DPtechIPS2000系列入侵防御系统培训胶片

D P t e c h I P S2000系列入侵防御系统测试方案资料精品好资料-如有侵权请联系网站删除DPtech IPS2000测试方案杭州迪普科技有限公司2011年07月目录DPtech IPS2000测试方案 (2)第1章产品介绍 (1)第2章测试计划 (3)2.1测试方案 (3)2.2测试环境 (3)2.2.1 透明模式 (3)2.2.2 旁路模式 (4)第3章测试内容 (5)3.1功能特性 (5)3.2响应方式 (5)3.3管理特性 (5)3.4安全性 (6)3.5高可靠性 (6)第4章测试方法及步骤 (7)4.1功能特性 (7)4.1.1 攻击防护 (7)4.1.2 防病毒 (9)4.1.3 访问控制 (11)4.1.4 最大连接数与DDoS (12)4.1.5 黑名单功能 (13)4.2响应方式 (14)4.2.1 阻断方式 (14)4.2.2 日志管理 (15)4.3管理特性 (16)4.3.1 设备管理 (16)4.3.2 报表特性 (17)4.4安全特性 (18)4.4.1 用户的安全性 (18)4.4.2 设备的安全性 (20)第5章测试总结 (22)第1章产品介绍随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

DPtech IPS2000测试方案杭州迪普科技有限公司2011年07月目录DPtech IPS2000测试方案 (1)第1章产品介绍 (1)第2章测试计划 (2)2.1测试方案 (2)2.2测试环境 (2)2.2.1 透明模式 (2)2.2.2 旁路模式 (3)第3章测试内容 (4)3.1功能特性 (4)3.2响应方式 (4)3.3管理特性 (4)3.4安全性 (5)3.5高可靠性 (5)第4章测试方法及步骤 (6)4.1功能特性 (6)4.1.1 攻击防护 (6)4.1.2 防病毒 (8)4.1.3 访问控制 (10)4.1.4 最大连接数与DDoS (11)4.1.5 黑名单功能 (12)4.2响应方式 (13)4.2.1 阻断方式 (13)4.2.2 日志管理 (14)4.3管理特性 (15)4.3.1 设备管理 (15)4.3.2 报表特性 (16)4.4安全特性 (17)4.4.1 用户的安全性 (17)4.4.2 设备的安全性 (19)第5章测试总结 (21)第1章产品介绍随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

