DPtech IPS2000系列入侵防御系统维护手册.doc

《DPtech IPS2000系列入侵防御系统维护手册.doc》由会员分享，可在线阅读，更多相关《DPtech IPS2000系列入侵防御系统维护手册.doc（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-作者xxxx-日期xxxxDPtech IPS2000系列入侵防御系统维护手册【精品文档】DPtech IPS2000维护手册杭州迪普科技有限公司2011年07月【精品文档】目 录DPtech IPS2000维护手册1第1章 常见维护事项1 系统基本维护1 日常故障维护1 数据备份管理1 补丁升级管理2第2章 应急处理方案4 运输导致设备无法启动4 互联网访问异常4 集中管理平台无相关日志4 设备工作不正常4 应急步骤5第3章 功能项6 用户名/密码6 管理员6 WEB访问6 接口状态7 数据互通7 日志信息7第4章 其他9 注册与申请9 升级与状态9第5章 FAQ12 入门篇12 进阶篇1

2、3第1章 常见维护事项1.1 系统基本维护 入侵防御系统应该指派专人管理、维护，管理员的口令要严格保密，不得泄露 入侵防御系统管理员应定期查看统一管理中心（UMC）和入侵防御系统（IPS）的系统资源(包括内存/CPU/外存)，确认运行状况是否正常 入侵防御系统管理员应定期检查“严重错误”以上级别的系统日志，发现入侵防御系统的异常运行情况 入侵防御系统管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删除策略，删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对此应立即上报并修改密码 入侵防御系统管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进行追踪(例如部分时间段

3、异常攻击等),并出具安全运行报告 入侵防御系统管理帐号用户名：admin，初始口令admin，首次使用需修改，并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 统一管理中心服务器无法登录，请检查能否PING通统一管理中心服务器，其相关服务（UMC数据库服务、UMC Web服务、UMC后台服务）是否启动，管理端口80是否一致 统一管理中心服务器上网络流量快照或IPS攻击日志无法生成，先检查端口9502、9516、9514是否开放，入侵防御系统的日志发送配置是否正确，再用抓包工具检查入侵防御系统是否发送日志 入侵防御系统无法登录，请检查入侵防御系统

4、的IP是否可以Ping通，同时检测端口80是否开放1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储 统一管理中心服务器的磁盘告警阀值默认为2G，当系统可用磁盘空间小于2G时，会进行自动告警，这时需要进行数据库压缩和数据备份1.4 补丁升级管理 迪普将不定期在迪普官方网站（）发布设备最新的软件版本，可自行下载，并升级 协议库升级，在设备已存在该特征库的License的情况下，可采用手动升级（迪普官方网站下载）或自动升级（前提是设备可访问迪普官方网站的链接，若不具备此条件，则需采用手动升级） 【软件版本】升级

5、操作说明：（1）首先从迪普官方网站或迪普技术支持人员获取最新的软件版本。（2）通过WEB界面登录设备，选择【基本】=【系统管理】=【软件版本】，如图所示： 点击文件路径后的【浏览】按钮，本地选中要下载的软件版本，点击【下载软件版本】按钮 下载的配置文件出现在列表中，鼠标移动到下次启动的软件版本后的软件版本时会变成铅笔图标 点击鼠标左键，出现软件版本的下拉列表 选择下次启动时需要的版本，即下载的软件版本 修改完毕后，点击确认按钮 （3）登录设备在设备在【设备管理】=【设备信息】界面查看软件版本升级成功。 【协议库】手动升级操作说明：（1）在设备协议库授权未过期的前提下，从迪普官方网站获取最新的协

6、议库。（2）通过WEB界面登录设备，选择【基本】=【系统管理】=【特征库】=【XXX特征库】，如下图所示： 点击浏览按钮； 选择下载升级包的路径； 设置完毕，点击右方的确定按钮。 （3）协议库在升级过程中将显示进度信息，如下图所示：最后，系统将提示升级完成。第2章 应急处理方案2.1 运输导致设备无法启动设备加电一段时间后，系统无法正常启动（包括电源指示灯灭，电源指示灯亮/其他指示灯灭，RUN灯常亮或者快闪）。更换电源线确保其正常，若仍存在同样问题，则需更换硬件设备。2.2 互联网访问异常接口指示灯是否正常闪烁若接口指示灯不亮，检查连接线是否松动，且通过Web页面查看接口管理状态与链路状态是否

7、正常若接口指示灯闪烁，通过Web页面查看接口收发数量是否正常若不存在上述问题时，在【网络管理】-【软件bypass】中，启用bypass（此状态下，流量不匹配安全策略，直接转发），判断是否是安全策略导致在有内置断电保护，或有外置断电保护PFP情况下，可直接切换到保护状态，排查网络异常是否产生于本设备2.3 集中管理平台无相关日志安装集中管理平台客户端后，双击任务栏的集中管理平台图标，查看数据库服务、web服务、后台服务是否正常，若不正常则重新启动PC或卸载重新安装（注意：设置本地安全控件允许集中管理平台安装的各个细节，如360安全卫士等）检查集中管理平台的License是否正常导入、运行状态是

