DPtechIPS2000系列入侵防御系统开局指导
计算机病防范网络入侵检测与阻断系统的配置与使用
计算机病防范网络入侵检测与阻断系统的配置与使用计算机病毒是计算机安全领域的一种常见威胁,它可以导致信息泄露、系统崩溃甚至金融损失。
为了保护计算机和网络安全,我们需要配置并使用网络入侵检测与阻断系统。
本文将介绍如何配置和使用这种系统,以帮助用户预防计算机病毒和网络入侵的风险。
一、系统配置1. 硬件要求网络入侵检测与阻断系统通常需要一定的硬件配置才能正常运行。
推荐配置包括:至少4GB内存、500GB硬盘空间、双核处理器和高速网络接口。
建议用户根据实际需求和使用场景选择合适的硬件配置。
2. 安装操作系统在配置网络入侵检测与阻断系统之前,用户需要在计算机上安装操作系统。
常见的操作系统包括Windows、Linux和macOS。
选择一个可靠的操作系统,并确保其处于最新的安全补丁状态。
3. 安装系统软件网络入侵检测与阻断系统通常需要借助特定的软件来实现功能。
常见的软件包括Snort、Suricata和Bro。
用户需要根据系统要求和个人偏好选择合适的软件,并按照软件提供的安装指南进行安装。
4. 配置系统参数安装完系统软件后,用户需要进行一些必要的配置。
这包括设置系统的网络参数、配置安全策略和更新系统软件。
用户应该确保系统设置符合最佳实践,并定期更新系统来获取最新的安全补丁和功能。
二、系统使用1. 实时监控已经配置完成的网络入侵检测与阻断系统可以实时监控计算机和网络的安全状态。
用户可以通过系统提供的界面或命令行工具来查看实时的安全事件和警报。
一旦发现异常行为或潜在的入侵,用户应立即采取相应的措施来应对。
2. 日志分析网络入侵检测与阻断系统还可以生成详细的安全日志,记录计算机和网络上的所有安全事件。
用户可以定期分析这些日志,以了解可能存在的安全漏洞或风险。
在分析日志时,用户可以借助日志管理工具和安全分析技术来获取更准确的信息。
3. 漏洞扫描为了进一步提高计算机和网络的安全性,用户可以使用网络入侵检测与阻断系统提供的漏洞扫描功能。
最新DPtechIPS2000系列入侵防御系统测试方案资料
D P t e c h I P S2000系列入侵防御系统测试方案资料精品好资料-如有侵权请联系网站删除DPtech IPS2000测试方案杭州迪普科技有限公司2011年07月目录DPtech IPS2000测试方案 (2)第1章产品介绍 (1)第2章测试计划 (3)2.1测试方案 (3)2.2测试环境 (3)2.2.1 透明模式 (3)2.2.2 旁路模式 (4)第3章测试内容 (5)3.1功能特性 (5)3.2响应方式 (5)3.3管理特性 (5)3.4安全性 (6)3.5高可靠性 (6)第4章测试方法及步骤 (7)4.1功能特性 (7)4.1.1 攻击防护 (7)4.1.2 防病毒 (9)4.1.3 访问控制 (11)4.1.4 最大连接数与DDoS (12)4.1.5 黑名单功能 (13)4.2响应方式 (14)4.2.1 阻断方式 (14)4.2.2 日志管理 (15)4.3管理特性 (16)4.3.1 设备管理 (16)4.3.2 报表特性 (17)4.4安全特性 (18)4.4.1 用户的安全性 (18)4.4.2 设备的安全性 (20)第5章测试总结 (22)第1章产品介绍随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
IPS入侵防御系统+操作手册(V1.05)
1.1.3 SSH 服务
设备支持 SSH 协议,当设备启动了 SSH 服务后,用户可以通过 SSH 方式登录到设备上,对设备 进行远程管理和维护。
表1-3 SSH 服务配置 操作
启动 SSHቤተ መጻሕፍቲ ባይዱ服务
命令 ssh service enable
说明 必选 缺省情况下,SSH 服务处于关闭状态
z 通过 SSH 方式登录设备使用的用户名和密码都是“sshadmin”。 z 通过 Telnet 和 SSH 方式同时登录设备的用户总数不能超过 7。
H3C IPS 入侵防御系统 操作手册
杭州华三通信技术有限公司
资料版本:20090624-C-1.05
声明
Copyright © 2008-2009 杭州华三通信技术有限公司及其许可者 版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何 形式传播。
1-2
目录
1 接口管理配置..................................................................................................................................... 1-1 1.1 简介 ................................................................................................................................................... 1-1 1.2 接口管理配置..................................................................................................................................... 1-1 1.2.1 以太网接口配置 ...................................................................................................................... 1-1 1.2.2 Combo接口配置...................................................................................................................... 1-2 1.2.3 接口显示和维护 ...................................................................................................................... 1-2
迪普产品配置文档-基础篇(2012-11-05)
