天清入侵防御系統(tǒng)_項目實施配置手冊

1、配置手冊啟明星辰 IPS 入侵防御系統(tǒng)配置手冊山西同之益科技有限公司2020 年 4 月山西同之益科技有限公司技術(shù)支持服務(wù)熱線 400-607-1189配置手冊目錄 HYPERLINK l _bookmark0 一、功能介紹1 HYPERLINK l _bookmark1 二、配置流程1 HYPERLINK l _bookmark2 三、配置內(nèi)容1 HYPERLINK l _bookmark3 第一部分 管理信息配置1 HYPERLINK l _bookmark4 第二部分 對象配置6 HYPERLINK l _bookmark5 第三部分 事件配置8 HYPERLINK l _bookmar

2、k6 第四部分 策略配置13 HYPERLINK l _bookmark7 第五部分 日志查看17配置手冊一、 功能介紹入侵防御系統(tǒng)圍繞深層防御、精確阻斷的核心理念，通過對網(wǎng)絡(luò)流量的深層次分析，可及時準確發(fā)現(xiàn)各類入侵攻擊行為，可以對漏洞攻擊、蠕蟲病毒、間諜軟件、木馬后門、溢出攻擊、數(shù)據(jù)庫攻擊、高級威脅攻擊、暴力破解等多種深層攻擊行為進行防御，并執(zhí)行實時精確阻斷，主動而高效的保護用戶網(wǎng)絡(luò)安全，有效彌補網(wǎng)絡(luò)層防護產(chǎn)品深層防御效果的不足。二、 配置流程權(quán)限管理：通過三權(quán)分立用戶，實現(xiàn)不同用戶對設(shè)備權(quán)限的管理；admin，管理員用戶，實現(xiàn)日常業(yè)務(wù)配置需求；useradmin， 用于用戶管理，賬號密碼等

3、策略配置；audit，審計管理員，實現(xiàn)日志信息審計功能；對象定義：定義 IP 地址對象，服務(wù)對象，可通過安全策略引用地址及服務(wù)；事件定義：定義事件、事件集，通過事件集引用事件；安全防護表定義：通過安全防護表引用事件集；安全策略配置：調(diào)用安全防護表，實現(xiàn)對入侵、攻擊等事件的記錄；日志查看：通過日志記錄信息查看入侵、防護等安全事件，通過報表進行統(tǒng)計、分析、展示；三、配置內(nèi)容第一部分 管理信息配置運行狀態(tài)信息查看：通過系統(tǒng)防護狀態(tài)可查看目前設(shè)備的運行狀態(tài)， 入侵、攻擊防護統(tǒng)計信息。1配置手冊圖 1授權(quán)信息查看：查看當(dāng)前系統(tǒng)特征庫授權(quán)信息，top10 攻擊防護信息； 如下圖 2 紅色標(biāo)注部分。圖 2升

4、級管理：定期通過啟明星辰官網(wǎng)（https: HYPERLINK / /） 下載中心，統(tǒng)一升級中心（圖 3）進行特征庫更新升級，升級結(jié)果如下（圖 4）2配置手冊圖 3圖 4SNMP 配置信息修改： 網(wǎng)絡(luò)管理基本配置-SNMP 路徑下進行SNMP 版本，團體名稱修改3配置手冊圖 5賬號密碼策略：修改系統(tǒng)默認賬號密碼策略，符合國網(wǎng)公司針對賬號密碼的安全策略遠程管理：配置限制遠程登錄賬號 IP 地址、賬戶在線數(shù)量、超時時間、賬號修改密碼期限4配置手冊5配置手冊第二部分 對象配置對象定義：通過對象管理可進行時間對象、服務(wù)對象、地址對象的重新定義或系統(tǒng)預(yù)先定義服務(wù)、端口等信息查看配置自定義服務(wù)：進入對象管

5、理服務(wù)對象自定義服務(wù)，點擊新建，名稱：為新建自定義服務(wù)設(shè)置名稱描述：對新建自定義服務(wù)做描述協(xié)議： 可以自定義的服務(wù)協(xié)議（TCP,UDP,ICMP,IP）源端口： 協(xié)議源端口號目的端口：協(xié)議目標(biāo)端口號配置地址節(jié)點：地址對象可以對主機地址，子網(wǎng)，地址范圍做定義。進入對象管理地址對象地址節(jié)點，點擊新建6配置手冊名稱：為新建地址節(jié)點設(shè)置名稱描述：對新建地址節(jié)點做描述地址節(jié)點： 地址節(jié)點的內(nèi)容可以是：主機 ip 地址；子網(wǎng) ip 網(wǎng)段地址； IP 地址池范圍7配置手冊第三部分 事件配置事件定義：通過預(yù)先定義事件或自定義事件確定攻擊防御事件采取的防護措施（通過、丟棄、阻斷等動作）事件集定義：IPS 中引入

