接线 如 FW 引出 连接 至 PFP 4 口 流量于 1 4 间物理透传 此时验证网络畅通性 PFP 插板 2 3 口平行连接 IPS 主机 A B 口 即实施后的流量流向应为 局域网 PFP1 口 PFP2 口 IPSA 口 IPSB 口 PFP3 口 PFP4 口 互联网 链路上下行连接错误 会导致日志分析异常 此时切忌连接 PFP 主机与 IPS 主机的 USB 连接线 需完成全部功能配置后 再 连接 USB 连接线 杭州迪普科技有限公司 杭州迪普科技有限公司 第 4 页 2 4 实施方案 2 4 1 基本配置方案 1 旁路部署 组网拓扑图 注意 此模式下只做检测 不做控制 PC 直连设备管理口 缺省 IP 地址为 192 168 0 1 用户名 admin 密码 admin 杭州迪普科技有限公司 杭州迪普科技有限公司 第 5 页 在 网络管理 组网模式 中 修改某一接口对组网模式为 旁路模式 注意 如上图所示 eth1 0 与 eth1 1 接口对组网模式改为旁路模式后 此接口将无 接口对概念 eth1 0 与 eth1 1 独立存在 且均可作为旁路检测接口 在 网络管理 网络用户组 中 添加 IP 用户组 如果设备需要跨网段管理 则需在 网络管理 单播 IPv4 路由 中 添加指定 或默认路由 在 IPS 规则 中创建规则后 引用到 IPS 策略 中的指定旁路接口 杭州迪普科技有限公司 杭州迪普科技有限公司 第 6 页 在 日志管理 业务日志 中 开启将 IPS 日志输出 UMC 功能 IP UMC 安 装服务器的 IP 地址 PORT 9514 在 审计分析 流量分析 中 开启将流量分析日志输出 UMC 功能 IP UMC 安装服务器的 IP 地址 PORT 9502 在服务器安装 UMC 后 用 IE 访问其网卡 IP 地址 注 UMC 地址需与 IPS 管理地 址互通 用户名 admin 密码 UMCAdministrator 杭州迪普科技有限公司 杭州迪普科技有限公司 第 7 页 在 设备管理 设备列表 中 添加 IPS 设备 在 系统管理 时间同步配置 中 点击 立即同步 注 UMC 与 IPS 时间 不一致 会影响日志统计 在 网络监控 中查看流量分析日志 在 攻击监控 中查看 IPS 日志 如果未使 用 UMC 则在 IPS 设备 IPS 日志 中查看 杭州迪普科技有限公司 杭州迪普科技有限公司 第 8 页 2 4 2 基本配置方案 2 透明部署 PC 直连设备管理口 缺省 IP 地址为 192 168 0 1 用户名 admin 密码 admin 在 网络管理 网络用户组 中 添加 IP 用户组 杭州迪普科技有限公司 杭州迪普科技有限公司 第 9 页 如果设备需要跨网段管理 则需在 网络管理 单播 IPv4 路由 中 添加指定 或默认路由 在 IPS 规则 中创建规则后 引用到 IPS 策略 中的指定旁路接口 在 日志管理 业务日志 中 开启将 IPS 日志输出 UMC 功能 IP UMC 安 装服务器的 IP 地址 PORT 9514 在 审计分析 流量分析 中 开启将流量分析日志输出 UMC 功能 IP UMC 安装服务器的 IP 地址 PORT 9502 杭州迪普科技有限公司 杭州迪普科技有限公司 第 10 页 在服务器安装 UMC 后 用 IE 访问其网卡 IP 地址 注 UMC 地址需与 IPS 管理地 址互通 用户名 admin 密码 UMCAdministrator 在 设备管理 设备列表 中 添加 IPS 设备 杭州迪普科技有限公司 杭州迪普科技有限公司 第 11 页 在 系统管理 时间同步配置 中 点击 立即同步 注 UMC 与 IPS 时间 不一致 会影响日志统计 在 网络监控 中查看流量分析日志 