售后培训天融信入侵防御产品配置与维护VPPT课件

中国信息安全领导企业 天融信IPS产品配置与维护 April21 2020 北京天融信科技有限公司 1 目录 2 网络卫士入侵防御系统是集访问控制 应用识别 漏洞攻击防御 蠕虫检测 报文完整性分析为一体的网络安全设备 为用户提供整体的立体式网络安全防护 与现在市场上的入侵防御系统相比 TopIDP系列入侵防御系统具有更高的性能 更细的安全控制粒度 更深的内容攻击防御 更大的功能扩展空间 更丰富的服务和协议支持 代表了最新的网络安全设备和解决方案发展方向 五合一防护DoS DDoS入侵防御应用管控URL过滤卡巴斯基流病毒查杀特色功能万兆网络支持WAF增值IPv6环境 产品介绍 3 设备部署拓扑 4 设备界面介绍 Console配置接口 MGMT管理接口IP 192 168 1 2Mask 255 255 255 0 HA连接接口 设备运行指示灯 扩展模块插槽参考 TOPSEC扩展模块安装手册 5 上线流程 设备安装 6 部署位置依据设备的使用目的选择相应的安装位置根据安装位置环境对设备进行软硬件配置接口类型根据网络设备部署位置配置不同的接口模块 安装环境 7 PC一台拥有COM连接口具有超级终端等远程操作程序Console线缆随机附赠相应的网络线缆 接口卡 模块系统升级补丁升级签名库 准备工具 8 Console登录 ID supermanPWD talent 9 Console端操作 虽然Console端可以对设备进行完整配置 但是我们建议操作在WebUI下完成 在设备上线前 对设备管理配置可在console端完成 管理接口配置命令行语法如下 networkinterfaceipaddmask参数说明 string 网络卫士入侵防御系统物理接口名称 字符串 例如eth0 管理范围配置命令行语法如下 定义IP definehostaddnameipaddr定义子网 definesubnetaddnameipaddrmask定义地址范围 definerangeaddnameip1ip2参数说明 string 资源名称 字符串 10 WebUI管理 ID supermanPWD talent 默认管理 https 192 168 1 254 11 系统监视系统管理网络管理流量管理资源管理入侵防御网站防护日志与报表 配置培训 12 系统监视模块对整个系统的基本状态进行实时监控 支持对系统总体及某一特定对象 如基于接口 协议 内容或其他规则 通信量 连接数 网络攻击 应用流量 带宽等数据的采集 统计和显示 用以满足用户对各种数据统计以及应用层流量管理的需求 这个模块有9个子模块 基本信息版本信息攻击统计病毒统计应用统计URL统计当前连接接口流量统计自定义统计 系统监视 13 2 基本信息 14 注意事项 由于刷新频率不同步会出现同一参数在不同页面数据不一致的情况 系统资源和检测统计数据差距不大 网络接口瞬时速率会出现差别比较大的情况 基本信息 15 版本信息 16 攻击统计 单击事件号能够查看规则的详细信息 点击主机IP可以查看该主机所受攻击的详细信息 17 攻击统计 注意事项 将内网监控的监控级别设置为详细 才能显示主机排名 另外 如果主机监控数达到最大值后 则不会显示主机排名 因为受攻击主机排名列表中的数据取自实时内存 详细信息的统计信息取自日志 所以会出现两者数据不一致的情况 18 病毒统计页面 点击病毒名称查看病毒攻击源 点击受病毒攻击主机地址能够查看到攻击的病毒名称 病毒统计 19 应用统计 点击某应用可以查看是哪些主机占用了该应用协议的上下行流量 点击主机IP可以查看该主机所占用应用协议流量的详细信息 20 注意事项若监控范围设为any时 IP记录了客户端和服务器两个IP 每个IP记录了上下行流量 这样记录了两次 而应用协议只记录了一次上下行流量 因此所有IP上下行流量总和约为应用协议上下行流量总和的2倍 当内网监控指定IP时 应用排名中流量统计与详细信息中主机流量基本相符 应用统计 21 URL统计 点击URL名称可以查看哪些主机访问了该类网站以及具体的访问次数 点击主机IP可以查看该主机访问了哪类网站以及具体的访问次数 22 当前连接 23 接口流量统计 点击具体接口 显示该接口的详细流量信息 24 自定义统计 对设备接口流量状况 安全区域内的受攻击状况 病毒感染状况 对应用流量的使用状况及内主机访问URL的状况进行自定义查询 25 系统管理 26 双机热备 基本设置 27 进入系统管理 双机热备 进入双机热备的设置页面身份 选择主机时 默认的优先级为254 选择从属机时 