某入侵防御系统产品操作培训课件.pptx

1网络卫士入侵防御系统网络卫士入侵防御系统产品操作培训产品操作培训产品管理部产品管理部产品管理部产品管理部2 TopIDPTopIDP的产品简介的产品简介的产品简介的产品简介 TopIDP TopIDP的的的的安装安装安装安装 TopIDPTopIDP配置配置配置配置 TopIDPTopIDP的的的的常见问题（）常见问题（）常见问题（）常见问题（）内容内容3TopIDP2000-2205TopIDP2000-22051U机型，配备硬件加速卡：标配5个10/100BASE-TX端口（4个作两路IDP转发，1个管理端口）性能:200MbBypass、Inline切换开关：切换IDP转发端口Bypass、Inline状态USB口：USB key恢复口RST：重启设备IDPIDP转发端口转发端口转发端口转发端口指示灯指示灯指示灯指示灯管理端口管理端口管理端口管理端口USBUSB口口口口BypassBypass、InlineInline切换开关切换开关切换开关切换开关TopIDP产品简介RSTRST系列号：2000系列产品类型：低端产品扩展口数量：无扩展口端口数量：5个端口4TopIDP2000-2308TopIDP2000-23081U机型；标配8个10/100BASE-TX端口(4个作IDP转发，3个作通讯转发，1个管理端口）性能:400Mb 线速Bypass、Inline切换开关：切换IDP转发端口Bypass、Inline状态USB口：USB key恢复口RST：重启设备 IDPIDP转发端口转发端口转发端口转发端口指示灯指示灯指示灯指示灯防火墙端口防火墙端口防火墙端口防火墙端口管理端口管理端口管理端口管理端口USBUSB口口口口BypassBypass、InlineInline切换开关切换开关切换开关切换开关TopIDP产品简介RSTRST5TopIDP3000-3223TopIDP3000-32234U机型：标配2个千兆GBIC插槽3个10/100BASE-TX端口（2个作IDP转发，1个管理端口）性能:2000Mb 线速 Bypass、Inline切换开关：切换IDP转发端口Bypass、Inline状态USB口：USB key恢复口RST：重启设备IDPIDP转发端口转发端口转发端口转发端口LCDLCD管理端口管理端口管理端口管理端口USBUSB口口口口BypassBypass、InlineInline切换开关切换开关切换开关切换开关AUXAUXTopIDP产品简介RSTRST6 TopIDPTopIDP的产品简介的产品简介的产品简介的产品简介 TopIDPTopIDP的安装的安装的安装的安装 TopIDP TopIDP配置配置配置配置 TopIDPTopIDP的的的的常见问题（）常见问题（）常见问题（）常见问题（）内容内容7直通线直通线注：管理口必须接入网络才能进注：管理口必须接入网络才能进行邮件病毒过滤和在线升级行邮件病毒过滤和在线升级Swich、Hub管理机管理机硬件安装：硬件安装：TopIDP系统连线系统连线TopIDPTopIDP的安装的安装的安装的安装直通线直通线交叉线交叉线路由器、防火墙路由器、防火墙直通线直通线8直通线直通线注：管理口必须接入网络才能进注：管理口必须接入网络才能进行邮件病毒过滤和在线升级行邮件病毒过滤和在线升级Swich、Hub管理机管理机硬件安装：硬件安装：TopIDP系统连线系统连线TopIDPTopIDP的安装的安装的安装的安装光纤跳线光纤跳线直通线直通线路由器、防火墙路由器、防火墙光纤跳线光纤跳线9安装须知安装须知安装须知安装须知加电启动时，系统检测硬件pwr、err、log、chk灯会闪烁几次，启动完成后pwr灯常亮、系统有问题err灯常亮。