DPtech IPS2000开局指导杭州迪普科技有限公司2011年07月目录DPtech IPS2000开局指导 (1)第1章前期调研 (1)1.1调研内容 (1)1.2确定部署方案 (2)第2章实施步骤 (3)2.1准备工作 (3)2.2部署条件 (3)2.3安装断掉保护PFP（如需安装） (3)2.4实施方案 (4)2.4.1 基本配置方案1-旁路部署 (4)2.4.2 基本配置方案2-透明部署 (8)2.4.3 基本配置方案3-混合部署 (11)2.4.4 扩展配置 (12)2.4.5 高级配置 (13)2.4.6 其他配置 (14)第3章实施注意事项 (18)第1章前期调研1.1 调研内容1.2 确定部署方案根据调研及交流的结果，确定物理部署位置、逻辑部署位置、开启功能策略等第2章实施步骤2.1 准备工作向用户介绍入侵防御系统实施内容、产品与用户沟通入侵防御系统实际部署时间2.2 部署条件设备正常启动连接线（双绞线、光纤等）正常可用部署机柜满足部署条件（机柜空间、插座数、功率载荷）管理地址已分配，且满足互通等要求确定部署方式（组网模式、部署链路数）2.3 安装断掉保护PFP（如需安装）将PFP插卡板安装在PFP主机上将内网连接线（如SW引出）连接至PFP“1”口，外网连接线（如FW引出）连接至PFP“4”口，流量于1——4间物理透传，此时验证网络畅通性PFP插板“2、3”口平行连接IPS主机“A、B”口，即实施后的流量流向应为：局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网，链路上下行连接错误，会导致日志分析异常此时切忌连接PFP主机与IPS主机的“USB”连接线，需完成全部功能配置后，再连接“USB”连接线2.4 实施方案2.4.1 基本配置方案1-旁路部署组网拓扑图注意：此模式下只做检测，不做控制PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：admin在【网络管理】->【组网模式】中，修改某一接口对组网模式为“旁路模式”注意：如上图所示，eth1/0与eth1/1接口对组网模式改为旁路模式后，此接口将无接口对概念，eth1/0与eth1/1独立存在，且均可作为旁路检测接口在【网络管理】->【网络用户组】中，添加IP用户组如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514）在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC 安装服务器的IP地址，PORT：9502）在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator在【设备管理】->【设备列表】中，添加IPS设备在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计）在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看）2.4.2 基本配置方案2-透明部署PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：admin在【网络管理】->【网络用户组】中，添加IP用户组如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514）在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC 安装服务器的IP地址，PORT：9502）在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator在【设备管理】->【设备列表】中，添加IPS设备在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计）在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看）2.4.3 基本配置方案3-混合部署如上图所示，eth1/0与eth1/1为旁路模式，可独立做旁路检测（IDS）；eth1/2与eth1/3，eth1/4与eth1/5为在线模式，存在接口对概念，可做在线检测（IPS）；即实现了同时在线检测与旁路检测的混合模式2.4.4 扩展配置【防病毒】，在【常用功能】->【防病毒】中，添加防病毒策略；下图策略为：从eth1/0与eth1/1接口流入的流量，进行防病毒策略的安全匹配（流行度概念，请参见用户手册）【带宽限速】，在【扩展功能】->【应用防火墙】->【网络应用带宽限速】中，添加带宽限速策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，P2P限速5000kbps（注意单位）；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，P2P限速5000kbps（注意单位）【访问控制】，在【扩展功能】->【应用防火墙】->【网络应用访问控制】中，添加访问控制策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，阻断网络应用-即时通讯；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，阻断网络应用-即时通讯【URL】，在【扩展功能】->【应用防火墙】->【URL过滤】中，添加URL过滤策略；下图策略为：从eth1/0接口流入，且源IP组为test的流量，对主机名为的URL进行过滤2.4.5 高级配置端口捆绑（注意：虚接口绑定遵循上下行，即上行口不能与下行口绑定）自定义IPS特征（根据报文参数，自定义设置IPS特征，并引入到IPS策略）带宽限速/访问控制自定义应用组（创建自定义网络应用组后，可应用到带宽限速/访问控制策略中）URL分类库及推送配置（注意：此功能在有URL License，且已经导入URL特征库的情况下，方可使用）2.4.6 其他配置添加管理员，并设置管理权限设置Web访问协议参数导入/出配置文件，需重启（推荐在同一软件版本下使用）修改接口同步状态（注意：当开启接口同步状态下，当接口对中的eth1/0口down后，在数秒种后，eth1/1口的管理状态会dwon，如恢复管理状态需在console口下操作，重新no shutdown该接口状态）创建IP用户组，IP用户群，IP用户簇（IP可实现分级管理，并应用到策略）Web页面修改管理口地址软件bypass，开启后流量不做安全检测（VIP流量概念，请参见用户手册）黑名单基础DDos配置（添加防护网段配置后，根据网络情况，下发DDos防护策略）基本攻击防护策略第3章实施注意事项管理服务器的安全性管理服务器安装Windows2003 Server或者Windows2008操作系统后，管理员一定要确保对Windows进行重要安全补丁修补，规范操作系统口令和密码设置，保证正常启动运行。

⏹ 最全面的一体化安全设备，提供L2~7全面安全防护为了更好的应对混合型攻击，DPtech UTM2000采用L2~7融合操作系统ConPlat ，具备防火墙、入侵防御、防毒墙、内容过滤等诸多功能，是目前业界功能最丰富的UTM 产品，能够为用户提供L2~7完全融合的防御效果。

⏹ 采用先进的多核硬件架构，多种业务并行线速处理DPtech UTM2000基于迪普科技高性能硬件架构APP-X ，即使多功能开启、特征库增加，也不会影响设备性能和网络时延。

