DPtech IPS2000系列入侵防御系统维护手册

1、DPtechDPtech IPS2000IPS2000 维护手册维护手册 杭州迪普科技有限公司杭州迪普科技有限公司 2011 年年 07 月月 目目 录录 DPtechDPtech IPS2000IPS2000 维护手册维护手册.1 第第 1 章章 常见维护事项常见维护事项.1 1.1 系统基本维护.1 1.2 日常故障维护.1 1.3 数据备份管理.1 1.4 补丁升级管理.2 第第 2 章章 应急处理方案应急处理方案.4 2.1 运输导致设备无法启动.4 2.2 互联网访问异常.4 2.3 集中管理平台无相关日志.4 2.4 设备工作不正常.4 2.5 应急步骤.5 第第 3 章章 功能项

2、功能项.6 3.1 用户名/密码.6 3.2 管理员.6 3.3 WEB 访问.6 3.4 接口状态.7 3.5 数据互通.7 3.6 日志信息.7 第第 4 章章 其他其他.9 4.1 注册与申请.9 4.2 升级与状态.9 第第 5 章章 FAQ.12 5.1 入门篇.12 5.2 进阶篇.13 第第 1 章章 常见维护事项常见维护事项 1.1 系统基本维护 入侵防御系统应该指派专人管理、维护，管理员的口令要严格保密，不得泄露 入侵防御系统管理员应定期查看统一管理中心（UMC）和入侵防御系统（IPS）的 系统资源(包括内存/CPU/外存)，确认运行状况是否正常 入侵防御系统管理员应定期检查

3、“严重错误”以上级别的系统日志，发现入侵防御 系统的异常运行情况 入侵防御系统管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删 除策略，删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对 此应立即上报并修改密码 入侵防御系统管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进行 追踪(例如部分时间段异常攻击等),并出具安全运行报告 入侵防御系统管理帐号用户名：admin，初始口令 admin，首次使用需修改，并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级 1.2 日常故障维护 统一管理中心服务器无法登录，请检查能否 PING 通统

4、一管理中心服务器，其相关 服务（UMC 数据库服务、UMC Web 服务、UMC 后台服务）是否启动，管理端口 80 是否一致 统一管理中心服务器上网络流量快照或 IPS 攻击日志无法生成，先检查端口 9502、9516、9514 是否开放，入侵防御系统的日志发送配置是否正确，再用抓包工 具检查入侵防御系统是否发送日志 入侵防御系统无法登录，请检查入侵防御系统的 IP 是否可以 Ping 通，同时检测端 口 80 是否开放 1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储 统一管理中心服务器的磁盘告警阀值

5、默认为 2G，当系统可用磁盘空间小于 2G 时， 会进行自动告警，这时需要进行数据库压缩和数据备份 1.4 补丁升级管理 迪普将不定期在迪普官方网站（）发布设备最新的软件版本， 可自行下载，并升级 协议库升级，在设备已存在该特征库的 License 的情况下，可采用手动升级（迪普 官方网站下载）或自动升级（前提是设备可访问迪普官方网站的链接，若不具备此 条件，则需采用手动升级） 【软件版本】升级操作说明： （1）首先从迪普官方网站或迪普技术支持人员获取最新的软件版本。 （2）通过 WEB 界面登录设备，选择【基本】=【系统管理】=【软件版本】，如图所示： 点击文件路径后的【浏览】按钮，本地选中

6、要下载的软件版本，点击【下载软 件版本】按钮 下载的配置文件出现在列表中，鼠标移动到下次启动的软件版本后的软件版 本时会变成铅笔图标 点击鼠标左键，出现软件版本的下拉列表 选择下次启动时需要的版本，即下载的软件版本 修改完毕后，点击确认按钮 （3）登录设备在设备在【设备管理】=【设备信息】界面查看软件版本升级成功。 【协议库】手动升级操作说明： （1）在设备协议库授权未过期的前提下，从迪普官方网站获取最新的协议库。 （2）通过 WEB 界面登录设备，选择【基本】=【系统管理】=【特征库】=【XXX 特征库】 ，如下图所示： 点击浏览按钮； 选择下载升级包的路径； 设置完毕，点击右方的确定按钮。

7、 （3）协议库在升级过程中将显示进度信息，如下图所示： 最后，系统将提示升级完成。 第第 2 章章 应急处理方案应急处理方案 2.1 运输导致设备无法启动 设备加电一段时间后，系统无法正常启动（包括电源指示灯灭，电源指示灯亮/其他 指示灯灭，RUN 灯常亮或者快闪） 。 更换电源线确保其正常，若仍存在同样问题，则需更换硬件设备。 2.2 互联网访问异常互联网访问异常 接口指示灯是否正常闪烁 若接口指示灯不亮，检查连接线是否松动，且通过 Web 页面查看接口管理状态与链 路状态是否正常 若接口指示灯闪烁，通过 Web 页面查看接口收发数量是否正常 若不存在上述问题时，在【网络管理】-【软件 by

8、pass】中，启用 bypass（此状态 下，流量不匹配安全策略，直接转发） ，判断是否是安全策略导致 在有内置断电保护，或有外置断电保护 PFP 情况下，可直接切换到保护状态，排查 网络异常是否产生于本设备 2.3 集中管理平台无相关日志集中管理平台无相关日志 安装集中管理平台客户端后，双击任务栏的集中管理平台图标，查看数据库服务、 web 服务、后台服务是否正常，若不正常则重新启动 PC 或卸载重新安装（注意：设置 本地安全控件允许集中管理平台安装的各个细节，如 360 安全卫士等） 检查集中管理平台的 License 是否正常导入、运行状态是否正常（正常登录 web 网 管） 、本地防火