26
26
UAG审计及流控
配置步骤(1)
确认组网模式
•
•
透明桥接模式下几乎支持UAG所有功能,流控、审计、限速、web认证等
桥地址切忌与其他接口网段冲突,包括带外管理口
Internet 路由器
镜像
内部网络
交换机
11
11
IPS入侵防御系统
调研信息
组网模式:在线模式、旁路模式 PFP断电保护主机:是否使用,使用接口插卡类型(电、光) 开启安全策略:根据用户需求,如入侵防御、防病毒等 UMC统一管理中心:是否安装
千兆级
UAG3000-GS UAG3000-GA UAG3000-GE
百兆级
UAG3000-MM
UAG3000-MA
UAG3000-ME
UAG3000-CE
UAG3000-MC
UAG3000-MS
•行为审计:一体化行为管控,保护内部数据安全 •带宽管理:P2P等流量的全面透析和管理,提升带宽价值 •安全防护:集成卡巴病毒库,具备恶意攻击防御能力
链路状态正常,则需查看接口管理状态是否关闭,如关闭则需重新开启
20
20
IPS入侵防御系统
问题与排查
管理异常
• 查看路由是否可达,并通过诊断工具排查
21
21
IPS入侵防御系统
问题与排查
业务异常
•
•
开启软件bypass,业务仍然异常,则与IPS设备无关
迪普产品配置文档-基础篇
Beyond Your Imagination
新一代入侵防御系统应用
新一代入侵防御系统应用摘要: ips入侵防御系统目前已经得到大规模的应用,本文对迪普ips2000型入侵防御系统的性能特性进行了详细研究,并在实际网络中部署了该系统。
abstract: ips has been widely applied. the performance of depp ips2000 intrusion prevention system characteristics were studied in detail in this paper, and this system was deployed in actual network.关键词:防御系统;ips;入侵防御key words: prevention system;ips;intrusion prevention 中图分类号:tp393 文献标识码:a 文章编号:1006-4311(2013)20-0210-020 引言随着科技的不断进步,网络得到推广和普及,由此引发的网络攻击事件的不断发生,企业网络频繁遭到攻击、感染病毒等,当遭到攻击时,企业网络作出响应的时间不断加长。
当前的防火墙以及入侵检测技术(ids)无法满足现实需求,如何妥善解决这些问题,在这种背景下,入侵防护(ips)出现。
1 ips的工作原理ips通过采用大量的过滤器完成实时检查和阻止入侵,在一定程度上有效预防各种攻击。
ips通过创建过滤器的方式,拦截新的攻击手段拦截。
对数据包ips利用专业化定制的集成电路进行处理,可以检查数据包深层的内容。
ips能够从数据流中检查出攻击者利用layer2(介质访问控制)到layer7(应用)对漏洞进行攻击,并对这些攻击加以阻止。
所有流经ips的数据包,根据数据包中的源ip地址和目的ip地址、端口号和应用域等报头信息进行分类。
ips的过滤器通过对相对应的数据包进行分析和检查,对于包含恶意内容的数据包被丢弃,被怀疑的数据包需要接受进一步的检查。
DPtech IPS2000系列入侵防御系统测试方案
DPtech IPS2000测试方案杭州迪普科技有限公司2011年07月目录DPtech IPS2000测试方案 (1)第1章产品介绍 (1)第2章测试计划 (2)2.1测试方案 (2)2.2测试环境 (2)2.2.1 透明模式 (2)2.2.2 旁路模式 (3)第3章测试内容 (4)3.1功能特性 (4)3.2响应方式 (4)3.3管理特性 (4)3.4安全性 (5)3.5高可靠性 (5)第4章测试方法及步骤 (6)4.1功能特性 (6)4.1.1 攻击防护 (6)4.1.2 防病毒 (8)4.1.3 访问控制 (10)4.1.4 最大连接数与DDoS (11)4.1.5 黑名单功能 (12)4.2响应方式 (13)4.2.1 阻断方式 (13)4.2.2 日志管理 (14)4.3管理特性 (15)4.3.1 设备管理 (15)4.3.2 报表特性 (16)4.4安全特性 (17)4.4.1 用户的安全性 (17)4.4.2 设备的安全性 (19)第5章测试总结 (21)第1章产品介绍随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
TP-IPS配置指导书
附录G:XX工业集团数据/网络安全项目TippingPoint 入侵防御产品配置指导书目录1、XX集团IPS设备登陆密码相关 (2)2、IPS初始化配置: (2)3、WEB方式管理 (11)4、IPS对于P2P流量的限制 (11)5、系统OS与数字疫苗DV升级简介 (16)6、IPS入侵产品的注册指南 (18)7、其它相关文档 (24)1、XX集团IPS设备登陆密码相关登陆IPS网管接口地址、用户名称、密码等登陆用户名称:xx登陆用户密码:xx网管接口地址:192.168.15.250 (主面板会显示)可以在管理界面里面增加用户、更改密码、更改网管地址等登陆TMC网站用户名称、密码等登陆用户名称:xx登陆用户密码:xx2、IPS初始化配置:2.1 打开电源开关,按POWER键开机:∙ ✧双电源设备,如果只使用一个电源,设备会发出告警声。
按电源旁边的红色按钮,可以消除告警声∙ ✧100E在打开电源开关后,可能并不能启动设备,这个时候需要长按面板上绿色的勾5秒。
2.2 使用配置线与PC相连:✧这里采用的波特率是115200;✧配置线两端都是DB9的母头。
2.3 启动过程。
∙✧在启动过程中不要随意敲键盘,如果无意输入任意键会使启动中断,需要输入@来继续启动。