⏹ 有线无线一体化解决方案，提供多样的接入方式DPtech UTM2000支持有线无线一体化，通过WiFi 和3G 网络，可以提供全面的无线网络安全防护以及线路备份解决方案，帮助用户实现降低建设成本、简化网络结构、易于管理等需求，是用户综合安全保障的最佳选择。

⏹ 专业的特征库团队，特征库自动升级，持续安全防护迪普科技拥有一支专业的特征库团队，实时跟踪网络安全领域的最新动态，提供应用识别与威胁特征库APP-ID ，设备可及时自动升级，能够为用户网络提供实时的防御能力。

⏹ 丰富的防火墙功能DPtech UTM2000 支持先进的应用防火墙技术，可以提供灵活的安全区域隔离功能，能够按区域进行重点安全防护，并且支持NAT 、虚拟防火墙、MCE 等功能。

⏹ 全内置IPSec VPN 、SSL VPN 硬件加密 面对用户分支互联、移动办公的需求，DPtech UTM2000全内置IPSec VPN 、SSL VPN 硬件加解密功能，在简化网络结构的基础上，极大的提升了用户网络安全建设的性价比。

⏹ 专业的系统漏洞防护，实现虚拟软件补丁技术DPtech UTM2000 通过分析漏洞攻击产生原理，定义攻击类型的统一特征，可以不受攻击变种的影响，并且采用虚拟补丁技术，极大减少了网络运维人员的工作量。

⏹ 专业的防病毒引擎，可防御各类病毒采用专业病毒库，并且支持新一代虚拟脱壳和行为判断技术，可以准确查杀文件型、网络型和混合型等各类病毒。

DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

DPtech IPS2000系列入侵防御系统安装手册杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。

杭州迪普科技有限公司地址：杭州市滨江区通和路68号中财大厦6层邮编：310052声明Copyright2009杭州迪普科技有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录第1章产品介绍11.1产品概述1 1.2产品型号及规格介绍1 1.3前后面板介绍4 1.3.1IPS2000-MC-N产品外观4 1.3.2IPS2000-ME-N产品外观6 1.3.3IPS2000-GA-N产品外观8 1.3.4IPS2000-TS-N产品外观11 1.3.5IPS2000-GA-E产品外观13 1.3.6IPS2000-TM-E产品外观16 1.4端口介绍19 1.4.1C ONSOLE口19 1.4.210/100/1000B ASE-T以太网电接口20 1.4.3SFP口21 1.5产品组件24 1.5.1处理器及存储器24 1.5.2各类接口24第2章安装前的准备12.1通用安全注意事项1 2.2检查安装场所1 2.2.1温度/湿度要求1 2.2.2洁净度要求2 2.2.3防静电要求2 2.2.4抗干扰要求3 2.2.5防雷击要求3 2.2.6接地要求3 2.2.7布线要求3 2.3安装工具第3章设备安装13.1安装前的确认1 3.2安装流程2 3.3安装设备到指定位置2 3.3.1安装设备到工作台3 3.3.2安装设备到19英寸机柜4 3.4连接接地线5 3.5连接接口线缆6 3.5.1连接配置口线缆6 3.5.2连接网络管理口6 3.5.3连接业务口7 3.6连接电源线7 3.7安装后检查7第4章设备启动及软件升级14.1设备启动1 4.1.1搭建配置环境1 4.1.2设备上电4 4.1.3启动过程5 4.2W EB默认登录方式6第5章常见问题处理15.1电源系统问题故障处理1 5.2设备故障处理1图形目录图1-1IPS2000-MC-N前视图4图1-2IPS2000-MC-N前面板指示灯6图1-3IPS2000-MC-N后视图6图1-4IPS2000-ME-N前视图7图1-5IPS2000-ME-N前面板指示灯8图1-6IPS2000-ME-N后视图8图1-7IPS2000-GA-N前视图9图1-8IPS2000-GA-N前面板指示灯10图1-9IPS2000-GA-N后视图10图1-10IPS2000-TS-N前视图11图1-11IPS2000-TS-N前面板指示灯13图1-12IPS2000-TS-N后视图13图1-13IPS2000-GA-E前视图14图1-14IPS2000-GA-E前面板指示灯15图1-15IPS2000-GA-E后视图15图1-16IPS2000-TM-E前视图17图1-17IPS2000-TM-E前面板指示灯19图1-18IPS2000-TM-E后视图19图1-19RJ45水晶头外观21图1-20以太网电缆的示意图21图1-21LC型连接器外观23图1-22SC型连接器外观23图1-23光模块示意图23图1-24IPS2000-MC-N以太网接口25图1-25IPS2000-ME-N以太网接口25图1-26IPS2000-GA-N以太网接口25图1-27IPS2000-TS-N以太网接口27图1-28IPS2000-TM-E以太网接口28图3-1设备安装流程2图3-2安装设备于工作台4图3-3安装挂耳4图3-4安装设备到机柜（为清晰起见省略了机柜）4图3-5固定设备图3-6连接接地线示意图图3-7连接保护地线到接地排6图4-1通过Console口进行本地配置示意图1图4-2超级终端连接描述界面1图4-3超级终端连接使用串口设置2图4-4串口参数设置3图4-5超级终端窗口3图4-6终端类型设置4图4-7Web网管登录页面7表格目录表1-1Console口属性表19表1-2千兆以太网电接口属性表:20表1-3千兆以太网光接口属性21表2-1机房温度/湿度要求1表2-2机房灰尘含量要求2表2-3机房有害气体限值2表4-1设置串接口属性2第1章产品介绍1.1产品概述DPtech IPS2000系列IPS （Intrusion Prevention System ，入侵防御系统）产品是DPtech 公司面向企业、行业、电信开发的新一代网络入侵防御系统。