在 攻击监控 中查看 IPS 日志 如果未使 用 UMC 则在 IPS 设备 IPS 日志 中查看 2 4 3 基本配置方案 3 混合部署 杭州迪普科技有限公司 杭州迪普科技有限公司 第 12 页 如上图所示 eth1 0 与 eth1 1 为旁路模式 可独立做旁路检测 IDS eth1 2 与 eth1 3 eth1 4 与 eth1 5 为在线模式 存在接口对概念 可做在线检测 IPS 即 实现了同时在线检测与旁路检测的混合模式 2 4 4 扩展配置 防病毒 在 常用功能 防病毒 中 添加防病毒策略 下图策略为 从 eth1 0 与 eth1 1 接口流入的流量 进行防病毒策略的安全匹配 流行度概念 请参 见用户手册 带宽限速 在 扩展功能 应用防火墙 网络应用带宽限速 中 添 加带宽限速策略 下图策略为 从 eth1 0 接口流入 且源 IP 组为 test 目的 IP 组为 All users 的流量 P2P 限速 5000kbps 注意单位 从 eth1 1 接口流入 且源 IP 组 为 All users 目的 IP 组为 test 的流量 P2P 限速 5000kbps 注意单位 访问控制 在 扩展功能 应用防火墙 网络应用访问控制 中 添 加访问控制策略 下图策略为 从 eth1 0 接口流入 且源 IP 组为 test 目的 IP 组为 All users 的流量 阻断网络应用 即时通讯 从 eth1 1 接口流入 且源 IP 组为 All users 目的 IP 组为 test 的流量 阻断网络应用 即时通讯 URL 在 扩展功能 应用防火墙 URL 过滤 中 添加 URL 过滤 策略 下图策略为 从 eth1 0 接口流入 且源 IP 组为 test 的流量 对主机名为 的 URL 进行过滤 杭州迪普科技有限公司 杭州迪普科技有限公司 第 13 页 2 4 5 高级配置 端口捆绑 注意 虚接口绑定遵循上下行 即上行口不能与下行口绑定 自定义 IPS 特征 根据报文参数 自定义设置 IPS 特征 并引入到 IPS 策略 带宽限速 访问控制自定义应用组 创建自定义网络应用组后 可应用到带宽限速 访问控制策略中 杭州迪普科技有限公司 杭州迪普科技有限公司 第 14 页 URL 分类库及推送配置 注意 此功能在有 URL License 且已经导入 URL 特征库 的情况下 方可使用 2 4 6 其他配置 添加管理员 并设置管理权限 杭州迪普科技有限公司 杭州迪普科技有限公司 第 15 页 设置 Web 访问协议参数 导入 出配置文件 需重启 推荐在同一软件版本下使用 修改接口同步状态 注意 当开启接口同步状态下 当接口对中的 eth1 0 口 down 后 在数秒种后 eth1 1 口的管理状态会 dwon 如恢复管理状态需在 console 口下 操作 重新 no shutdown 该接口状态 创建 IP 用户组 IP 用户群 IP 用户簇 IP 可实现分级管理 并应用到策略 杭州迪普科技有限公司 杭州迪普科技有限公司 第 16 页 Web 页面修改管理口地址 软件 bypass 开启后流量不做安全检测 VIP 流量概念 请参见用户手册 黑名单 基础 DDos 配置 添加防护网段配置后 根据网络情况 下发 DDos 防护策略 杭州迪普科技有限公司 杭州迪普科技有限公司 第 17 页 基本攻击防护策略 杭州迪普科技有限公司 杭州迪普科技有限公司 第 18 页 第第 3 章章 实施注意事项实施注意事项 管理服务器的安全性 管理服务器安装 Windows2003 Server 或者 Windows2008 操作系统后 管理员一定 要确保对 Windows 进行重要安全补丁修补 规范操作系统口令和密码设置 保证正常 启动运行 管理员应