DPtech IPS2000系列入侵防御系统开局指导

1、DPtechDPtech IPS2000IPS2000 开局指导开局指导杭州迪普科技有限公司杭州迪普科技有限公司2011 年年 07 月月杭州迪普科技有限公司 目目 录录DPtechDPtech IPS2000IPS2000 开局指导开局指导.1第第 1 章章 前期调研前期调研.11.1 调研内容.11.2 确定部署方案.2第第 2 章章 实施步骤实施步骤.32.1 准备工作.32.2 部署条件.32.3 安装断掉保护 PFP（如需安装）.32.4 实施方案.42.4.1 基本配置方案1-旁路部署.42.4.2 基本配置方案2-透明部署.82.4.3 基本配置方案3-混合部署.112.4.4

2、扩展配置.122.4.5 高级配置.132.4.6 其他配置.14第第 3 章章 实施注意事项实施注意事项.18杭州迪普科技有限公司杭州迪普科技有限公司 第 1 页 第第 1 章章 前期调研前期调研1.1 调研内容调研表单位名称联系人联系电话编号调查项目子项目结果备注网络拓扑图附图设备承载总带宽峰值出口 NAT 设备设备接入方式串行、旁路、混合统一管理中心位置如安装，则填写上行设备：我司设备： 1网络拓扑层调查确定网络拓扑位置下行设备：编号调查项目子项目结果备注上行设备型号上行设备接口类型及参数电口/光口，协商/强制、速率、双工状态下行设备型号下行设备接口类型及参数电口/光口，协商/强制、速率

3、、双工状态链路是否存在 Trunk有则记录交换机上每个 VLAN对应的 ID、该 vlan 所处的网络段，掩码部署链路数2设备接入层调查是否需要端口聚合杭州迪普科技有限公司杭州迪普科技有限公司 第 2 页 编号调查项目子项目结果备注管理方式带内、带外（确认 IP 地址）所需开启策略3功能配置层调查与统一管理中心联动如安装，则确定 IP 地址编号调查项目子项目结果备注设备高度注明上架数量设备电源数及满载功率数断电保护设备高度如有，则填写集中管理平台高度如上架，则填写集中管理平台电源数及满载功率数入侵防御设备：断电保护设备：4硬件部署层调查确定部署物理位置统一管理中心：1.2 确定部署方案根据调研

4、及交流的结果，确定物理部署位置、逻辑部署位置、开启功能策略等杭州迪普科技有限公司杭州迪普科技有限公司 第 3 页 第第 2 章章 实施步骤实施步骤2.1 准备工作向用户介绍入侵防御系统实施内容、产品与用户沟通入侵防御系统实际部署时间2.2 部署条件设备正常启动连接线（双绞线、光纤等）正常可用部署机柜满足部署条件（机柜空间、插座数、功率载荷）管理地址已分配，且满足互通等要求确定部署方式（组网模式、部署链路数）2.3 安装断掉保护 PFP（如需安装）将 PFP 插卡板安装在 PFP 主机上将内网连接线（如 SW 引出）连接至 PFP“1”口，外网连接线（如 FW 引出）连接至 PFP“4”口，流量

5、于 14 间物理透传，此时验证网络畅通性PFP 插板“2、3”口平行连接 IPS 主机“A、B”口 ，即实施后的流量流向应为：局域网PFP1 口PFP2 口IPSA 口IPSB 口PFP3 口PFP4 口互联网，链路上下行连接错误，会导致日志分析异常此时切忌连接 PFP 主机与 IPS 主机的“USB”连接线，需完成全部功能配置后，再连接“USB”连接线杭州迪普科技有限公司杭州迪普科技有限公司 第 4 页 2.4 实施方案2.4.1 基本配置方案 1-旁路部署组网拓扑图注意：此模式下只做检测，不做控制PC 直连设备管理口，缺省 IP 地址为 192.168.0.1；用户名：admin，密码：a

6、dmin杭州迪普科技有限公司杭州迪普科技有限公司 第 5 页 在【网络管理】-【组网模式】中，修改某一接口对组网模式为“旁路模式”注意：如上图所示，eth1/0 与 eth1/1 接口对组网模式改为旁路模式后，此接口将无接口对概念，eth1/0 与 eth1/1 独立存在，且均可作为旁路检测接口在【网络管理】-【网络用户组】中，添加 IP 用户组 如果设备需要跨网段管理，则需在【网络管理】-【单播 IPv4 路由】中，添加指定或默认路由 在【IPS 规则】中创建规则后，引用到【IPS 策略】中的指定旁路接口 杭州迪普科技有限公司杭州迪普科技有限公司 第 6 页 在【日志管理】-【业务日志】中，

7、开启将 IPS 日志输出 UMC 功能（IP：UMC 安装服务器的 IP 地址，PORT：9514） 在【审计分析】-【流量分析】中，开启将流量分析日志输出 UMC 功能（IP：UMC 安装服务器的 IP 地址，PORT：9502） 在服务器安装 UMC 后，用 IE 访问其网卡 IP 地址（注：UMC 地址需与 IPS 管理地址互通），用户名：admin，密码：UMCAdministrator 杭州迪普科技有限公司杭州迪普科技有限公司 第 7 页 在【设备管理】-【设备列表】中，添加 IPS 设备 在【系统管理】-【时间同步配置】中，点击“立即同步”（注：UMC 与 IPS 时间不一致，会影