默认的优先级为100 当然优先级可以手动更改地址 分为本地与对端 需要注意的是 这两个地址必须在同一个网段心跳间隔 两台网络卫士设备互发通信报文的时间间隔 抢占 是指主网关宕机后 重新恢复正常工作时 是否重新夺回主网关的地位 优先级相同的两设备中不存在抢占 并且只有优先级高设备抢占优先级低的设备的主身份对端同步 从对端机同步配置到本机上本地同步 从本地机同步配置到对端上 双机热备 基本设置 28 配置HA接口时 一定要将 ha static 勾选 不然配置同步时会将该接口的信息覆盖 配置物理接口 29 其实VRID组就是用来选主备的 默认的情况下 所有的接口都是属于VRID0的 我们可以创建一个VRID组 组号在1到255之间 组优先级高的会优先成为主 同时设备上也只能创建一个VRID组 后创建的VRID组会将前面创建的覆盖掉fw36 haas vrid1 在设备上创建vrid1 然后将通信接口加入到该组 配置物理接口 30 注意 目前我们的设备只支持AS模式 创建VRID组后 我们可以将接口加入到该组 如果加入到该组的某个接口down后 该组的优先级就会变为0最好用设备上专用的HA口做双机热备设备处于standy时 接口不回复 转发报文 所以不能用WEBUI登录设备只有在配置正确完成后才能上架 不然在直连 交换模式下容易造成环路 配置物理接口 31 网络管理 32 链路聚合模块的作用是使多个接口的流量汇聚到单条链路上 也能使单个接口收到的流量均衡的从多个接口发出 可以起到扩充链路带宽和链路备份的作用 这个功能是topidpv5上新加的功能 设备上总共可以配置4条聚合链路 每条聚合链路上可以添加8个物理成员接口 负载均衡算法一共支持11个 分别根据不同的目标进行负载均衡 例如 根据源mac地址进行负载均衡 那么同一mac的流量只走聚合链路中的一个接口 不同mac的流量按照接口顺序进行轮询 其余算法的原理一样 链路聚合 33 注 建立起来一个聚合链路 那么这个聚合链路就当作一个逻辑接口来看待 加入聚合链路的物理口 其本身的属性都不生效了 目前聚合链路只支持交换和路由两种模式 不支持直连 不能强制设定其双工和速率 不能对其接口设定区域进行访问控制 链路聚合 34 流量管理 35 流量管理分为两个部分 带宽控制流量异常分布 带宽控制 36 QOS策略属性 37 出厂时 是没有任何QOS策略的 单击添加 出现如上的页面添加策略的名称QOS策略可以同时控制上 下行带宽 根据需要填写在上 下行中可以选择QOS的类型 1 策略独享 当多条ACL引用同一策略独享策略时 不同ACL之间的连接独享限制带宽与保证带宽 同一ACL中的不同连接限制共享限制带宽与保证带宽2 独享 当多条ACL引用同一独享策略时 不同ACL之间的连接独享限制带宽与保证带宽 同一ACL中的不同连接独享限制带宽与保证带宽3 共享 匹配ACL的所有连接共享限制带宽与保证带宽4 受控 每个连接的带宽不超过每主机限制带宽 所有连接的带宽之和不超过总限制带宽优先级 优先级只在同种策略中才起效 接口的剩余带宽优先分配给优先级高的链接 但前提是不高于限制带宽优先级有四个等级 特权 高 中 低 QOS策略属性 38 注意 1 当配置的QOS策略中有保证带宽时 默认的优先级为中 可以手动选择特权或高 当只有限制带宽时 优先级只能为低 不可更改 同时受控类型的策略的优先级也只能时低 2 只要上 下行中选的不是共享策略 那么其他三种策略可以互相搭配 QOS策略属性 39 以下是关于优先级实验的截图这是区域area eth3中主机的下载速度 这是区域area eth2中主机的下载速度 图片中的两个数据不是同时的 从上图可以看出 接口剩余带宽优先分配给优先级高的连接 40 QOS策略创建好之后 必须在ACL中引用才能起作用如果ACL引用的策略带有保证带宽 那么我们必须要选择区域 并且区域只包含一个接口 同时这个接口设置了有效带宽同一QOS策略被不同ACL引用时 保证带宽之和不能超过接口的有效带宽其他的选项同ACL 这里不详细详述 41 打开ACL的 选项 点击 高级 就可以看到创建的QOS策略 我们可以看到上面还有一个QOS选项 其实他和受控差不多 只不过他只能控制下载的速率 而不能控制上传的速率 42 对接口或协议相关的指标设制相应的阀值并制定相应的报警机制 档统计值大于定值时报警 流量异常检测 43 入侵防御 44 在入侵防御策略的配置方面 策略的源和目的的配置与以前的v1版本相同 可以配置地址对象和区域对象 入侵防御策略配置 45 在规则集引用部分 和v3保持一致 依然采用单选的方式 