IDP系统安装维护操作手册

Netscreen IDP 入侵 入侵检测检测防御系防御系统统 系系统统安装安装维护维护操作手册操作手册 北京天北京天刚刚数数码码科技有限公司科技有限公司 一 一 安装安装 IDP Sensor 的软件的软件 当 IDP 系统软件发生故障或者有新版本软件发布 可以通过 Appliance CD 进行 IDP 系统恢复 必须参照一下步骤 1 备份备份 LICENSE 由于 LICENSE 是随机带的 因此在恢复或升级系统之前必须先将 LICENSE 备 份出来 首先 通过 FTP 方式将两个文件 backuplic sh restorelic sh 拷贝到 IDP 指定目录 mnt floppy 中 然后 执行命令 chmod 700 sh 来添加这两个文件的执行权限 执行命令 backuplic sh 系统会将三个 LICENSE 文件 host id idp cfg idp lic 拷贝到 mnt floppy 中 再使用 FTP 将这三个文件备份出来 2 备份配置信息备份配置信息 IDP 会将所有配置信息 包括 定制的策略 LOG 系统信息 OBJECTS 信息 放置在指定目录 usr idp mgt svr var 因此使用一下命令 tar cvf filename usr idp mgt svr var 随后将这个文件备份出来以便后面恢复当初的配置 3 恢复系统恢复系统 插入 Appliance CD 连接显示器和键盘 重新启动 IDP 当提示 boot 时按回车 系统会自动恢复不需要任何操作 安装结束后按提示 Ctrl Alt Del 重起机器 系统会 自动重起两次完成恢复工作 4 恢复恢复 LICENSE 恢复完系统后 缺省是没有 LICENSE 的 因此首先通过 FTP 方式将备份出来的 三个 LICENSE 文件和 restorelic sh 拷贝到制定目录 mnt floppy 输入命令 chmod 700 restorelic sh 添加文件执行属性 输入命令 restorelic sh 恢复 LICENSE 5 恢复系统配置恢复系统配置 将备份出来的系统配置文件 使用 使用 tar cvf filename usr idp mgt svr var 备份出备份出 来的文件 来的文件 拷贝到临时目录 使用一下命令进行恢复 tar xvf filename 6 确认系统恢复完成确认系统恢复完成 使用以下命令来确认系统恢复是否完成 scio lic list 查看 LICENSE 是否安装成功 idp sh status 查看 IDP 所有进程是否启动成功 进入 usr idp mgt svr bin 目录 实行命令 mgtSvr sh status 查看所有管理服 务器的进程是否启动成功 二 二 IDP 系统配置操作系统配置操作 1 修改管理端口修改管理端口 IP 地址地址 可以有两种方式修改 IDP 管理端口 IP 地址 a 使用超级终端用 root 用户登录后 系统会出现对话方式 是否修改相关端口 的 IP 地址 eth2 可以按照提示进行相关端口的 IP 地址修改 包括添加缺省 路由 b 进入 etc sysconfig network scripts 目录 修改相关端口配置文件 例如需 要修改 eth2 端口 就 vi ifcfg eth2 修改成功后重起 IDP 2 通过通过 ACM 进行系统基本配置进行系统基本配置 IP 地址修改成功后 使用 HTTPS 方式连接 IDP https xxx xxx xxx xxx 初始配置可以使用 wizard 方式依照系统提示进行相关配置 配置内容包括 a 输入 root admin 密码 b IDP 运行模式 Sniffer Bridge Proxy ARP Transparent Router c FQDN 域名 例如 d 选择是否将管理服务器安装在本地 仅限于 IDP 100 如安装在本地 则需 要输入管理服务器 admin 的密码以及 OTP 密码 如不选择安装在本地 则需 要指定管理服务器 IP 地址以及 OTP 密码 e 端口模式 10M 100M half duplex full duplex f 选择管理端口并配置 IP 地址 g 输入缺省路由以及静态路由 h 选择 Sniffer 或者转发端口 i 输入 DNS Server 如果有必要的话 j 选择 TIME ZONE 以及输入正确时间 k 输入 NTP Server 如果有必要的话 l 输入 Radius Server 如果有必要的话 m 输入 SNMP 相关信息 如果有必要的话 选择 save apply 然后 confirm 这样 ACM 基本配置完毕 必要的话 例如安装了管理服务器 可以重新启动 IDP 3 安装安装 UI 并进行相关设置并进行相关设置 a 登录到管理服务器 b UI Dashboard 界面 c 进入 Objects 添加 Sensor 其中 Address 是 IDP 管理端口的 IP 地址 VIN 可以通过 ACM