系统出厂ip为192.168.1.254，出厂用户名：superman，出厂密码：talent11系统默认开放8、80端口，如果连接不正常，请尝试ping 192.168.1.254或telnet 192.168.1.254 80首次安装使用时，要将所有策略都配置上，响应方式设为检测并记录日志，试运行一周，每天观察并判断哪些是真正的攻击，哪些是误报，将误报的策略从策略组删除或进行调整TopIDPTopIDP的安装的安装的安装的安装10TopIDPTopIDP的安装的安装的安装的安装软件安装软件安装此时安装程序会检此时安装程序会检测是否已经安装过测是否已经安装过低版本的低版本的TopIDP客户端软件，如果客户端软件，如果安装过，安装程序安装过，安装程序会自动将其卸载，会自动将其卸载，软件安装后须重新软件安装后须重新启动计算机启动计算机11TopIDPTopIDP的安装的安装的安装的安装软件界面软件界面项目区：向用户提供类似资源管理器的树型列表 实时运行记录：当TopIDP系统截获与设置的安全策略相匹配的数据报文时，将在此窗口显示相应的信息 系统配置区：用户在导航菜单选择不同的菜单时，在右侧界面显示相应模块的配置信息，用户可以在此对配置信息进行查看、添加、修改、删除以及其他的管理工作 显示区：实时显示网络/端口/系统/邮件运行状况 开启实时记录查看功能 关闭实时记录查看功能 将窗口当前的记录全部清空 12 TopIDPTopIDP的产品简介的产品简介的产品简介的产品简介 TopIDPTopIDP的安装的安装的安装的安装 TopIDP TopIDP配置配置配置配置 TopIDPTopIDP的的的的常见问题（）常见问题（）常见问题（）常见问题（）内容内容13基本配置基本配置基本配置基本配置网络、网络组对象管理时间对象管理用户、用户组对象管理（用户名）报警对象管理路由、NAT、端口转换设置接口地址设置检测&阻断策略设置查看综合报表查看详细日志、系统日志查看配置日志、认证日志、完整性检查日志14网络、网络组对象管理网络、网络组对象管理网络、网络组对象管理网络、网络组对象管理网络、网络组对象管理网络、网络组对象管理网络、网络组对象管理网络、网络组对象管理掩码方式可以对独立网段的每个分掩码方式可以对独立网段的每个分掩码方式可以对独立网段的每个分掩码方式可以对独立网段的每个分段段段段/特定主机进行限定。掩码方式特定主机进行限定。掩码方式特定主机进行限定。掩码方式特定主机进行限定。掩码方式下下下下ipip地址数量由子网掩码值决定，地址数量由子网掩码值决定，地址数量由子网掩码值决定，地址数量由子网掩码值决定，图中所示设定确定后将自动变更为图中所示设定确定后将自动变更为图中所示设定确定后将自动变更为图中所示设定确定后将自动变更为192.168.1.0192.168.1.0网段，而不是网段，而不是网段，而不是网段，而不是192.168.1.100192.168.1.100的的的的IPIP或特定网段的每个组或特定网段的每个组或特定网段的每个组或特定网段的每个组掩码方式可以对特定网掩码方式可以对特定网掩码方式可以对特定网掩码方式可以对特定网段的每个组进行限定段的每个组进行限定段的每个组进行限定段的每个组进行限定15时间对象管理时间对象管理时间对象管理时间对象管理时间对象管理时间对象管理时间对象管理时间对象管理星期选项条目与日期选项相对应16用户、用户组对象管理用户、用户组对象管理用户、用户组对象管理用户、用户组对象管理用户、用户组对象管理用户、用户组对象管理用户、用户组对象管理用户、用户组对象管理用户密码前两位必须为字母，且密码至少要用户密码前两位必须为字母，且密码至少要用户密码前两位必须为字母，且密码至少要用户密码前两位