而动作的执行在规则集里进行单独配置 入侵防御策略配置 46 入侵防御策略里引擎动作包括防火墙联动 阻断时禁止连接 阻断时加入黑名单 输出应用识别所有日志 输出url所有日志 防火墙联动功能 仅在ids监听模式下有效 当配置好防火墙联动的配置以后 需要在引擎里打开这个开关后才能正常向防火墙下发策略阻断时禁止连接 当判断出连接上存在攻击时向客户端 服务器双方向发rst来关闭连接 不勾选时仅为丢包阻断时加入黑名单 勾选时会将识别为攻击特征的连接其中的源地址自动添加到黑名单 并启用一个定时器 在这个定时器时间范围内此源地址无法穿过idp建立任何连接注 黑名单也可以手动设置 入侵防御策略后新加的选项就是添加黑名单 这种方式添加的黑名单是永久生效的 除非手动删除输出应用识别和url日志 默认是只在判断为阻断的情况下进行记录 如果勾选则只要匹配规则的都会进行记录 因为记录大量的日志会消耗大量的系统资源 入侵防御策略配置 检测引擎参数设置 47 入侵防御策略配置 检测引擎参数设置 48 引擎工作模式包括 检测模式和优先模式 检测模式分为智能检测和深度检测 智能检测 只检测每个连接的前n个报文 n可以用户指定 能够起到很好的性能优化作用 深度检测 连接的所有通信报文都进行检测 性能会有很大降低 入侵防御策略配置 检测模式 49 优先模式分为应用优先和安全优先 应用优先 启动软件bypass功能 如果流量增大到检测引擎无法处理的情况 则软件bypass功能发挥作用 超出的流量不再上送引擎处理 直接转发 当引擎能够处理后 流量又上送引擎检测 在性能优化方面起到作用 保证了客户的正常应用 避免因处理能力导致的断网 安全优先 不启动软件bypass功能 如果流量超过检测引擎处理能力 那么会出现丢包现象 入侵防御策略配置 优先模式 50 协议支持 51 协议支持的作用是针对用户可能使用的非标准协议端口而起作用 如 HTTP8080或者FTP2121等 对应的配置在WEBUI上 资源管理 协议 页面中 本页面中已经预定义了绝大多数的应用层协议及其标准服务端口 已经预定义好的协议包括 ftp ssh telnet smtp dns finger http pop2 pop3 sunrpc auth nntp smb imap snmp https rlogin rsh mssql oracle mysql oicp irc 协议支持 52 举例说明 某用户使用的HTTP服务器的服务端口为8080 那么 就需要在http协议对应的修改页面中的端口部分修改为8080这个端口号 当然也可以不删除原有的80端口 而是写入8080端口与原有的80端口同时存在 使用 分隔开就可以了 协议支持 53 对某协议端口的配置还可以通过使用一些符号来达到灵活配置的目的 例如上面说到的如果同时存在HTTP80和HTTP8080的服务器的话 那么http协议端口中可以写入 80 8080 来表示80和8080端口 同样的还有另外两个符号 和 表示非 例如 80 表示除80端口以外的其余端口 表示范围 例如 80 8000 表示从80到8000端口范围内所有端口号 协议支持 54 注 协议支持页面中不能增加新的协议 而只能通过修改系统预定义好的协议的端口号来实现该目的 修改完协议的端口号后 系统需要很短的一段时间来加载新的端口 一般时间为1 2秒钟 协议支持和服务没有任何关系 协议支持只对ips检测起作用 协议支持 55 设备第一次上线建议使用智能检测和应用优先模式入侵防御策略也是按照从上向下后的顺序进行匹配的 而且是按照源地址 源区域 目的地址 目的区域 时间五元组来进行匹配 按照最先匹配上的策略的规则和动作进行处理 不会再向下进行策略的匹配了 例如 配置两条入侵防御策略 地址部分相同 但策略1引用的规则集为木马攻击 策略2引用的规则集为HTTP类攻击 当有一个符合这两条策略地址部分的HTTP类攻击经过设备检测的时候 会先匹配策略1 地址部分匹配上以后 就不会再向后匹配了 直接按照策略1的木马攻击类进行检测 当然无法检测到该攻击 所以 要检测同样地址部分的两类攻击 上述的两条策略的配置是无法实现的 正确的方法应该只配置一条策略 在规则集中引用两类攻击的规则集 注意事项 56 DDoS防御 DDoS防御包括DDoS防御 CC攻击防护 连接数限制 主机防护 syn cookie 4个模块 57 DDoS配置选择需要防御的DDoS类型选择阀值优先级添加受保护对象阀值优先级阀值优先级分为服务器优先和单机优先 只对统计型攻击和DNS DHCP FLOOD和CC攻击生效 服务器优先时 