趋势科技IWSA2015

1、TCSE2015认证培训课件认证培训课件Channel Enabling Team趋势科技IWSA(Interscan Web Security Appliance）5/8/2022Confidential | Copyright 2013 Trend Micro Inc.TCSE2015认证培训课件认证培训课件学习目的 通过本课程学习，您可以掌握Interscan Web Security Appliance在企业网络中的安装部署及常规配置。帮助用户实现Web网关安全防护。TCSE2015认证培训课件认证培训课件内容大纲 功能概述 安装讲解及实验 重要配置讲解及实验 日志以及报告呈现TCSE

2、2015认证培训课件认证培训课件产品概述产品概述TCSE2015认证培训课件认证培训课件IWSA的主要功能 协议的防护 HTTP，HTTPS，FTPTCSE2015认证培训课件认证培训课件6TrendMicro use onlyIWSA 新型号部署方式IWSA部署方式；管理员可以根据企业的本身需求，部署部署方式；管理员可以根据企业的本身需求，部署IWSA设备，部署后不会影响现有客户的网络结构。设备，部署后不会影响现有客户的网络结构。 代理联动模式 ICAP+IWSA 完全透明桥模式 与L4交换机联动 与Cisco交换机联动 多链路支持TCSE2015认证培训课件认证培训课件透明桥接模式 无需终

3、端变更 无需网络架构变更 无网络“故障点”TCSE2015认证培训课件认证培训课件代理部署模式 整合用户上网代理 无需指定代理服务器类型TCSE2015认证培训课件认证培训课件高可用性部署 有效利用原有投入 无网络“故障点” 提供网络高可用性WCCP模式模式负载均衡负载均衡设备联动设备联动TCSE2015认证培训课件认证培训课件多链路支持 IWSA新型号支持以下种类的多链路部署方式 多链路 端口组 断路检测 链路聚合 *详情请参见附件SOPTCSE2015认证培训课件认证培训课件IWSA产品系列规格比较（1）TCSE2015认证培训课件认证培训课件IWSA产品系列规格比较（2）TCSP2013

4、 Training Course | Copyright 2013 Trend Micro Inc.TCSE2015认证培训课件认证培训课件安装部署安装部署TCSE2015认证培训课件认证培训课件安装前的准备 必须掌握用户的网络拓扑 是否有代理/防火墙/监控/审计等专用设备 了解用户使用习惯 并发连接数，吞吐量 对比IWSA官方数据 换个流量小的位置部署 换一个部署模式 Bypass一些IP或IP段 利用隐藏功能(大于某个并发连接阙值的都不扫描) 软件使用习惯 决定IWSA的部署模式 决定网络参数TCSE2015认证培训课件认证培训课件用户的需求分析 用户的实际功能需求 用户极为重视IWSA扫

5、描对性能的影响 参考IWSA测试建议配置相关文档调优，如 文件类型拦截 大文件处理方式 压缩文件处理方式 TCSE2015认证培训课件认证培训课件硬件准备工作 IWSA设备 9针串口线 USB键盘 显示器 交叉线TCSE2015认证培训课件认证培训课件安装演示 使用虚拟环境下部署时 绕过硬件检测 安装界面按Tab键 输入“nohwfail”DEMOTCSE2015认证培训课件认证培训课件安装部署实验 实验一：完成IWSA的程序安装TCSE2015认证培训课件认证培训课件配置和维护配置和维护TCSE2015认证培训课件认证培训课件管理界面 Web控制台 http:/:1812 用户名：admin

6、TCSE2015认证培训课件认证培训课件策略配置 测试流程建议 上线前先关闭所有扫描功能，网络通讯正常后再逐步启用 用户现场测试不建议启用 Web信誉规则 Applets/ActiveX URL过滤 HTTP/HTTPS/FTP扫描配置 黑白名单的设置TCSE2015认证培训课件认证培训课件配置实验 实验二：阻止用户访问的网页上显示图像文件，网址http:/ 实验三：配置IWSA，使客户端无法上，但能访问 ： 实验四：阻止用户通过FTP下载eicar测试病毒TCSE2015认证培训课件认证培训课件日常维护配置 登录预设控制台 可使用Putty工具（需启用SSH） 用户名：root，密码为安装时

7、所设置 补丁和系统的更新TCSE2015认证培训课件认证培训课件维护实验 实验五：使用Putty工具登录IWSA预设置控制台TCSE2015认证培训课件认证培训课件日志报告呈现 摘要管理 报告设置 日志查询和分析 开启URL访问日志TCSE2015认证培训课件认证培训课件日志报告实验 实验六：开启URL访问日志，并查询生成的日志内容 实验七：生成一份实时报告TCSE2015认证培训课件认证培训课件BYPASS机制机制TCSE2015认证培训课件认证培训课件Bypass机制：硬件bypass（Lanbypass卡） 原理 硬件bypass即为lanbypass卡bypass，如果被启用，IWSA

8、就像一根网线，网络流量根本不经过IWSA机器，对于客户的网络性能没有任何影响， 适用场景 如果IWSA出现故障，需要暂时bypass; 如果需要重启IWSA网卡； 如果需要重启IWSA机器。 优势 不影响客户网络流量下，可以对IWSA机器做任何事情TCSE2015认证培训课件认证培训课件 常用命令（假设eth1和eth2为IWSA上下行网口, 其中eth1为master网口，下面的命令必须对master网口设置才起作用，如果对slave网口设置，其会提示出错信息。）查看IWSA的网卡是否为bypassbpctl eth1 get_bypass启用lanbypass(即网络流量不经过IWSA)b