DPtechIPS2000AV系列产品彩页业界最高端防毒墙，万兆线速处理能力，病毒库增加不会造成性能下降管理平面与数据平面双通道设计，极大提升了系统健壮性专业的防病毒引擎，内置病毒样本十万条以上，可防御各类病毒掉电保护、应用Bypass等高可靠性机制，确保防毒墙不会成为网络故障点实时的响应方式：阻断、限流、隔离、重定向、Email内容深度检测，全面解决应用层安全问题专业的特征库团队，特征库自动更新，持续安全防护灵活的部署模式：在线模式、监听模式、混合模式支持分布式管理信息技术飞速发展，网络应用日益复杂和多元化，各种安全威胁也随之而来，病毒、蠕虫、木马、间谍软件、恶意攻击使得普通的网络安全防御无能为力。

据权威机构统计，90%以上的企业都曾遭受过病毒的攻击。

传统的防病毒软件基于主机进行查杀，由于主机数量众多、系统版本不同、应用软件差异等原因，因此存在着部署复杂、管理困难、病毒库升级不及时等问题，维护成本也很高；网关型防病毒设备部署在网络出口，不依赖于主机上的防病毒软件，能够实时查杀网络流量中的各种病毒。

但是当前许多厂家提供各式各样的防毒墙，特征样本库的日益增加造成性能的严重制约，尤其是大量特征样本增加，所宣称的性能急剧下降，延时大为增加，不仅起不了多大的防御效果，还造成用户对网络服务体验的大为降低，而靠减少特征库的数量来简单满足性能需求则几乎等于没有防御。

正是在这种形势下，DPtech IPS2000 AV系列防毒墙应运而生。

IPS2000 AV系列基于领先的多核和FPAG架构，并采用独创的“并行流过滤引擎”技术，解决了数据包深度检测消耗大的瓶颈，面对庞大的特征样本和复杂的安全策略，数据包无需多次解析和检测，一次解析即可完成所有安全策略，大大提升了处理效率，即使在病毒库持续增加的情况下，也不会造成性能的下降和网络时延的增加。

同时，DPtech IPS2000 AV系列还采用了管理平面和数据平面相分离技术，这种的分离式双通道设计，不仅消除了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升了用户体验。