DPtech IPS2000系列入侵防御系統(tǒng)開局指導(dǎo)

1、DPtechDPtech IPS2000IPS2000 開局指導(dǎo)開局指導(dǎo)杭州迪普科技有限公司杭州迪普科技有限公司2011 年年 07 月月杭州迪普科技有限公司 目目 錄錄DPtechDPtech IPS2000IPS2000 開局指導(dǎo)開局指導(dǎo).1第第 1 章章 前期調(diào)研前期調(diào)研.11.1 調(diào)研內(nèi)容.11.2 確定部署方案.2第第 2 章章 實(shí)施步驟實(shí)施步驟.32.1 準(zhǔn)備工作.32.2 部署條件.32.3 安裝斷掉保護(hù) PFP（如需安裝）.32.4 實(shí)施方案.42.4.1 基本配置方案1-旁路部署.42.4.2 基本配置方案2-透明部署.82.4.3 基本配置方案3-混合部署.112.4.4

2、擴(kuò)展配置.122.4.5 高級(jí)配置.132.4.6 其他配置.14第第 3 章章 實(shí)施注意事項(xiàng)實(shí)施注意事項(xiàng).18杭州迪普科技有限公司杭州迪普科技有限公司 第 1 頁 第第 1 章章 前期調(diào)研前期調(diào)研1.1 調(diào)研內(nèi)容調(diào)研表單位名稱聯(lián)系人聯(lián)系電話編號(hào)調(diào)查項(xiàng)目子項(xiàng)目結(jié)果備注網(wǎng)絡(luò)拓?fù)鋱D附圖設(shè)備承載總帶寬峰值出口 NAT 設(shè)備設(shè)備接入方式串行、旁路、混合統(tǒng)一管理中心位置如安裝，則填寫上行設(shè)備：我司設(shè)備： 1網(wǎng)絡(luò)拓?fù)鋵诱{(diào)查確定網(wǎng)絡(luò)拓?fù)湮恢孟滦性O(shè)備：編號(hào)調(diào)查項(xiàng)目子項(xiàng)目結(jié)果備注上行設(shè)備型號(hào)上行設(shè)備接口類型及參數(shù)電口/光口，協(xié)商/強(qiáng)制、速率、雙工狀態(tài)下行設(shè)備型號(hào)下行設(shè)備接口類型及參數(shù)電口/光口，協(xié)商/強(qiáng)制、速率

3、、雙工狀態(tài)鏈路是否存在 Trunk有則記錄交換機(jī)上每個(gè) VLAN對(duì)應(yīng)的 ID、該 vlan 所處的網(wǎng)絡(luò)段，掩碼部署鏈路數(shù)2設(shè)備接入層調(diào)查是否需要端口聚合杭州迪普科技有限公司杭州迪普科技有限公司 第 2 頁 編號(hào)調(diào)查項(xiàng)目子項(xiàng)目結(jié)果備注管理方式帶內(nèi)、帶外（確認(rèn) IP 地址）所需開啟策略3功能配置層調(diào)查與統(tǒng)一管理中心聯(lián)動(dòng)如安裝，則確定 IP 地址編號(hào)調(diào)查項(xiàng)目子項(xiàng)目結(jié)果備注設(shè)備高度注明上架數(shù)量設(shè)備電源數(shù)及滿載功率數(shù)斷電保護(hù)設(shè)備高度如有，則填寫集中管理平臺(tái)高度如上架，則填寫集中管理平臺(tái)電源數(shù)及滿載功率數(shù)入侵防御設(shè)備：斷電保護(hù)設(shè)備：4硬件部署層調(diào)查確定部署物理位置統(tǒng)一管理中心：1.2 確定部署方案根據(jù)調(diào)研

4、及交流的結(jié)果，確定物理部署位置、邏輯部署位置、開啟功能策略等杭州迪普科技有限公司杭州迪普科技有限公司 第 3 頁 第第 2 章章 實(shí)施步驟實(shí)施步驟2.1 準(zhǔn)備工作向用戶介紹入侵防御系統(tǒng)實(shí)施內(nèi)容、產(chǎn)品與用戶溝通入侵防御系統(tǒng)實(shí)際部署時(shí)間2.2 部署條件設(shè)備正常啟動(dòng)連接線（雙絞線、光纖等）正?？捎貌渴饳C(jī)柜滿足部署條件（機(jī)柜空間、插座數(shù)、功率載荷）管理地址已分配，且滿足互通等要求確定部署方式（組網(wǎng)模式、部署鏈路數(shù)）2.3 安裝斷掉保護(hù) PFP（如需安裝）將 PFP 插卡板安裝在 PFP 主機(jī)上將內(nèi)網(wǎng)連接線（如 SW 引出）連接至 PFP“1”口，外網(wǎng)連接線（如 FW 引出）連接至 PFP“4”口，流量