必须为字母，且密码至少要包含两位数字，新建用户密码可以为空，但包含两位数字，新建用户密码可以为空，但包含两位数字，新建用户密码可以为空，但包含两位数字，新建用户密码可以为空，但是空密码用户不能使用，新建用户必须添加是空密码用户不能使用，新建用户必须添加是空密码用户不能使用，新建用户必须添加是空密码用户不能使用，新建用户必须添加用户权限后才能登录用户权限后才能登录用户权限后才能登录用户权限后才能登录用户的用户的用户的用户的IDID名称，可以使用最多名称，可以使用最多名称，可以使用最多名称，可以使用最多 2020个大写或个大写或个大写或个大写或小写字母来命名，不能含有小写字母来命名，不能含有小写字母来命名，不能含有小写字母来命名，不能含有“/;:/;:*?+=*?+=”字符，含有这些字符时字符，含有这些字符时字符，含有这些字符时字符，含有这些字符时无法完成输入无法完成输入无法完成输入无法完成输入 对用户按照属性进行分类管理时需对用户按照属性进行分类管理时需对用户按照属性进行分类管理时需对用户按照属性进行分类管理时需要输入，否则无法在系统管理处查要输入，否则无法在系统管理处查要输入，否则无法在系统管理处查要输入，否则无法在系统管理处查看该用户相关属性及策略看该用户相关属性及策略看该用户相关属性及策略看该用户相关属性及策略 为了密码的安全有必要周期性的进为了密码的安全有必要周期性的进为了密码的安全有必要周期性的进为了密码的安全有必要周期性的进行修改密码。指定期限后，如过了行修改密码。指定期限后，如过了行修改密码。指定期限后，如过了行修改密码。指定期限后，如过了期限将不能再使用该期限将不能再使用该期限将不能再使用该期限将不能再使用该IDID。选择。选择。选择。选择“终终终终止止止止”时可以设定该用户的有效期时可以设定该用户的有效期时可以设定该用户的有效期时可以设定该用户的有效期“无效无效无效无效(A)(A)”是指该用户不能使用。是指该用户不能使用。是指该用户不能使用。是指该用户不能使用。“锁定锁定锁定锁定(L)(L)”是当用户的识别出现问题是当用户的识别出现问题是当用户的识别出现问题是当用户的识别出现问题时，只有管理员解除锁定才能再次使时，只有管理员解除锁定才能再次使时，只有管理员解除锁定才能再次使时，只有管理员解除锁定才能再次使用用用用 如果想用电子邮件接收报警信息，如果想用电子邮件接收报警信息，如果想用电子邮件接收报警信息，如果想用电子邮件接收报警信息，就要在就要在就要在就要在 E-mail(E)E-mail(E)里输入电子里输入电子里输入电子里输入电子邮件的地址邮件的地址邮件的地址邮件的地址 17报警对象管理报警对象管理报警对象管理报警对象管理报警对象管理报警对象管理报警对象管理报警对象管理TopIDPTopIDP目前支持声音报目前支持声音报目前支持声音报目前支持声音报警、屏幕报警及邮件报警警、屏幕报警及邮件报警警、屏幕报警及邮件报警警、屏幕报警及邮件报警三种报警方式三种报警方式三种报警方式三种报警方式硬盘空间不足报警硬盘空间不足报警硬盘空间不足报警硬盘空间不足报警数据完整性破坏报警数据完整性破坏报警数据完整性破坏报警数据完整性破坏报警用户登录异常报警用户登录异常报警用户登录异常报警用户登录异常报警HAHA时备机切换成主时备机切换成主时备机切换成主时备机切换成主机时报警机时报警机时报警机时报警HAHA时主机切换成备时主机切换成备时主机切换成备时主机切换成备机时报警机时报警机时报警机时报警自动备份报警自动备份报警自动备份报警自动备份报警Bypass-inlineBypass-inline状状状状态切换报警态切换报警态切换报警态切换报警18路由设置路由设置路由设置路由设置路由设置路由设置路由设置路由设置（仅适用于（仅适用