8、否正常（正常登录web网管）、本地防火墙是否关闭、入侵防御设备与集中管理平台间是否有防火墙未开启相应端口（9502、9514等）；入侵防御设备与集中管理平台之间网络是否正常，入侵防御设备是否配置了各种审计策略，入侵防御设备配置是否正常通知到集中管理平台上检查流量是否流经设备，查看设备接口统计数据2.4 设备工作不正常双机热备工作不正常，主机设备宕机之后，备机设备无法正常工作，需要查看备机是否加电，备机电源指示灯是否亮，备机接口状态是否正常（接口指示灯是否亮、闪烁），是否可以正常登录备机设备断电保护工作不正常，先将连接线切换到之前状态，将断电保护模块旁路，若网络正常，则说明断电保护模块损坏，需更

9、换断电保护模块；若网络仍不正常，需进行网络排查冗余电源工作不正常，查看电源指示灯是否亮，若不亮，则需更换硬件设备2.5 应急步骤若网络无法无法短期恢复，则应优先保障用户网络，确保用户正常上网不受影响在有内置断电保护或外置断电保护PFP情况下，手动启动断电保护（内置-设备断电启动，外置-手动断开PFP与设备的USB连接线）。若网络恢复正常，则为设备故障，需优先保障流量，线下定位排查；若网络未恢复正常，则非设备故障设备发生故障后并在内/外置保护流量情况下，拨打公司售后电话，联系相关人员进行定位和解决故障解决后，设备重新上线，并观察第3章 功能项3.1 用户名/密码 IPS设备，初始IP地址为192

10、.168.0.1，用户名admin，密码admin UMC软件：初始用户名admin，密码UMCAdministrator首次使用请更改，并定期维护3.2 管理员 管理员设置，添加管理员；防止“admin”管理员被恶意尝试而锁定3.3 WEB访问 访问协议设置，配置HTTP及HTTPS参数（注意：重启后生效）3.4 接口状态 注意接口协商状态，及转发数据是否正常。当上下行设备发生变化时，必须查看3.5 数据互通 在【网络管理】-【诊断工具】中，验证网络畅通性（如：IPSUMC可达）3.6 日志信息 如：流量分析第4章 其他4.1 注册与申请 查看设备包装箱内License授权序列号，或在WEB

11、首页中查看设备序列号 打开UMC的WEB页面，进入“License管理-申请License”，输入相关信息，并保存此文件 登陆迪普官方网站，输入相关信息，申请相应License4.2 升级与状态 查看设备状态 导入License文件 导入相应特征库 升级软件版本，导入后，选为“下次启动使用的软件版本”后，重启设备即可 查看系统、操作日志，查询告警及可疑日志 查看UMC本地信息第5章 FAQ5.1 入门篇1、 为什么配置了管理地址IP，PC却Ping不通？ 在同网段中，PC的IP地址与配置管理IP地址必须同属这一网段；在不同网段中，需要在IPS设备上添加相应的路由，确保与PC连通。2、 在WEB

12、界面上直接对管理口的设置修改，会有什么结果？ 会导致当前WEB界面down掉，无法继续进行任何操作。需要访问改后的IP地址，或者可通过console口，进入到相应的管理口下，以命令的方式对管理口，重新配置合理的参数。3、 需要升级软件版本情况下，下载完软件版本并指定后，是否需要重启？ 需要重启。4、 当设备异常断电时，之前在WEB界面上的配置是否保存？ 保存，设备开启的情况下，对于操作与配置都是时时保存的。5、 设备上的USB接口做什么用的？ 外置断电保护PFP，以及3G扩展。6、 我有特征库文件，为什么不能升级？ 需事先导入相应License。7、 已将软件版本导入设备的CF卡中，为什么重启

13、后不能加载该版本？ 须将该版本状态选为“使用中”才可。8、 设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么？ 在无手动删除的情况下，查看是否超过了保存该日志的时间。9、 输出到UMC的业务日志和流量分析的端口号是什么？ 业务日志是9514，流量分析是9502。10、 为什么配置策略的时候，优先使用指定用户组，而不用All users？ 做到对业务的细化，同时过滤多余信息。5.2 进阶篇1、 接入设备后，发现接口协商成半双工产生丢包，怎么办？ 需要双方都强制相应的速率和双工状态。2、 如果IPS与UMC系统时间间隔过大，有何影响？ UMC产生的日志会有相应的滞后，建议安装UMC后，

14、立即开启时间同步功能 。3、 如何跨网段对设备进行管理？ 添加默认路由，或指定路由。4、 我开启了特征库自动升级，为什么没有生效？ 在License有效的情况下，确定设备可以直接连入网络。（使用诊断工具Ping外网IP地址，当路由不通、需要认证、各种访问控制限制下，均不可自动升级）5、 如何使得限速效果更明显（P2P和多媒体）？ 双向均配置策略。 细化被限速的应用。6、 如何快速诊断UMC的运行状态？ 在设备已配置了流量分析、业务日志发送到UMC，且参数正确情况下，双击Windows系统任务栏上的UMC客户端，可直接查看UMC运行状态。 查看UMC的设备管理中，是否有IPS设备信息。（若无设备信息，需手动添加） 在IPS配置正常，且已经触发业务日志或者流量分析，但UMC没日志情况下。使用抓包工具，查看安装UMC服务器上的网卡是否收到了9514或者9502的报文：有报文，则需排查是否是本地防火墙等安全类软件导致；无报文，查看IPS到UMC的链路情况（路由，访问控制策略等）。