5、于 14 間物理透?jìng)?，此時(shí)驗(yàn)證網(wǎng)絡(luò)暢通性PFP 插板“2、3”口平行連接 IPS 主機(jī)“A、B”口 ，即實(shí)施后的流量流向應(yīng)為：局域網(wǎng)PFP1 口PFP2 口IPSA 口IPSB 口PFP3 口PFP4 口互聯(lián)網(wǎng)，鏈路上下行連接錯(cuò)誤，會(huì)導(dǎo)致日志分析異常此時(shí)切忌連接 PFP 主機(jī)與 IPS 主機(jī)的“USB”連接線，需完成全部功能配置后，再連接“USB”連接線杭州迪普科技有限公司杭州迪普科技有限公司 第 4 頁 2.4 實(shí)施方案2.4.1 基本配置方案 1-旁路部署組網(wǎng)拓?fù)鋱D注意：此模式下只做檢測(cè)，不做控制PC 直連設(shè)備管理口，缺省 IP 地址為 192.168.0.1；用戶名：admin，密碼：a

6、dmin杭州迪普科技有限公司杭州迪普科技有限公司 第 5 頁 在【網(wǎng)絡(luò)管理】-【組網(wǎng)模式】中，修改某一接口對(duì)組網(wǎng)模式為“旁路模式”注意：如上圖所示，eth1/0 與 eth1/1 接口對(duì)組網(wǎng)模式改為旁路模式后，此接口將無接口對(duì)概念，eth1/0 與 eth1/1 獨(dú)立存在，且均可作為旁路檢測(cè)接口在【網(wǎng)絡(luò)管理】-【網(wǎng)絡(luò)用戶組】中，添加 IP 用戶組 如果設(shè)備需要跨網(wǎng)段管理，則需在【網(wǎng)絡(luò)管理】-【單播 IPv4 路由】中，添加指定或默認(rèn)路由 在【IPS 規(guī)則】中創(chuàng)建規(guī)則后，引用到【IPS 策略】中的指定旁路接口 杭州迪普科技有限公司杭州迪普科技有限公司 第 6 頁 在【日志管理】-【業(yè)務(wù)日志】中，

7、開啟將 IPS 日志輸出 UMC 功能（IP：UMC 安裝服務(wù)器的 IP 地址，PORT：9514） 在【審計(jì)分析】-【流量分析】中，開啟將流量分析日志輸出 UMC 功能（IP：UMC 安裝服務(wù)器的 IP 地址，PORT：9502） 在服務(wù)器安裝 UMC 后，用 IE 訪問其網(wǎng)卡 IP 地址（注：UMC 地址需與 IPS 管理地址互通），用戶名：admin，密碼：UMCAdministrator 杭州迪普科技有限公司杭州迪普科技有限公司 第 7 頁 在【設(shè)備管理】-【設(shè)備列表】中，添加 IPS 設(shè)備 在【系統(tǒng)管理】-【時(shí)間同步配置】中，點(diǎn)擊“立即同步”（注：UMC 與 IPS 時(shí)間不一致，會(huì)影

8、響日志統(tǒng)計(jì)） 在【網(wǎng)絡(luò)監(jiān)控】中查看流量分析日志，在【攻擊監(jiān)控】中查看 IPS 日志（如果未使用 UMC，則在 IPS 設(shè)備【IPS 日志】中查看） 杭州迪普科技有限公司杭州迪普科技有限公司 第 8 頁 2.4.2 基本配置方案 2-透明部署PC 直連設(shè)備管理口，缺省 IP 地址為 192.168.0.1；用戶名：admin，密碼：admin在【網(wǎng)絡(luò)管理】-【網(wǎng)絡(luò)用戶組】中，添加 IP 用戶組 杭州迪普科技有限公司杭州迪普科技有限公司 第 9 頁 如果設(shè)備需要跨網(wǎng)段管理，則需在【網(wǎng)絡(luò)管理】-【單播 IPv4 路由】中，添加指定或默認(rèn)路由 在【IPS 規(guī)則】中創(chuàng)建規(guī)則后，引用到【IPS 策略】中的

9、指定旁路接口 在【日志管理】-【業(yè)務(wù)日志】中，開啟將 IPS 日志輸出 UMC 功能（IP：UMC 安裝服務(wù)器的 IP 地址，PORT：9514） 在【審計(jì)分析】-【流量分析】中，開啟將流量分析日志輸出 UMC 功能（IP：UMC 安裝服務(wù)器的 IP 地址，PORT：9502） 杭州迪普科技有限公司杭州迪普科技有限公司 第 10 頁 在服務(wù)器安裝 UMC 后，用 IE 訪問其網(wǎng)卡 IP 地址（注：UMC 地址需與 IPS 管理地址互通），用戶名：admin，密碼：UMCAdministrator 在【設(shè)備管理】-【設(shè)備列表】中，添加 IPS 設(shè)備 杭州迪普科技有限公司杭州迪普科技有限公司 第

