NetScreen IDP简易使用指南中文版.doc

NetScreen IDP简易使用指南中文版Version 1.0 - 2.1目 录1.前言32.IDP使用步骤（重要）33.安装准备3软件3线缆及接口3监控设备4电源/机架44.安装软件4备份License文件4恢复License文件4安装Sensor软件5安装Manager Server5安装客户端UI软件5常用的IDP CLI命令65.升级系统6升级Management Server6升级Sensor6升级客户端界面UI7更新攻击特征库（Attack Signatures）76.系统配置7初始化设置7ACM配置Sensor8UI配置Mgt-svr87.注意事项9安装过程9使用过程91. 前言该使用手册是一个简单的操作指南，主要列举了在IDP安装、使用过程中的一些主要的参数和步骤。最重要的是，为确保客户方应用系统的稳定运行，建议IDP的工作模式由Sniffer Mode向In-line Mode过渡。本使用指南主要针对2.1版本以及小版本的升级，如果有不详尽的地方，请参阅官方网站的IDP指南以及C&E。2. IDP使用步骤（重要） Sniffer mode下配置Sensor设备、升级Attack Signature以及配置策略 Sniffer mode下调试策略并记录策略 配置Sensor为In-line的模式（Bridge Mode/Route Mode） 在In-line模式下重新调试策略 在In-line模式下逐步启用Drop packet/connection的动作3. 安装准备软件Sensor软件在随机的IDP Appliance光盘上，Mgt-svr软件和UI软件在IDP Installation光盘上。上述软件也可以从NetScreen官方网站上下载。线缆及接口控制线缆（Console Cable）：一根两端都是Female接口的9针串行控制线。网络管理线：Eth0，Eth1: 连接PC为Straight RJ45线，连接Switch为Crossover RJ45线；Eth2（默认管理端口）: 连接PC为Crossover RJ45线，连接Switch为Straight RJ45线；Eth3（默认HA状态连接端口）: 连接PC为Crossover RJ45线，连接Switch为Straight RJ45线；监控设备PS/2型键盘、显示器电源/机架220V的电源和19”机架4. 安装软件备份License文件 插入载有备份工具（可以从上获得）的软盘并装载软驱mount /mnt/floppyls /mnt/floppy有2个文件显示：backuplic.sh restorelic.sh 备份License信息/mnt/floppy/backuplic.sh 检查License信息是否被备份ls /mnt/floppy有5个文件显示：backuplic.sh host-id idp.cfg idp.lic restorelic.sh 卸载软驱umount /mnt/floppy恢复License文件 插入载有备份工具（可以从上获得）以及备份信息的软盘并装载软驱mount /mnt/floppyls /mnt/floppy有2个文件显示：backuplic.sh host-id idp.cfg idp.lic restorelic.sh 恢复License信息/mnt/floppy/restorelic.sh 检查License信息是否被恢复scio lic list 卸载软驱umount /mnt/floppy安装Sensor软件 备份License文件 将IDP Sensor的Appliance CD插入光驱，重新启动IDP设备reboot; reboot 按<Enter>键，开始初始化IDP sensor的安装 有直连的显示器和键盘的，安装结束后需要按<Enter>键通过Console端口的，安装过程将持续15mins 安装结束后，拿走CD并重新启动IDP IDP启动并校验所有运算进程是否正确，然后再次重新启动。可能要求你按<Enter>键 重启以后再次登录IDP，并配置管理端口 恢复license 文件。安装Manager Server 将IDP的Installation CD插入光驱 以root身份登录 加载光驱mount /mnt/cdrom 执行安装命令cd /mnt/cdrom/Mgt-Svr/Linux./mgtsvr_linux_2.1.sh 安装会自动开始安装客户端UI软件 以Administrator身份或root身份登录系统 插入IDP Installation CD安装软件 安装过程会自动开始，根据提示选择安装步骤 如果内存容量小于256M，请选择Optimized for Memory Usage常用的IDP CLI命令 scio lic list显示license的信息 sctop <s>显示当前Sensor的状态，包括软件版本信息等 /usr/idp/device/bin/idp.sh status|stop|start|restartIDP sensor的进程运行情况，包括可以停止、开始和重新启动该进程 /usr/idp/mgt-svr/bin/mgt-svr.sh status|stop|start|restartMgt-Svr的进程运行情况，包括可以停止、开始和重新启动该进程 /usr/idp/mgt-svr/utils/logViewer.sh在Sensor上的CLI下看Log记录5. 