view and display Configuration information 去查看 VIN 的信息 Password 就是在 ACM 里面定义的 OTP 的密码 d 进入 Objects 添加相关主机和网段相关主机和网段 e Log Viewer 窗口 f Device Monitor 窗口 会显示所有 IDP Sensor 以及管理服务器的性能状态以及 Sensor 运行的 Policy Name Policy Version g 添加 Security Policy 输入 Policy 名称 选择使用系统预定义模版还是使用 Empty Policy h 对于各 Rule Base Traffic Anomalies SYN Protector Network Honeypot Main Backdoor Detection 的 Policy 需要逐条添加 每个每个 Rule Base 分别代表一种检测机制 分别代表一种检测机制 Traffic Anomalies 检测异常流量包括IP地址扫描 端口扫描等等 SYN Protector DOS Denial of Service 攻击防护 Network Honeypot 网络蜜罐 用以开放虚拟端口引诱攻击者进行攻击 从 而进行跟踪记录 Main 基于特征库来进行检测 是主要的检测防护机制 Backdoor 后门检测 基于检测交互式流量的检测机制 添加添加 Rule 需要注意的地方需要注意的地方 Traffic Anomalies 目标地址具体化 仅保护需要受保护的主机以及网段 事先在Objects内定义好 SYN Protector 目标地址具体化 仅保护需要受保护的主机以及网段 事先 在Objects内定义好 尽量不要记LOG 当使用inline模式 因为一旦攻 击产生会生成大量LOG Network Honeypot 在IDP上模拟网络内重要主机重要主机的一些虚拟端口 在主 在主 机上没有开放的 机上没有开放的 检测试图访问这些端口用户并进行记录 Main 细化策略 包括源 目标的IP地址 网段 目标的Service端口以及 定义针对于目标机器已经开放的端口的攻击类型 例如目标主机开放HTTP 端口 那只需要选择 Look For HTTP类型的攻击即可 另外如果使用 Inline模式 Action的选择需斟酌 尽量使用Drop Packet或者Close Server Close Client Close Client Server方式 Backdoor 如需使用此Rule Base 则需先添加目标主机现有的交互式应用 FTP TELNET SSH等等 Operation选择选择Ignore Action选择选择 Accept 随后再添加到达目标主机的其他流量 让IDP来检测是否还存在交 互式的流量 Operation选择选择Detect Action自行选择 建议先选择自行选择 建议先选择 Accept 一旦确认再选择其他的 一旦确认再选择其他的Action 并记录 并记录LOG 备注 具体策略优化方式请参照备注 具体策略优化方式请参照 IDP v3 0 Concept Guide i 修改管理服务器各项参数 进入菜单 Tools Preferences 在这里可以添加 SNMP SMTP Syslog Log Purging 等等参数 三 三 常用日常维护命令常用日常维护命令 1 检测检测 IDP 各进程是否运行正常 各进程是否运行正常 进入目录 usr idp device bin 输入命令 idp sh status 2 重起重起 IDP 各进程 各进程 进入目录 usr idp device bin 输入命令 idp sh restart 3 停止停止 IDP 各进程各进程 进入目录 usr idp device bin 输入命令 idp sh stop 4 检查检查 IDP 软件版本软件版本 进入目录 usr idp device bin 输入命令 idp sh version 5 检测管理服务器 检测管理服务器 Management Server 各进程是否运行正常 各进程是否运行正常 进入目录 usr idp mgt svr bin 输入命令 mgtSvr sh status 6 重起管理服务器 重起管理服务器 Management Server 各进程 各进程 进入目录 usr idp mgt svr bin 输入命令 mgtSvr sh restart 7 停止管理服务器 停止管理服务器 Management Server 各进程 各进程 进入目录 usr idp mgt svr bin 输入命令 mgtSvr sh stop 8 检查管理服务器 检查管理服务器 Management Server 软件版本 软件版本 进入目录 usr idp mgt svr bin 输入命令 mgtSvr sh version 9 检查检查 IDP License 情况情况 进入目录 usr idp device bin 输入命令 scio