9、pctl eth1 set_bypass on禁用lanbypass(即恢复扫描状态)bpctl eth1 set_bypass off 注意事项在启用lanbypass功能之前，需要设置IWSA的管理口连接，否则无法管理机器，在lanbypass启用之后，只用通过管理口或者COM口才能连上IWSA。Bypass机制机制：硬件：硬件bypass（Lanbypass卡）卡）TCSE2015认证培训课件认证培训课件Bypass机制：系统bypass（IWSA系统内核层） 原理利用IWSA操作系统内核conntrack进行bypass，即通常所说的rpolicy bypass。通过rpolicy设置

10、，可以控制IWSVA对哪些端口，哪些IP（包括目的IP和源IP）或者哪些mac地址进行扫描。如果在rpolicy清空的情况下，即进行全部bypass，在1000M网络性能下，其可以达到900M+，可以说对网络性能几乎没有影响。 应用场景在性能测试中，IWSVA的吞吐量不够；在某些时段，客户流量达到一定的并发值之后，上网会变慢；在某些情形下，内网通过IWSVA不能访问某些网站；在某些情形下，某些特殊的客户端或者某个子网不能上网； 优势 不需要重启网卡，在设置后自动生效TCSE2015认证培训课件认证培训课件两个角度： 从总的connection数目bypass通常IWSA6000会设置总连接by

11、pass的数目为5000， 即系统连接数超过5000个连接后的请求直接从系统内核经过，不会再扫描; 对于符合条件的流量进行bypass,比如某些目的/源IP地址，某些目的/源端口，某些目的/源MAC地址；Bypass机制机制：系统系统bypass（IWSA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件 跟rpolicy密切相关的文件（1）/etc/iscan/network.ini（需要重启网卡） ct_redir_max=5000, 即总的连接数超过5000之后即bypass bypass_dstIP=，该项参数是bypass所有这些目的IP的数据包/proc/conntra

12、ck/rpolicy,查看rpolicy规则Bypass机制机制：系统系统bypass（IWSA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件 跟rpolicy密切相关的文件（2）/proc/conntrack/ct_redir_max 查看当前总连接的bypass数目 network.ini文件中的ct_redir_max参数设置是对应的/proc/conntrack/help 查看rpolicy设置的帮助命令Bypass机制机制：系统系统bypass（IWSA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件常见应用1：动态更改bypass的总连接数(即通常所说

13、的overload bypass)场景：在测试中频繁使用大文件测试，造成IWSA的性能降低方法：动态降低总的bypass连接数：echo 3000 /proc/conntrack/ct_redir_max注：在重启网卡或者机器会失效要保留设置，同时修改network.ini参数ct_redir_maxBypass机制机制：系统系统bypass（IWSA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件常见应用2：删除某个policy方法echo DEL 5 /proc/conntrack/redirect即可以删除第5条rpolicyBypass机制机制：系统系统bypass（IW

14、SA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件常见应用3：动态增加Bypass某些目的IP方法1.先查看rpolicy中端口转发的规则编号(more /proc/conntrack/rpolicy)2.再删除rpolicy中端口转发的规则Bypass机制机制：系统系统bypass（IWSA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件常见应用3：动态增加Bypass某些目的IP方法3.再添加bypass某些目的IP的规则4.然后再添加端口转发规则5.再确认规则是否成功添加(more /proc/conntrack/rpolicy)Bypass机制机制：系统系

15、统bypass（IWSA系统内核层系统内核层）注：注：保留该设置，请同时修改保留该设置，请同时修改network.ini参数参数bypass_dstIP，添加该目的添加该目的IP段段TCSE2015认证培训课件认证培训课件常见应用4：动态增加Bypass某些源IP方法有时候某些特殊的子网IP可能由于IWSA不能上网，这样的话可以增加bypass源IP的命令，步骤和3)完全一样，只是在第c)步的命令为：echo ADD sip /24 -action pass /proc/conntrack/redirect可以bypass源 IP为的C网IP地址Bypa

16、ss机制机制：系统系统bypass（IWSA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件常见应用5：bypass 所有网络流量(即清空rpolicy)方法：a). 先保存现有的rpolicy策略 cat /proc/conntrack/rpolicy /tmp/rpolicyb). 清空rpolicy很简单：echo /proc/conntrack/rpolicy需要恢复的话，请按以下步骤：c). 编辑/tmp/rpolicy文件：vi /tmp/rpolicy如果rpolicy形式如下：Bypass机制机制：系统系统bypass（IWSA系统内核层系统内核层）TCSE2015认证培训课件认证培训课件常见应用5：bypass 所有网络流量(即清空rpolicy)方法：需要改为：d). 然后键入：cat /tmp/rpolicy /proc/conntrack/rpolicy e). more /proc/conntrack/rpolicy确认Bypass机制机制：系统系统bypass（IWSA系统内核层系统内核层）注：注：rpolicy规则不能超过规则不能超过128条，超过条，超过128条后条后rpolicy会被清空会被清空TCSE2015认证培训课件认证培训课件Bypass机制： 一键bypass(WSVA5.6)Br