升级系统升级Management Server 得到IDP Management Server的软件（Lunix或是Solaris），合法用户可以从 站点上下载 拷贝Management Server文件到安装Management Server机器的/tmp目录下 Lunix : sh /tmp/mgtsvr_linux_2_1.shSolaris：sh /tmp/mgtsvr_solaris_2_1.sh 升级会自动开始，在升级结束以后，Management Server的服务会重新开始升级Sensor 得到IDP Sensor的软件，合法用户可以从 站点上下载 可以通过本地控制端口（IDP上连接键盘和显示器推荐）或SSH方式升级 拷贝Senor软件到安装IDP的/tmp目录下 执行： /tmp/sensor_2_1.sh 升级会自动进行，升级结束以后，重新启动IDP机器，升级后Sensor服务会重新开始升级客户端界面UI 得到UI的软件（Windows版本和Lunix版本），合法用户可以从 站点上下载Windows： 以Administrator身份登录Windows操作系统 执行： install_2_1.exe UI可以安装在XP、2000和NT的操作系统上，通常选择Optimized for Perfermance的选项，如果你的CPU处理能力够快 如果计算机的内存小于256M，选择Optimized for Memory UsageLinux： 拷贝文件到/tmp目录下 执行： ./tmp/install_2_1.bin 选择模式： Optimized for Memory Usage 选择浏览器目录： 修改当前目录到实际浏览器所在的目录 选择合适的浏览器选项以及名字更新攻击特征库（Attack Signatures） 在调试Security Policy之前首先升级Attack Signatures（2.1版Sensor） 采用自动在线升级的客户端升级攻击签名 在UI的菜单上选择Tools/àUpdate Attack 客户端会自动完成升级6. 系统配置初始化设置 以出厂方式启动IDP，根据提示输入信息eth2 IP address:Mask:Default route: 默认情况下，eth2的IP地址为192.168.1.1ACM配置Sensor 确定Sensor的工作模式 以HTTPS的方式连接到Eth2管理端口：https:/192.168.1.1 输入Username：admin；Password：abc123 按照ACM的安装指南逐步配置SensorSection配置信息Setup IDP sensor domain name IDP sensor root and admin passwords(abc123) Management Server password for UIMode Deloyment Mode: sniffer, router, bridge, or proxy-arp High availability enable/disableNetworkingIf you have chosen to enable high availability on the IDP appliance: Choose and configure the state-sync interface on the appliance Configure standalone high availabilitySystem Enable/disable SSH Enable/disable NTP Enable/disable DNS Set Time and Time Zone(Very Important)Management Management interface IP address IP address of the Managemnet Server for this Sensor Install Management Server Locally (Optional) VIN，OTP（One Time Password）Confirm and ExitView the current configuration, then: Save all changes Apply the configuration to the IDP applianceUI配置Mgt-svr 以admin的身份登录mgt-svr 在ObjectsNetwork Objects菜单下定义：IDP Sensor的IP地址（需要OTP，在ACM里设置）、常用主机地址、网段地址等 在Security Policy里，建立一个新的Policy 在logViewer里观察所记录的日志，这个过程需要在实际环境中持续一段时间如果有被识别的攻击，判断是否确实为攻击还是误报（即是否由于某些客户化的应用程序引起的）如果有被识别的Warnning警告，判断是否为新的攻击或Backdoor；如果不是，可以忽略；如果是，可以自建新的Attack Signature，并记录丢弃。 由Sniffer模式专为In-line的模式后，需要对已识别的攻击逐条添加Drop的动作。在添加了Drop动作而没有影响正常服务的情况下，可取消该规则的Log等功能。这个过程也需要一段实际运行的时间，而且需要持之以恒（即发现新的攻击，修改新的攻击，丢弃攻击）。 有关Attack Signature的编写，请参考IDP Attack Signature Guide。7. 注意事项安装过程 如果不在IDP Appliance上升级/安装软件的话，安装过程会中断并有错误提示信息 版本升级时，请先升级Mgt-Svr软件，再升级Sensor的软件 请保存好Appliance CD，如果有故障发生，可以重新安装系统 为慎重起见，需要备份License的信息并妥善保管 安装UI在XP操作系统上，在使用时容易出现蓝屏现象。选择IDP应用程序，点右键选择属性，降低该应用程序运行时的屏幕分辨率，可以消除该现象；在WIN2K上遇到该问题，可在显示属性里降低分辨率。使用过程 在UI里添加Sensor时，需要OTP参数；该参数在ACM里配置 Attack Signature在线升级时，需要保证安装UI的机器同Internet可达，Mgt-Svr同UI的机器网络可达 LogViwer中的告警信息的数目与实际的攻击包数量没有必然关系（IDP 2.1没有Log压缩设置，IDP 3.0提供客户化的Log参数设置以及Log压缩）