设备将对每秒攻击目标主机数统计 若大于服务器阀值 设备将会进行单机阀值统计 统计源和目标地址 若大于单机阀值则阻断后续为该源地址的攻击 单机优先时 服务器阀值无效 设备直接进入单机阀值统计 统计源和目标地址 当源地址的攻击数超过单机阀值 则阻断后续为该源地址的攻击 无论是服务器优先 还是单机优先 当每秒钟连接数超过服务器高压阀值 后续攻击都将被阻断 DDoS防御 58 DDoS自学习开启自学习功能 系统能根据当前网络环境流量在设置的时间范围内进行分析从而自动调整阈值至符合当前网络状况的值 并以 自学习结果 的形式显示 DDoS防御 59 CC攻击CC攻击是模拟多个用户不停的访问Web服务器上那些需要大量数据操作 即需要CPU长时间处理 的页面 进而导致Web服务器CPU长时间高负荷运转直至宕机 以达到攻击目的 CC特性 CC目前支持IPV4和V6下的攻击 目前支持的请求方法为get post head 且TCP标志位PUSH需置位 CC配置 DDoS防御 60 连接数限制连接数限制分为主机 子网 范围连接数限制 除了保护对象范围不一样外 三者都是针对源地址进行并发连接数限制的 其中主机连接数限制比子网 范围多了一个并发半连接数限制 并发连接数 同一时刻 允许其它主机与该主机建立的最大连接数 并发半连接数 同一时刻 允许其它主机与该主机建立的最大半连接数 连接数限制配置 DDoS防御 61 主机防护 syn cookie Syn cookie主要功能保护主机免受SYN flood攻击 与阀值防护SYN flood攻击区别在于syn cookie可以保证正常访问的同时阻断syn flood攻击 说明 主机防护目前不支持IPV6 主机防护配置 DDoS防御 62 DDoS模块注意事项DDoS模块支持IPV6攻击检测有 SYN FLOOD UDP FLOOD ICMP FLOOD DNS FLOOD DHCP FLOOD和CC攻击 DDoS模块支持的隧道封装有 MPLS GRE QINQ 802 1Q 其中MPLS需要在系统管理 配置 高级属性中开启MPLS检测开关 DDoS防御 63 攻击检测规则配置 64 目前设备出厂配置中会有预定义的一个攻击检测规则集 名称是 精选规则 默认动作 规则条数为328条 其中警告215条 阻断113条 其中收集的是一些经常碰到的攻击类型 攻击检测规则配置 65 如果上面系统预定义的规则集不符合使用需求的话 用户可以根据自己的需要自定义规则集 在攻击检测规则页面中点击 添加 按钮 就会进入添加页面 输入自定义规则集的名称 选择对应的分类方式 动作 是否记录报文选项 点击确定方可生成规则 攻击检测规则配置 在基本配置中可以按照攻击类型 风险等级 流行程度 操作系统 精选这几种分类方式进行选择 每个库中都是按组进行划分 选定一个组后可以选择其动作 记录报文的选项 同时如果在实际环境中产生了误报 可以根据误报的事件号在规则集里进行排除 66 67 如果对每个组内的规则进行详细定制需要在进入页面时输入规则名并点击高级配置如果想要根据某条规则的编号或者名称查找该规则 则可以直接在搜索框中输入待查找规则的编号 也可以输入该规则的名称的全部或部分内容 注 如果要根据规则名称进行查找的话 则要注意输入的内容包含空格的话 则设备会按照空格将输入的内容分成多部分进行查找 例如 输入搜索内容为 CVE 1999 1511 则搜索后会将名称中包含 CVE 1999 1511 的所有策略都列出来 攻击检测规则配置 68 病毒检测策略配置 69 第一步 配置病毒检测规则 选择需要检测的服务类型 选择处理动作 病毒检测策略配置举例 70 第二步 在入侵防御策略中引用病毒检测规则 选择之前添加的病毒检测规则 病毒检测策略配置举例 71 病毒检测规则各类服务下阻断动作和警告动作处理方式说明 病毒检测策略配置举例 72 在FTP服务病毒阻断的动作下 上传或下载压缩包文件中如果包含两个以上病毒文件只能检测出一个病毒 在POP3 SMTP服务下 如果邮件客户端接收的压缩文件中含有两个以上病毒文件 提示附件只有一个 在HTTP服务病毒阻断的动作下 如果HTTP服务器共享压缩包文件中含有多个病毒 只能检测出一个病毒 在FTP服务下 阻断动作和警告动作检测出来的病毒相差四倍 因为在阻断动作下FTP客户端会尝试下载或上传连接三次 就是说同一个病毒文件上传或下载会被连续阻断4次 所以在在FTP服务下 阻断动作和警告动作检测出来的病毒相差四倍 注意事项 73 应用识别规则 74 应用识别规则配置 用户根据需要添加应用识别规则 在应用识别规则页面中点击 