6、了入侵防御事件集。事件集是一個或多個事件的集合。根據(jù)當(dāng)前實際的網(wǎng)絡(luò)情況，系統(tǒng)默認提供了 5 個事件集。進入入侵防御特征事件集，可查看當(dāng)前預(yù)定義事件集，圖 10，默認事件集作為系統(tǒng)提供的資源，不能被刪除，只能做有限的配置操作。創(chuàng)建事件集：進入入侵防御特征事件集，點擊新建。參數(shù)說明：8配置手冊名稱：事件集的名稱描述：事件集描述信息防護等級：通過設(shè)置事件集的防護等級可以調(diào)整本事件集中所有事件的動作查看事件集內(nèi)容：進入入侵防御特征事件集，點擊詳細圖標(biāo)，或者點擊事件名稱，即可查看該事件集的詳細內(nèi)容參數(shù)說明：分類：該事件集的分類方式，可按照協(xié)議類型、系統(tǒng)、安全類型、來源、事件級別來分類，默認是按照安全類型

7、來分類的。名稱：輸入事件名稱，可檢索出該條事件。啟用：按照啟用方式檢索事件。級別：按照級別來檢索事件。日志：按照是否發(fā)送日志來檢索事件動作：按照事件動作來檢索事件。通過：放行觸發(fā)該 IPS 事件的數(shù)據(jù)包丟棄：對觸發(fā)該 IPS 事件的數(shù)據(jù)包所在連接的客戶端和服務(wù)器發(fā)送RESET9配置手冊包，使連接結(jié)束（針對 TCP 協(xié)議），并丟棄當(dāng)前數(shù)據(jù)包阻斷：在一段時間內(nèi)丟棄觸發(fā)該 IPS 事件的數(shù)據(jù)包的源 IP 產(chǎn)生的所有數(shù)據(jù)包說明：建議用戶采用廠商推薦默認值，自行調(diào)整 IPS 入侵事件級別及阻斷方式，可能導(dǎo)致用戶網(wǎng)絡(luò)中斷。添加事件集中事件：進入入侵防御特征事件集，選擇一個自定義事件集，點擊詳細圖標(biāo)，添加事

8、件配置事件集中事件：IPS 系統(tǒng)可以配置某一事件集中事件的級別、是否啟用、是否記錄日志、匹配事件后執(zhí)行的動作，對該事件日志是否合并等操作。進入入侵防御特征事件集，選擇自定義事件集的詳細按鈕圖標(biāo)， 點擊展開事件組10配置手冊選擇某個事件，點擊編輯，進行事件修改11配置手冊參數(shù)說明：名稱：事件名稱級別：事件級別，根據(jù)事件的危害性可以配置成高級事件、中級事件、低級事件、連接事件動作：配置對匹配該事件的數(shù)據(jù)報或流執(zhí)行的通過、丟棄或阻斷等動作12配置手冊第四部分 策略配置配置安全防護表：進入入侵防御安全策略安全防護表，點擊新建名稱：安全防護表名稱，支持中文名稱描述：安全防護表的簡單描述信息入侵防御：配置

9、是否啟用入侵防御防病毒：配置是否啟用防病毒及相關(guān)協(xié)議配置Web 過濾：配置是否啟用 Web 過濾郵件過濾：配置是否啟用郵件過濾敏感信息防護：配置是否啟用敏感信息防護Anti-Flood Attack：配置是否啟用防 Flood 攻擊上網(wǎng)行為管理：配置是否啟用 IM/P2P/股票軟件/網(wǎng)絡(luò)游戲/流媒體及相關(guān)協(xié)議配置調(diào)用事件集，在新建安全防護表中調(diào)用系統(tǒng)預(yù)定義事件集或自定義事件集13配置手冊配置安全策略：進入入侵防御安全策略安全策略，點擊新建14配置手冊參數(shù)說明：源接口/安全域：數(shù)據(jù)流的流入方向，可以指定某個接口或者安全域，any 表示所有接口地址名：數(shù)據(jù)流的源地址，可以引用已定義的某個地址對象或

10、地址對象組， any 表示源地址為任意目的接口/安全域：數(shù)據(jù)流的流出方向，可以指定某個接口或者安全域，any 表示所有接口地址名：數(shù)據(jù)流的目的地址，可以引用已定義的某個地址對象或地址對象組， any 表示目的地址為任意服務(wù)：數(shù)據(jù)流的服務(wù)屬性，包括協(xié)議、源端口和目的端口，可以引用系統(tǒng)預(yù)定義服務(wù)、已定義的服務(wù)對象或服務(wù)對象組，any 表示服務(wù)為任意時間表：策略生效的時間，可以引用已配置的時間對象，always 表示所有時間動作：對符合匹配條件的數(shù)據(jù)流執(zhí)行的動作，PERMIT 為允許，DENY 為拒絕描述：安全策略的描述，長度限制為 127 個字符調(diào)用安全防護表：在安全策略的 PERMIT 選項下，勾選安全防護，選擇系統(tǒng)預(yù)