于（仅适用于（仅适用于TopIDP2308TopIDP2308）添加添加添加添加WANWAN、LANLAN、DMZDMZ口口口口IPIP后相关路由后相关路由后相关路由后相关路由自动生成无需设置自动生成无需设置自动生成无需设置自动生成无需设置19NATNAT设置设置设置设置NATNAT设置设置设置设置（仅适用于（仅适用于（仅适用于（仅适用于TopIDP2308TopIDP2308）LANLAN访问外网必须设访问外网必须设访问外网必须设访问外网必须设置置置置NATNAT20端口转换设置端口转换设置端口转换设置端口转换设置端口转换设置端口转换设置端口转换设置端口转换设置（仅适用于（仅适用于（仅适用于（仅适用于TopIDP2308TopIDP2308）WANWAN访问必须访问必须访问必须访问必须设置端口转换设置端口转换设置端口转换设置端口转换21接口地址设置接口地址设置接口地址设置接口地址设置接口地址设置接口地址设置接口地址设置接口地址设置设置防火墙WAN、LAN、DMZ口时需设置网口MAC地址，否则无法使用，MAC地址前6位为0，后6位自己定义防火墙WAN、LAN、DMZ最多可以设置4个IP地址管理口必须设好默认网关、DNS服务器并能连通internet才能够进行在线升级、注册、邮件病毒过滤管理口只能设置一个IP地址，添加新的IP地址须删除原IP地址22检测阻断设置检测阻断设置检测阻断设置检测阻断设置检测阻断设置：界面检测阻断设置：界面检测阻断设置：界面检测阻断设置：界面选择策略生效的模块和端口，可以选择某个特定的端口或几个端口的组合设置检测数据的源与目的网络，可以选择网络对象或网络组，无效的网络组无法应用设置应用的策略对象，可以选择策略对象或策略组对象，无效的策略组无法应用响应方式可以选择检测、阻断、检测并记录日志、阻断并记录日志、检测并记录数据、阻断并记录数据，其中检测、阻断不记录日志也不记录数据包，检测并记录日志与阻断并记录日志仅记录日志，不记录数据包，检测并记录数据与阻断并记录数据不仅记录日志，而且记录数据包设置策略的生效时段新策略添加后必须保存、应用后才能生效系统调试信息设置某条策略的颜色23查看综合报表查看综合报表综合报表分类综合报表分类l标准报表l时间段报表l日报表l周报表l月报表综合报表的分类综合报表的分类综合报表的分类综合报表的分类24查看综合报表查看综合报表标准报表分为以下几种：l网络使用情况（Mbps）l网络使用情况（帧）l字节分类报表l允许帧和阻断帧变化报表l病毒报表标准报表标准报表标准报表标准报表25查看综合报表查看综合报表时间段报表分为以下几种：lTop10攻击类型lTop10受攻击主机lTop10攻击者lTop10病毒类型lTop10接收病毒邮件地址lTop10发送邮件病毒地址时间段报表时间段报表时间段报表时间段报表26查看综合报表查看综合报表日报表分为以下几种：l攻击事件/流量lTop10攻击类型lTop10受攻击主机lTop10攻击者lTop10病毒类型lTop10接收病毒邮件地址lTop10发送病毒邮件地址l事件数量和上一天相比日报表日报表日报表日报表27查看综合报表查看综合报表周报表分为以下几种：l攻击事件/流量l事件数量和上周相比周报表周报表周报表周报表28查看综合报表查看综合报表月报表分为以下几种：l所有检测/阻断列表l按照类型阻断/检测个数l按照类型阻断/检测流量月报表月报表月报表月报表29查看详细日志、系统日志查看详细日志、系统日志详细日志：是在检测&阻断的响应方式中选择了记录所有数据时，流经IPS的数据在符合条件时记录的数据。