添加 按钮 就会进入添加页面 输入规则集的名称 选择需要的协议 动作 点击确定即可生成规则 在入侵防御策略中引用应用识别规则后 规则生效 75 应用识别规则配置 进行配置时需要注意的事项 76 应用识别规则配置 支持对即时通讯软件QQ和MSN进行帐号过滤 首先要在应用识别规则中选择QQ登录 MSN登录 并且设置动作为帐号过滤 这样添加的帐号过滤规则才能生效 系统对经过过滤配置的账号执行相应设置的操作 对于未经过过滤配置的账号则执行应用识别规则中账号过滤的配置操作 77 应用识别规则配置 除了系统自带的应用识别规则库 用户可以根据自己的需要自行定义应用协议 设置好的自定义应用协议会自动添加到系统规则库 供用户在设置应用识别规则时引用 用户在添加应用识别规则时 选择自定义协议即可进行引用 78 应用识别规则配置 疑似P2P功能作为应用识别规则下的P2P下载的补充 通过设置自定义参数 来判定主机是否发生疑似P2P事件 79 URL过滤策略配置 80 URL白名单配置 输入白名单地址 URL过滤策略配置举例 81 URL黑名单配置 定义黑名单地址 URL过滤策略配置举例 82 黑白名单配置注意事项 匹配顺序是黑名单 白名单 URL规则库黑白名单可以模糊匹配 例如黑名单中添加后 就无法访问和这些包含地址了黑白名单也支持精确匹配 如果输入 只匹配 不会匹配 黑名单输入象或这些包含都会被匹配 白名单同样支持模糊匹配 选择精确匹配 选择精确匹配后 只会匹配不会匹配 白名单同理 URL过滤策略配置举例 83 第一步 添加URL过滤规则 引用白名单 定义URL过滤规则中URL大分类动作 引用黑名单 设置阻断动作处理方式 URL过滤策略配置举例 84 第二步 在入侵防御策略中引用URL过滤规则 选择URL过滤规则 URL过滤策略配置举例 85 URL过滤统计 86 URL过滤统计 点击URL类型名称能够查看到访问源IP地址 点击访问源主机IP可以查看到该主机访问哪些类型URL网站 87 网站防护 88 WEB扫描配置 输入扫描网站地址 格式为URL格式 输入域名或IP地址 选择扫描速度 输入并发连接数 1 10 输入扫描深度 1 15 最多支持15级目录扫描 选择扫描文件类型 89 扫描主机输入的是URL 内容包括协议http 服务器的IP地址或域名 例如或http 192 168 1 1 需要注意的是无法指定扫描服务器子目录资源 例如 WEB扫描配置注意事项 90 WEB扫描统计 点击WEB扫描结果查看按钮进行扫描结果查看 点击保存按钮 将web扫描结果从设备上导出 91 网页防篡改 92 网页防篡改策略分为两种防御方式 在线监控和离线监控 可以生成10条网页防篡改策略 每条策略中可以保护最大5000个网页 每个网页最大10M 最多可以保护5级目录深度 单条策略保护网站总大小不超过1G 数字水印 idp从ftp服务器上下载网站的所有文件在本地生成指纹库 其实是将下载下来的文件记录一个文件总长度并算出一个md5值存放在本地 离线监控 按照配置里的根路径检查间隔和非根路径检查间隔对后台网页进行轮询比对数字水印 如果发现网页被篡改 则根据设置的动作进行执行 勾选离线监控后复选框里还有一个参数为不监控文件类型 因为在社交式的网络环境当中某些文件总是在改变的 例如数据库文件 后台图片文件等等 当启用离线监控时必须排除这些总在变化的文件 只需填入后缀名并以逗号分开即可 在线监控 只支持部分文件的监控操作 需要在复选框内填写在线文件监控类型 和离线监控一样 只需填写文件后缀并以逗号分割 在线监控可以实现多个域名对应于单个实际网站节点的防篡改控制 例如 和两个域名都指向同一个服务器路径上的情况 网页防篡改 93 后台网站的根目录必须处在一个ftp目录下 并且要为idp在ftp上设置一个用户 可以对该目录上的所有文件都有上传 下载 覆盖原文件的权限 设备是通过管理口地址和后台ftp服务器进行指纹库获取的 这里就涉及到一个权限分配的问题 我们建立客户可以将ftp用户和web管理员用户划到同一个组里 并且将网站根目录所在文件夹的所属组规定为这个组 而将访问用户设置为其它人权限 网页防篡改 94 网页防篡改 95 配置好所有参数后 设备会自动去ftp上下载所有文件 由于是异步方式 下载时间会很长 在这段时间内 是不会进行防篡改保护的 只有当所有文件全部下好之后才会启动防篡改控制 所以在客户的环境下演示时一定要保证后台已经完全下载完全部的网页文件再开始验证其功能 在指纹库里可以随时对单个文件进行恢复 删除 更新的操作 网页防篡改 96 注 现在只是简单的实现对静态页面的防篡改 