DPtech IPS2000系列入侵防御系统开局指导.doc

DPtech IPS2000开局指导杭州迪普科技有限公司2011年07月目 录DPtech IPS2000开局指导1第1章 前期调研11.1 调研内容11.2 确定部署方案2第2章 实施步骤32.1 准备工作32.2 部署条件32.3 安装断掉保护PFP（如需安装）32.4 实施方案42.4.1 基本配置方案1-旁路部署42.4.2 基本配置方案2-透明部署82.4.3 基本配置方案3-混合部署112.4.4 扩展配置122.4.5 高级配置132.4.6 其他配置14第3章 实施注意事项18第1章 前期调研1.1 调研内容调研表单位名称联系人联系电话编号调查项目子项目结果备注1网络拓扑层调查网络拓扑图附图设备承载总带宽峰值出口NAT设备设备接入方式串行、旁路、混合统一管理中心位置如安装，则填写确定网络拓扑位置上行设备：我司设备： 下行设备：编号调查项目子项目结果备注2设备接入层调查上行设备型号上行设备接口类型及参数电口/光口，协商/强制、速率、双工状态下行设备型号下行设备接口类型及参数电口/光口，协商/强制、速率、双工状态链路是否存在Trunk有则记录交换机上每个VLAN对应的ID、该vlan所处的网络段，掩码部署链路数是否需要端口聚合编号调查项目子项目结果备注3功能配置层调查管理方式带内、带外（确认IP地址）所需开启策略与统一管理中心联动如安装，则确定IP地址编号调查项目子项目结果备注4硬件部署层调查设备高度注明上架数量设备电源数及满载功率数断电保护设备高度如有，则填写集中管理平台高度如上架，则填写集中管理平台电源数及满载功率数确定部署物理位置入侵防御设备：断电保护设备：统一管理中心：1.2 确定部署方案根据调研及交流的结果，确定物理部署位置、逻辑部署位置、开启功能策略等第2章 实施步骤2.1 准备工作Ø 向用户介绍入侵防御系统实施内容、产品Ø 与用户沟通入侵防御系统实际部署时间2.2 部署条件Ø 设备正常启动Ø 连接线（双绞线、光纤等）正常可用Ø 部署机柜满足部署条件（机柜空间、插座数、功率载荷）Ø 管理地址已分配，且满足互通等要求Ø 确定部署方式（组网模式、部署链路数）2.3 安装断掉保护PFP（如需安装）Ø 将PFP插卡板安装在PFP主机上Ø 将内网连接线（如SW引出）连接至PFP“1”口，外网连接线（如FW引出）连接至PFP“4”口，流量于14间物理透传，此时验证网络畅通性Ø PFP插板“2、3”口平行连接IPS主机“A、B”口 ，即实施后的流量流向应为：局域网PFP1口PFP2口IPSA口IPSB口PFP3口PFP4口互联网，链路上下行连接错误，会导致日志分析异常Ø 此时切忌连接PFP主机与IPS主机的“USB”连接线，需完成全部功能配置后，再连接“USB”连接线2.4 实施方案2.4.1 基本配置方案1-旁路部署Ø 组网拓扑图注意：此模式下只做检测，不做控制Ø PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：adminØ 在【网络管理】->【组网模式】中，修改某一接口对组网模式为“旁路模式”注意：如上图所示，eth1/0与eth1/1接口对组网模式改为旁路模式后，此接口将无接口对概念，eth1/0与eth1/1独立存在，且均可作为旁路检测接口Ø 在【网络管理】->【网络用户组】中，添加IP用户组 Ø 如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由 Ø 在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口 Ø 在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514） Ø 在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9502） Ø 在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator Ø 在【设备管理】->【设备列表】中，添加IPS设备 Ø 在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计） Ø 在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看） 2.4.2 基本配置方案2-透明部署Ø PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：adminØ 在【网络管理】->【网络用户组】中，添加IP用户组 Ø 如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由 Ø 在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口 Ø 在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514） Ø 在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9502） Ø 在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator Ø 在【设备管理】->【设备列表】中，添加IPS设备 Ø 在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计） Ø 在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看） 2.4.3 基本配置方案3-混合部署Ø 如上图所示，eth1/0与eth1/1为旁路模式，可独立做旁路检测（IDS）；eth1/2与eth1/3，eth1/4与eth1/5为在线模式，存在接口对概念，可做在线检测（IPS）；即实现了同时在线检测与旁路检测的混合模式2.4.4 扩展配置Ø 【防病毒】，在【常用功能】->【防病毒】中，添加防病毒策略；下图策略为：从eth1/0与eth1/1接口流入的流量，进行防病毒策略的安全匹配（流行度概念，请参见用户手册）Ø 【带宽限速】，在【扩展功能】->【应用防火墙】->【网络应用带宽限速】中，添加带宽限速策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，P2P限速5000kbps（注意单位）；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，P2P限速5000kbps（注意单位）Ø 【访问控制】，在【扩展功能】->【应用防火墙】->【网络应用访问控制】中，添加访问控制策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，阻断网络应用-即时通讯；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，阻断网络应用-即时通讯Ø 【URL】，在【扩展功能】->【应用防火墙】->【URL过滤】中，添加URL过滤策略；下图策略为：从eth1/0接口流入，且源IP组为test的流量，对主机名为的URL进行过滤2.4.5 高级配置Ø 端口捆绑（注意：虚接口绑定遵循上下行，即上行口不能与下行口绑定）Ø 自定义IPS特征（根据报文参数，自定义设置IPS特征，并引入到IPS策略）Ø 带宽限速/访问控制自定义应用组（创建自定义网络应用组后，可应用到带宽限速/访问控制策略中）Ø URL分类库及推送配置（注意：此功能在有URL License，且已经导入URL特征库的情况下，方可使用）2.4.6 其他配置Ø 添加管理员，并设置管理权限Ø 设置Web访问协议参数Ø 导入/出配置文件，需重启（推荐在同一软件版本下使用）Ø 修改接口同步状态（注意：当开启接口同步状态下，当接口对中的eth1/0口down后，在数秒种后，eth1/1口的管理状态会dwon，如恢复管理状态需在console口下操作，重新no shutdown该接口状态）Ø 创建IP用户组，IP用户群，IP用户簇（IP可实现分级管理，并应用到策略）Ø Web页面修改管理口地址Ø 软件bypass，开启后流量不做安全检测（VIP流量概念，请参见用户手册）Ø 黑名单Ø 基础DDos配置（添加防护网段配置后，根据网络情况，下发DDos防护策略）Ø 基本攻击防护策略第3章 实施注意事项Ø 管理服务器的安全性 管理服务器安装Windows2003 Server或者Windows2008操作系统后，管理员一定要确保对Windows进行重要安全补丁修补，规范操作系统口令和密码设置，保证正常启动运行。管理员应定期对服务器杀毒系统进行升级并进行全机扫描以确保本服务器无病毒。在安装集中管理软件时，需要增加自启动选项，部分杀毒软件会给出提示信息，需要手动确认。Ø 网络中防火墙的设置注意事项 集中管理服务器与入侵防御系统之间存在的防火墙，要求开启9502、9514、9516、69、9503、9030、9504、9505、9501端口。Ø 入侵防御系统接口配置 初次上线需观察接口参数（接口管理状态、接口链路状态、速率、双工）是否正常，入侵防御系统与上下行设备端口的工作模式需要保持一致。