9、墙是否关闭、入侵防御设备与集中管理平台间是否有防火墙未开启相应 端口（9502、9514 等） ；入侵防御设备与集中管理平台之间网络是否正常，入侵防御设 备是否配置了各种审计策略，入侵防御设备配置是否正常通知到集中管理平台上 检查流量是否流经设备，查看设备接口统计数据 2.4 设备设备工作不正常工作不正常 双机热备工作不正常，主机设备宕机之后，备机设备无法正常工作，需要查看备机 是否加电，备机电源指示灯是否亮，备机接口状态是否正常（接口指示灯是否亮、闪烁） ，是否可以正常登录备机设备 断电保护工作不正常，先将连接线切换到之前状态，将断电保护模块旁路，若网络 正常，则说明断电保护模块损坏，需更换

10、断电保护模块；若网络仍不正常，需进行网络 排查 冗余电源工作不正常，查看电源指示灯是否亮，若不亮，则需更换硬件设备 2.5 应急步骤应急步骤 若网络无法无法短期恢复，则应优先保障用户网络，确保用户正常上网不受影响 在有内置断电保护或外置断电保护 PFP 情况下，手动启动断电保护（内置-设备断 电启动，外置-手动断开 PFP 与设备的 USB 连接线） 。若网络恢复正常，则为设备故障， 需优先保障流量，线下定位排查；若网络未恢复正常，则非设备故障 设备发生故障后并在内/外置保护流量情况下，拨打公司售后电话，联系相关人员进 行定位和解决 故障解决后，设备重新上线，并观察 第第 3 章章 功能项功能

11、项 3.1 用户名/密码 IPS 设备，初始 IP 地址为 ，用户名 admin，密码 admin UMC 软件：初始用户名 admin，密码 UMCAdministrator 首次使用请更改，并定期维护 3.2 管理员 管理员设置，添加管理员；防止“admin”管理员被恶意尝试而锁定 3.3 WEB 访问 访问协议设置，配置 HTTP 及 HTTPS 参数（注意：重启后生效） 3.4 接口状态 注意接口协商状态，及转发数据是否正常。当上下行设备发生变化时，必须查看 3.5 数据互通 在【网络管理】-【诊断工具】中，验证网络畅通性（如：IPSUMC 可达） 3.6 日志信

12、息 如：流量分析 第第 4 章章 其他其他 4.1 注册与申请 查看设备包装箱内 License 授权序列号，或在 WEB 首页中查看设备序列号 打开 UMC 的 WEB 页面，进入“License 管理-申请 License”，输入相关信息，并 保存此文件 登陆迪普官方网站，输入相关信息，申请相应 License 4.2 升级与状态 查看设备状态 导入 License 文件 导入相应特征库 升级软件版本，导入后，选为“下次启动使用的软件版本”后，重启设备即可 查看系统、操作日志，查询告警及可疑日志 查看 UMC 本地信息 第第 5 章章 FAQ 5.1 入门篇 1、 为什么配置了管理地址 I

13、P，PC 却 Ping 不通？ 在同网段中，PC 的 IP 地址与配置管理 IP 地址必须同属这一网段；在不同网段中，需要在 IPS 设备上添加相应的路由，确保与 PC 连通。 2、 在 WEB 界面上直接对管理口的设置修改，会有什么结果？ 会导致当前 WEB 界面 down 掉，无法继续进行任何操作。需要访问改后的 IP 地址，或者 可通过 console 口，进入到相应的管理口下，以命令的方式对管理口，重新配置合理的参数。 3、 需要升级软件版本情况下，下载完软件版本并指定后，是否需要重启？ 需要重启。 4、 当设备异常断电时，之前在 WEB 界面上的配置是否保存？ 保存，设备开启的情况下

14、，对于操作与配置都是时时保存的。 5、 设备上的 USB 接口做什么用的？ 外置断电保护 PFP，以及 3G 扩展。 6、 我有特征库文件，为什么不能升级？ 需事先导入相应 License。 7、 已将软件版本导入设备的 CF 卡中，为什么重启后不能加载该版本？ 须将该版本状态选为“使用中”才可。 8、 设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么？ 在无手动删除的情况下，查看是否超过了保存该日志的时间。 9、 输出到 UMC 的业务日志和流量分析的端口号是什么？ 业务日志是 9514，流量分析是 9502。 10、为什么配置策略的时候，优先使用指定用户组，而不用 All us

15、ers？ 做到对业务的细化，同时过滤多余信息。 5.2 进阶篇 1、 接入设备后，发现接口协商成半双工产生丢包，怎么办？ 需要双方都强制相应的速率和双工状态。 2、 如果 IPS 与 UMC 系统时间间隔过大，有何影响？ UMC 产生的日志会有相应的滞后，建议安装 UMC 后，立即开启时间同步功能 。 3、 如何跨网段对设备进行管理？ 添加默认路由，或指定路由。 4、 我开启了特征库自动升级，为什么没有生效？ 在 License 有效的情况下，确定设备可以直接连入网络。 （使用诊断工具 Ping 外网 IP 地址， 当路由不通、需要认证、各种访问控制限制下，均不可自动升级） 5、 如何使得限速效果更明显（P2P 和多媒体）？ 双向均配置策略。 细化被限速的应用。 6、 如何快速诊断 UMC 的运行状态？ 在设备已配置了流量分析、业务日志发送到 UMC，且参数正确