TippingPoint OSBootrom Version: 14Creation date: Dec 6 2004, 14:02:01Press any key to stop auto-boot...76543210auto-booting...boot device : ata=0,0unit number : 0processor number : 0host name : NDSfile name : autoflags (f) : 0x0Attaching to ATA disk device... done.Boot Count: 144, v14, /boot/2.1.4.6324/vxWorks [798a09445a4926a2a6976837683ed4e1] Loading /boot/2.1.4.6324/vxWorks...10662264 + 966376 + 13404276Starting at 0x108000...Attaching interface lo0...doneAdding 27893 symbols for standalone.-> [RTC] CMOS Clock: 2006-09-21 12:44:30 [UTC]/boot/ - Volume is OK/opt/ - Volume is OK/usr/ - Volume is OK/log/ - Volume is OK_____ ____ _|_ _|_ _ __ _ __ _ _ __ __ _| _ \ ___ _ _ __ | |_| | | | '_ \| '_ \| | '_ \ / _` | |_) / _ \| | '_ \| __|| | | | |_) | |_) | | | | | (_| | __/ (_) | | | | | |_|_| |_| .__/| .__/|_|_| |_|\__, |_| \___/|_|_| |_|\__||_| |_| |___/ a division of 3ComTippingPoint - Austin, Texas, USA - TOS Version : 2.2.4.6519 Build Date: Jun 21 2006, 17:04:48Digital Vaccine : 2.2.0.6825 Serial: U1200CF-3053-4206Hardware Rev :Loading------------------快速输入mkey然后回车,设置用户名密码(忘记密码也可以如此处理)Autoflash FPGAs: FPGA is up to date for MZDMWelcome to the TippingPoint Technologies Initial Setup wizard.Press any key to begin the Initial Setup Wizard or use the LCD panel.按任意建You will be presented with some questions along with default valuesin brackets[]. Please update any empty fields or modify them to matchyour requirements. You may press the ENTER key to keep the currentdefault value. After each group of entries, you will have a chance toconfirm your settings, so don't worry if you make a mistake.There are three security levels for specifying user names and passwords:这里有三个安全级别,为了加强安全性,建议选择为2级Level 0: User names and passwords are unrestricted.Level 1: Names must be at least 6 characters long; passwords at least 8.Level 2: In addition to level 1 restrictions, passwords must contain:- at least 2 alpha characters- at least 1 numeric character- at least 1 non-alphanumeric character如果选择为2级,则密码至少包含大小写字母、数字、非数字的三种,并且不少于8个字符Please specify a security level to be used for initial super-user nameand password creation. As super-user, you can modify the security levellater on via Command Line Interface (CLI) or Local Security Manager (LSM).选择2Security level [2]: 2创建用户名和密码Please enter a user name that we will use to create your super-useraccount. Spaces are not allowed.Name: xxDo you wish to accept [XX] <Y,[N]>:yPlease enter your super-user account password:Verify password:Saving information ...DoneXX集团这里初始密码设置为xxYour super-user account has been created.You may continue initial configuration by logging into your device.After logging in, you will be asked for additional information.The login prompt should appear in approximately 90 seconds.........重启后,输入用户名登录:Login: XXPassword:Entering Setup wizard...配置初始化,配置管理口:The host management port is used to configure and monitor this device viaa network connection (e.g., a web browser).