8、响日志统计） 在【网络监控】中查看流量分析日志，在【攻击监控】中查看 IPS 日志（如果未使用 UMC，则在 IPS 设备【IPS 日志】中查看） 杭州迪普科技有限公司杭州迪普科技有限公司 第 8 页 2.4.2 基本配置方案 2-透明部署PC 直连设备管理口，缺省 IP 地址为 192.168.0.1；用户名：admin，密码：admin在【网络管理】-【网络用户组】中，添加 IP 用户组 杭州迪普科技有限公司杭州迪普科技有限公司 第 9 页 如果设备需要跨网段管理，则需在【网络管理】-【单播 IPv4 路由】中，添加指定或默认路由 在【IPS 规则】中创建规则后，引用到【IPS 策略】中的

9、指定旁路接口 在【日志管理】-【业务日志】中，开启将 IPS 日志输出 UMC 功能（IP：UMC 安装服务器的 IP 地址，PORT：9514） 在【审计分析】-【流量分析】中，开启将流量分析日志输出 UMC 功能（IP：UMC 安装服务器的 IP 地址，PORT：9502） 杭州迪普科技有限公司杭州迪普科技有限公司 第 10 页 在服务器安装 UMC 后，用 IE 访问其网卡 IP 地址（注：UMC 地址需与 IPS 管理地址互通），用户名：admin，密码：UMCAdministrator 在【设备管理】-【设备列表】中，添加 IPS 设备 杭州迪普科技有限公司杭州迪普科技有限公司 第

10、11 页 在【系统管理】-【时间同步配置】中，点击“立即同步”（注：UMC 与 IPS 时间不一致，会影响日志统计） 在【网络监控】中查看流量分析日志，在【攻击监控】中查看 IPS 日志（如果未使用 UMC，则在 IPS 设备【IPS 日志】中查看） 2.4.3 基本配置方案 3-混合部署杭州迪普科技有限公司杭州迪普科技有限公司 第 12 页 如上图所示，eth1/0 与 eth1/1 为旁路模式，可独立做旁路检测（IDS）；eth1/2 与eth1/3，eth1/4 与 eth1/5 为在线模式，存在接口对概念，可做在线检测（IPS）；即实现了同时在线检测与旁路检测的混合模式2.4.4 扩展

11、配置【防病毒】，在【常用功能】-【防病毒】中，添加防病毒策略；下图策略为：从eth1/0 与 eth1/1 接口流入的流量，进行防病毒策略的安全匹配（流行度概念，请参见用户手册）【带宽限速】，在【扩展功能】-【应用防火墙】-【网络应用带宽限速】中，添加带宽限速策略；下图策略为：从 eth1/0 接口流入，且源 IP 组为 test，目的 IP 组为All users 的流量，P2P 限速 5000kbps（注意单位）；从 eth1/1 接口流入，且源 IP 组为 All users，目的 IP 组为 test 的流量，P2P 限速 5000kbps（注意单位）【访问控制】，在【扩展功能】-【应

12、用防火墙】-【网络应用访问控制】中，添加访问控制策略；下图策略为：从 eth1/0 接口流入，且源 IP 组为 test，目的 IP 组为All users 的流量，阻断网络应用-即时通讯；从 eth1/1 接口流入，且源 IP 组为 All users，目的 IP 组为 test 的流量，阻断网络应用-即时通讯【URL】，在【扩展功能】-【应用防火墙】-【URL 过滤】中，添加 URL 过滤策略；下图策略为：从 eth1/0 接口流入，且源 IP 组为 test 的流量，对主机名为 的 URL 进行过滤杭州迪普科技有限公司杭州迪普科技有限公司 第 13 页 2.4.5 高级配置端口捆绑（注意

13、：虚接口绑定遵循上下行，即上行口不能与下行口绑定）自定义 IPS 特征（根据报文参数，自定义设置 IPS 特征，并引入到 IPS 策略）带宽限速/访问控制自定义应用组（创建自定义网络应用组后，可应用到带宽限速/访问控制策略中）杭州迪普科技有限公司杭州迪普科技有限公司 第 14 页 URL 分类库及推送配置（注意：此功能在有 URL License，且已经导入 URL 特征库的情况下，方可使用）2.4.6 其他配置添加管理员，并设置管理权限杭州迪普科技有限公司杭州迪普科技有限公司 第 15 页 设置 Web 访问协议参数导入/出配置文件，需重启（推荐在同一软件版本下使用）修改接口同步状态（注意：

14、当开启接口同步状态下，当接口对中的 eth1/0 口 down后，在数秒种后，eth1/1 口的管理状态会 dwon，如恢复管理状态需在 console 口下操作，重新 no shutdown 该接口状态）创建 IP 用户组，IP 用户群，IP 用户簇（IP 可实现分级管理，并应用到策略）杭州迪普科技有限公司杭州迪普科技有限公司 第 16 页 Web 页面修改管理口地址软件 bypass，开启后流量不做安全检测（VIP 流量概念，请参见用户手册）黑名单基础 DDos 配置（添加防护网段配置后，根据网络情况，下发 DDos 防护策略）杭州迪普科技有限公司杭州迪普科技有限公司 第 17 页 基本攻击防护策略杭州迪普科技有限公司杭州迪普科技有限公司 第 18 页 第第 3 章章 实施注意事项实施注意事项管理服务器的安全性 管理服务器安装 Windows2003 Server 或者 Windows2008 操作系统后，管理员一定要确保对 Windows 进行重要安全补丁修补，规范操作系统口令和密码设置，保证正常启动运行。管理员应定期对服务