对于动态页面的网站 例如 新闻网 论坛 带web cgi脚本的网页无法进行有效的防篡改 并且对网站主页例如访问 网页防篡改 97 日志与报表 98 日志设置 设置服务器地址 端口后 通过Syslog协议将日志传送到已设定的日志服务器上 记录方式选择自动方式时 如果服务器断线 被存储的日志在检测到服务器在线的情况下将重新发送至日志服务器 记录方式选择自动方式 存储硬盘方式时 如果服务器断线后再上线 对于服务器不在线情况下记录的日志不再重新发送至日志服务器 99 系统日志 系统日志存储在缓存中 最多存储2048条 设备重启后就消失了 可以通过关键字进行查找 100 安全日志 用户可以自定义查询条件 查找符合要求的日志 101 安全日志 注意事项 设备无硬盘时 安全日志和应用流量日志每种类型最多存储10000条 重启设备 原来记录的安全日志还存在 缓存中的系统日志被清空 设备有硬盘时 安全日志和应用流量日志每种类型最多可记录30万条 满30万条后清除早期的10 日志并整理硬盘 大约剩余27万条 然后记录新的日志 102 攻击报文取证 首先在添加攻击检测规则时 选择记录报文 系统对匹配到规则的报文记录其详细内容 将检测到IPS攻击 CC攻击以及病毒攻击事件的相关报文记录下来保存到一个 pcap文件中 每条规则只产生一个攻击报文文件 日期取最后一次攻击发生的时间 103 报表手动生成 手动生成日 周 月报表 假设系统时间为2012 02 08 则日报统计的是前一天24小时 即7日00 00 00至23 59 59 周报统计的是上一个自然周 即1月30日00 00 00至2月5日23 59 59 月报统计的是上一个自然月 即1月1日00 00 00至1月31日23 59 59 104 报表自动生成 管理员可以选择自动报表的类型 统计内容 配置报表自动发送的时间 系统会在指定的时间自动生成报表 通过邮件的方式发送给收件人 报表以附件形式存在 105 报警 报警有三种方式 邮件报警 声音报警 SNMP报警 在网络管理 SNMP 设置陷阱主机 一定要重启服务后 设置才能生效 SNMP报警才会触发 为了节省系统资源 相同攻击多次只有一次报警 以达到限制报警频率的目的 106 目录 107 TP概述 TopPolicy是一套安全设备集中管理 策略集中管理 监控系统和审计系统 使企业和服务提供商集中高效的管理多达数千台安全设备 集中进行设备配置避免网络中因设备策略不一致造成的潜在安全漏洞 可以最大程度的降低配置 管理 监控及维护设备的投入成本 是天融信公司网络卫士安全管理系统 TSM 的重要组成部分 108 TP系统构成 109 TP服务器端和TP管理的设备需要开放的服务端口如下图所示 TP安装部署 110 TP安装部署 TPv8版本运行的系统环境TPv8版本服务器安装TPv8版本服务器证书配置NAT环境下的TPv8版本客户端配置TPv8版本服务器初始化TPv8版本配置备份恢复TPv8版本服务器卸载TPv8版本客户端端证书配置TPv8版本服务器运行进程TPv8版本服务器无法正常启动原因 111 TP安装部署 TPv8系统环境 TPv8服务器的运行系统环境 1 win2003server2 win2008server3 win7 TPv8支持的客户端浏览器1 IE6 02 IE7 03 IE8 0 112 在第一次安装TPv8之前先要安装以下两个软件dotNetFx40 Full x86 x64 exe和dotNetFx40LP Full x86 x64zh Hans exe 如果在在win2003server下安装需先安装如下3个文件 WindowsServer2003 KB942288 v4 x86 exeWindowsServer2003 KB958655 v2 x86 ENU exewic x86 chs exe TP安装部署 TPv8版本服务器安装 113 TP安装部署 TPv8版本服务器安装 TPv8安装注意事项在win2008server和win7系统下要以管理员身份运行TPv8安装程序进行安装 在win2008server和win7系统下要以管理员身份运行TopPolicy服务器和TopPolicy配置工具 114 TP安装部署 TPv8版本服务器安装 115 TP安装部署 TP服务器证书配置 输入服务器端真实IP地址 输入服务器端真实IP地址 非NAT环境下TP服务器证书配置 116 TP安装部署 TP服务器证书配置 输入域名 输入服务器端真实IP地址 NAT环境下TP服务器证书配置 117 TP安装部署 NAT环境下的客户端配置 