邮件日志：病毒邮件记录详细日志、邮件日志详细日志、邮件日志详细日志、邮件日志详细日志、邮件日志30查看详细日志、系统日志查看详细日志、系统日志系统日志包含以下几种：l邮件日志：正常邮件日志l引擎管理：硬件加速卡启动停止日志l日志信息：系统启动关闭日志l自动备份：详细日志、邮件日志自动备份时的日志l报警信息：报警日志系统日志系统日志系统日志系统日志31查看配置日志、认证日志、完整性检查日志查看配置日志、认证日志、完整性检查日志查看配置日志、认证日志、完整性检查日志查看配置日志、认证日志、完整性检查日志配置日志包含配置记录及自动更新日志两种，其中配置记录包含配置菜单中的操作及工具菜单中选项菜单中的操作，实时更新日志记录系统升级信息。认证日志包含用户登录、注销的记录信息完整性日志包含手动完整性检查的日志和自动完整性检查的日志配置日志、认证日志、完整性检查日志配置日志、认证日志、完整性检查日志配置日志、认证日志、完整性检查日志配置日志、认证日志、完整性检查日志32高级配置高级配置高级配置高级配置l自定义策略l恢复出厂配置l异常配置lSyslog配置33自定义策略自定义策略自定义策略自定义策略深度转向代理服务器，仅邮件病毒过滤时需要目前仅支持TCP、UDP、ICMP协议内容过滤，7层过滤时需设置34偏移：54，深度：0，内容（攻击特征）：5F75702E657865，长度7 自定义策略自定义策略自定义策略自定义策略目的端口：5554，源端口使用默认1024-65635即可，长度：默认0-6553535恢复出厂配置恢复出厂配置恢复出厂配置恢复出厂配置USB key恢复内容：1）出厂IP地址：192.168.1.2542）superman密码3）inbound、outbound设置注意事项：启动后第一次恢复时，插入USB key即可，第二次恢复时需重新启动系统，待系统启动完成后插入USB key即可。配置中所有选项工具菜单中内容变更管理口IP地址、日志36异常配置异常配置异常配置异常配置异常配置：1）针对源主机、目的主机及TCP、UDP、ICMP协议配置Dos/DDos检测策略以及处理方式2）设置针对某台主机或某个网络的某个策略的异常例外处理阻断、检测、限制流量Summary log（在日志中仅记录流量统计信息）、Detail log（在日志中记录流量详细信息）、Packet Dump（对流量数据包进行转储到详细日志）37syslogsyslog配置配置配置配置配置Syslog服务器设置配置完成后点击确定系统即可发送syslog日志38 TopIDPTopIDP的产品简介的产品简介的产品简介的产品简介 TopIDPTopIDP的安装的安装的安装的安装 TopIDP TopIDP详细配置详细配置详细配置详细配置 TopIDPTopIDP的的的的常见问题（）常见问题（）常见问题（）常见问题（）内容内容39Q：设备无法ping通，且telnet也无法连接时怎么办？A：首先检查系统的网络连线是否正确，如果连接正确，请尝试使用USB key恢复系统出厂IP，恢复方法参考，恢复出厂设置项。如果恢复出厂IP后仍然无法ping通，请将问题设备返厂维修。Q：TopIDP能不能拦截未知攻击？A：可以。我们的产品对未知攻击的防御是采用异常设置，设置之后，正常的数据包可以通行，非正常数据包则被拦截。TopIDPTopIDP的常见问题（）的常见问题（）的常见问题（）的常见问题（）40Q：为什么不能在线升级？A：1、检查工具选项实时更新选项中的策略是否打勾，升级服务器设置是否正确；2、检查工具选项系统选项的出站连接的TCP80端口和TCP3939端口是否打开。Q：为什么新添加策略后无法应用到系统？A：应该是新添加的策略有无效项导致的。解决方法：1、检查源、目的网络或网络组是否有效；2、检测策略组是否有效。TopIDPTopIDP的常见问题（）的常见问题（）的常见问题（）的常见问题（）41谢谢！谢谢！