10、11 頁 在【系統(tǒng)管理】-【時(shí)間同步配置】中，點(diǎn)擊“立即同步”（注：UMC 與 IPS 時(shí)間不一致，會(huì)影響日志統(tǒng)計(jì)） 在【網(wǎng)絡(luò)監(jiān)控】中查看流量分析日志，在【攻擊監(jiān)控】中查看 IPS 日志（如果未使用 UMC，則在 IPS 設(shè)備【IPS 日志】中查看） 2.4.3 基本配置方案 3-混合部署杭州迪普科技有限公司杭州迪普科技有限公司 第 12 頁 如上圖所示，eth1/0 與 eth1/1 為旁路模式，可獨(dú)立做旁路檢測(cè)（IDS）；eth1/2 與eth1/3，eth1/4 與 eth1/5 為在線模式，存在接口對(duì)概念，可做在線檢測(cè)（IPS）；即實(shí)現(xiàn)了同時(shí)在線檢測(cè)與旁路檢測(cè)的混合模式2.4.4 擴(kuò)展

11、配置【防病毒】，在【常用功能】-【防病毒】中，添加防病毒策略；下圖策略為：從eth1/0 與 eth1/1 接口流入的流量，進(jìn)行防病毒策略的安全匹配（流行度概念，請(qǐng)參見用戶手冊(cè)）【帶寬限速】，在【擴(kuò)展功能】-【應(yīng)用防火墻】-【網(wǎng)絡(luò)應(yīng)用帶寬限速】中，添加帶寬限速策略；下圖策略為：從 eth1/0 接口流入，且源 IP 組為 test，目的 IP 組為All users 的流量，P2P 限速 5000kbps（注意單位）；從 eth1/1 接口流入，且源 IP 組為 All users，目的 IP 組為 test 的流量，P2P 限速 5000kbps（注意單位）【訪問控制】，在【擴(kuò)展功能】-【應(yīng)

12、用防火墻】-【網(wǎng)絡(luò)應(yīng)用訪問控制】中，添加訪問控制策略；下圖策略為：從 eth1/0 接口流入，且源 IP 組為 test，目的 IP 組為All users 的流量，阻斷網(wǎng)絡(luò)應(yīng)用-即時(shí)通訊；從 eth1/1 接口流入，且源 IP 組為 All users，目的 IP 組為 test 的流量，阻斷網(wǎng)絡(luò)應(yīng)用-即時(shí)通訊【URL】，在【擴(kuò)展功能】-【應(yīng)用防火墻】-【URL 過濾】中，添加 URL 過濾策略；下圖策略為：從 eth1/0 接口流入，且源 IP 組為 test 的流量，對(duì)主機(jī)名為 的 URL 進(jìn)行過濾杭州迪普科技有限公司杭州迪普科技有限公司 第 13 頁 2.4.5 高級(jí)配置端口捆綁（注意

13、：虛接口綁定遵循上下行，即上行口不能與下行口綁定）自定義 IPS 特征（根據(jù)報(bào)文參數(shù)，自定義設(shè)置 IPS 特征，并引入到 IPS 策略）帶寬限速/訪問控制自定義應(yīng)用組（創(chuàng)建自定義網(wǎng)絡(luò)應(yīng)用組后，可應(yīng)用到帶寬限速/訪問控制策略中）杭州迪普科技有限公司杭州迪普科技有限公司 第 14 頁 URL 分類庫及推送配置（注意：此功能在有 URL License，且已經(jīng)導(dǎo)入 URL 特征庫的情況下，方可使用）2.4.6 其他配置添加管理員，并設(shè)置管理權(quán)限杭州迪普科技有限公司杭州迪普科技有限公司 第 15 頁 設(shè)置 Web 訪問協(xié)議參數(shù)導(dǎo)入/出配置文件，需重啟（推薦在同一軟件版本下使用）修改接口同步狀態(tài)（注意：

14、當(dāng)開啟接口同步狀態(tài)下，當(dāng)接口對(duì)中的 eth1/0 口 down后，在數(shù)秒種后，eth1/1 口的管理狀態(tài)會(huì) dwon，如恢復(fù)管理狀態(tài)需在 console 口下操作，重新 no shutdown 該接口狀態(tài)）創(chuàng)建 IP 用戶組，IP 用戶群，IP 用戶簇（IP 可實(shí)現(xiàn)分級(jí)管理，并應(yīng)用到策略）杭州迪普科技有限公司杭州迪普科技有限公司 第 16 頁 Web 頁面修改管理口地址軟件 bypass，開啟后流量不做安全檢測(cè)（VIP 流量概念，請(qǐng)參見用戶手冊(cè)）黑名單基礎(chǔ) DDos 配置（添加防護(hù)網(wǎng)段配置后，根據(jù)網(wǎng)絡(luò)情況，下發(fā) DDos 防護(hù)策略）杭州迪普科技有限公司杭州迪普科技有限公司 第 17 頁 基本攻擊防護(hù)策略杭州迪普科技有限公司杭州迪普科技有限公司 第 18 頁 第第 3 章章 實(shí)施注意事項(xiàng)實(shí)施注意事項(xiàng)管理服務(wù)器的安全性 管理服務(wù)器安裝 Windows2003 Server 或者 Windows2008 操作系統(tǒng)后，管理員一定要確保對(duì) Windows 進(jìn)行重要安全補(bǔ)丁修補(bǔ)，規(guī)范操作系統(tǒng)口令和密碼設(shè)置，保證正常啟動(dòng)運(yùn)行。管理員應(yīng)定期對(duì)服務(wù)