TP服务器在NAT环境下部署示意图 118 在C Windows System32 drivers etc找到hosts文件 用记事本或者写字板打开 输入TP服务器公网IP地址和TP服务器域名 NAT环境下TP客户端配置 客户端通过公网访问 TP安装部署 NAT环境下的客户端配置 119 在C Windows System32 drivers etc找到hosts文件 用记事本或者写字板打开 输入TP服务器内网IP地址和TP服务器域名 NAT环境下TP客户端配置 客户端通过内网访问 TP安装部署 NAT环境下的客户端配置 120 TP安装部署 TP服务器初始化 121 输入备份文件密码 TP安装部署 TP配置备份 122 输入备份文件密码 TP安装部署 TP配置恢复 123 TP安装部署 TP服务器卸载 124 TP安装部署 TP浏览器端Silverlight安装 125 运行客户端证书安装程序 点击辅助工具 运行客户端证书安装程序 选择查看CA证书 选择是 TP安装部署 TP浏览器端证书配置 126 TP安装部署 TP服务器运行进程 TP服务器后台运行进程分别是httpd exeTPserver exenserver exemysql exe 127 设备管理 添加设备 添加设备时 针对不同的产品 选择相对应的设备类型 128 设备管理 设备上线检测 TP提供了两种检测设备在线的方式 TP主动探测 对于不使用VPN模块的产品 添加设备时应该选择主动探测设备在线 设备主动注册 对于要使用vpn功能模块的产品 添加设备时应该选择主动注册 主动注册的设备 设备上需要设置TP的注册地址 129 设备管理 日志解析 不同的产品类型 如果选择的日志类型有误 那设备日志的查询功能将查询不到设备的日志记录 因为日志类型错误 解析日志失败 导致日志无法入库 注意 更改日志解析方式后 TPserver需要重启才能生效 130 设备管理 配置获取和恢复 不同的产品类型 配置获取和恢复的方式不同 设备支持命令行连接协议 telnet ssh xdoc 131 设备管理 获取版本号 开启获取版本功能开启命令行连接协议 132 设备管理 TOS证书 此功能项主要是针对TOS3 3 005版本 含 以后设备 在TP中添加包含此功能项类型设备后 如果设备IP 用户名 密码设置正确 且在设备上开启了GUI服务 则TP会将设备证书自动更新到设备的本机证书中 并将设备的TP主 从服务器注册地址分别修改为TP服务器设置中IP地址和IP地址2 从而使设备在TP中自动注册上线 133 设备配置管理 手动获取设备配置自动获取设备配置首先需要明白的是通过什么方式获取设备的配置1 命令行2 xdoc其次就是获取到了配置后 可以在哪看到获取的配置1 设备首页 管理工具2 TopPolicy TPServer DevCfg保留最新的配置 134 设备配置管理 流程图 135 设备配置管理 手动获取 设备首页 管理工具 配置管理 获取 命令行连接协议的方式 136 设备配置管理 自动获取 建立计划任务 选择设备 确定调度时间 到了调度时间windows计划任务就会执行 设备配置获取 137 设备配置管理 查看配置 方法一 通过设备首页的管理工具中双击配置文件 方法二 在tpserver的安装DevCfg目录下查看最新配置 138 设备配置管理 注意事项 明确设备类型中 获取配置的方式 明确使用的命令行连接协议 设备上应该对应的开启相应的服务 139 版本 配置的历史记录 通过版本和配置的变更提示 使管理人员实时跟踪设备变化首先需要启用升级检测和配置检测功能其次启用获取版本和配置功能 以及方式 140 版本 配置变更 流程图 141 版本 配置变更 系统参数设置 在系统参数中启用升级检测和配置检测 142 版本 配置变更 历史记录 在设备首页 管理工具 版本历史中查看版本历史记录 143 版本 配置变更 确认 在历史记录中 选择确认 取消设备列表中的提示 144 版本 配置变更 确认变更 确认前 确认后 145 版本 配置变更 注意事项 配置检测在TP上的配置与获取配置时的配置一样设备上开启的服务要和版本检测使用的方式一致 146 SNMP监控 设备首页 基本信息设备首页 网络设置设备首页 接口监控性能监控接口监控 147 SNMP监控 流程图 148 SNMP监控 监控设置 在使用snmp监控设备的相关信息时 一定要有设备的mib节点 并且TP上填写的节点信息要和设备相匹配 149 SNMP监控 基本信息 设备相关信息许可证信息系统状态接口状态 150 SNMP监控 网络设置 获取设备的ARP表获取设备的路由表 151 SNMP监控 接口监控 监控设备接口状态监控设备接口流量 152 SNMP监控 性能监控 监控设备的cpu 内存以及连接数等信息 153 SNMP监控 注意事项 设备连接数信息 设备CPU信息 设备内存信息 连接数趋势 像这些监控信息 需要选择设备 154 SNMP监控 接口监控 注意 设备接口信息列表 设备接口流量TOPN 设备接口速率 这些信息需要选择设备 155 SNMP监控 注意事项 设备类型中的snmp节点信息一定要跟设备上的一致Snmp管理主机要设置 community和TP上设置一致性能监控和接口监控时 确认设备加入到SNMP监控 156 Netflow监控 TopPolicy根据接收到的Netflow流量数据 对任何支持Netflow流量数据采集的设备进行Netflow流量监控使用NETFLOW需要开启设备的NETFLOW流量发送功能 并把发送地址指向TP服务器TopsecOS systemnetflowshownetflowserveripaddr 192 168 98 162 netflowserverport9991netflowtransferprotocolUDPnetflowtransferoptionenable 157 Netflow监控 监控数据列表 监控设备连接以及应用协议流量分布情况 158 监控阀值报警 监控阀值报警是指TP将被监控设备的性能监控信息与阀值报警规则进行匹配 如果匹配成功就触发报警 所以首先要取得设备的性能监控数据 159 监控阀值报警 流程图 160 监控阀值报警 报警方式 TP现有的报警方式 snmp TP把自己的报警信息trap给其它的第三方 Winpop 通过windows的消息服务把报警信息发给指定的PC 管理器 指定那些管理员可以看到实时报警信息 手机短信 把TP的报警信息以短信方式发送给指定的管理员或手机号码 邮件报警 把TP的报警信息以短信方式发送给指定的管理员或邮箱 上下级服务器 把报警信息发送给级联的上下级服务器 外部的应用程序 当报警信息被触发时 TP会调用TP服务器上的其它的应用程序去行 这个应用程序是用户可以设定的可执行文件 感觉这种报警方式最为灵活 161 监控阀值报警 监控列表 将设备加入SNMP监控 加入SNMP监控前 加入SNMP监控后 162 监控阀值报警 添加规则 有四个属性值 选择逻辑操作 与 时 设置的条件都要满足才能触发报警 选择逻辑操作 或 时 只要有一个条件满足就可以触发报警 163 监控阀值报警 注意事项 TP是通过snmp获取设备性能数据 存入数据库中 然后匹配报警规则 所以设备需要设置snmp管理主机 并开放snmp服务只有在配置的报警时间内 安全事件满足触发条件时才进行报警 164 日志审计 日志管理如何判断设备日志是否入库收集设备日志的注意事项日志查询日志导出报表管理设备日志备份恢复 165 日志审计 日志管理 支持日志格式 SYSLOG格式设置查询条件 对系统日志和设备日志进行查询列表方式显示查询的日志信息查询到的日志可根据列名进行排序查询结果可以批量导出 文件格式为txt CSV系统日志可转发 166 1 在设备日志设置中需要配置 日志审计 设备日志接收 服务器端口为514 输入TP服务器IP地址 传输类型选择syslog 选择日志级别 选择需要收集日志类型 167 2 将所要接收的日志设备加入到接收日志设备列表 需要特别注意的是 设备上的时间要与TP服务器端的时间同步 如果不同步会影响到日志查询的准确性和报表数据的准确性 日志审计 设备日志接收 显示该设备是否正在接收设备日志 168 日志审计 如何判断设备日志是否入库 首先判断设备日志是否从设备上发送到TP服务器端 可以用抓包工具在TP服务器端来检查 端口号是514 169 日志审计 如何判断设备日志是否入库 在保证设备日志已发送到TP服务器端前提下判断设备日志是否入库的方法 方法一 在TP设备日志管理界面中查询设备日志 查询的时间范围要包含到设备日志的时间 看看是否能够查询到设备日志 170 日志审计 如何判断设备日志是否入库 方法二 在数据库安装目录下找到runtime db文件夹 进入该文件夹找到dev log table1 MYD 看该文件的大小是否有变化 看该文件的修改时间是否是最近时刻 171 日志审计 如何判断设备日志是否入库 方法三 在DOS模式下进入mysql数据库命令 E ProgramFiles Topsec TopPolicy Mysql bin mysql uroot ptalen