设置管理接口的IP地址等Enter Management IP Address [0.0.0.0]: 192.168.15.250Enter Network Mask [255.255.255.0]: 255.255.255.0Enter Host Name [myhostname]: xxEnter Host Location [room/rack]: xxHost IP: 192.168.15.250Network Mask: 255.255.255.0Host Name: xxHost Location: xxEnter [A]ccept, [C]hange, or [E]xit without saving [C]:The default gateway is a router that enables this device to communicate withother devices on the management network outside of the local subnet.Do you require a default gateway? <Y,[N]>:nTimekeeping options allow you to set the time zone, enable or disabledaylight saving time, and configure or disable SNTP.配置管理方式,默认只是启用HTTPSWould you like to modify timekeeping options? <Y,[N]>:nServer options allow you to enable or disable each of the following servers: SSH, Telnet, HTTPS, HTTP, and SNMP.Would you like to modify the server options? <Y,[N]>:yEnable the SSH server? [Yes]: nEnable the Telnet server? [Yes]: nEnable the HTTPS server ('No' disables SMS access)? [Yes]: yEnable the HTTP server? [Yes]: nEnable the SNMP agent ('No' disables SMS and NMS access)? [No]: nSSH: NoTelnet: NoHTTPS: YesHTTP: NoSNMP: No (SMS and NMS access disabled)Enter [A]ccept, [C]hange, or [E]xit without saving [C]: aBased on your configuration of the CLI and Web servers, you can configureor monitor this device via the management port or the serial port.If you wish to run this wizard again, use the 'setup' command.查看配置:xx# dis configurationinterface mgmtEthernetip 192.168.15.250mask 255.255.255.0exitinterface ethernet 3 1negotiateduplex fulllinespeed 1000no shutdownexitinterface ethernet 3 2 negotiateduplex fulllinespeed 1000no shutdownexitinterface ethernet 3 3 negotiateduplex fulllinespeed 1000no shutdownexitinterface ethernet 3 4 negotiate--More--duplex fulllinespeed 1000no shutdownexitinterface ethernet 3 5 negotiateduplex fulllinespeed 1000no shutdownexitinterface ethernet 3 6 negotiateduplex fulllinespeed 1000no shutdownexitinterface ethernet 3 7 negotiateduplex fulllinespeed 1000no shutdownexitinterface ethernet 3 8 negotiate--More--duplex fulllinespeed 1000no shutdownexitinterface vnam 3 1no ipmask 255.255.255.0 shutdownexitinterface vnam 3 2no ipmask 255.255.255.0 shutdownexitinterface vnam 3 3no ipmask 255.255.255.0 shutdownexitinterface vnam 3 4no ipmask 255.255.255.0 shutdownexit--More--interface vnam 3 5no ipmask 255.255.255.0 shutdownexitinterface vnam 3 6no ipmask 255.255.255.0 shutdownexitinterface vnam 3 7no ipmask 255.255.255.0 shutdownexitinterface vnam 3 8no ipmask 255.255.255.0shutdownexitinterface settings poll-interval 2000 interface settings detect-mdi enable host name "xx"host location "xx"--More--host ip-filter permit any icmphost ip-filter permit any ipdefault-gateway 0.0.0.0sntp primary 192.43.244.18sntp secondary 192.5.41.40sntp duration 60sntp offset 1sntp port 123sntp timeout 1sntp retries 3no sntpuser options max-attempts 5user options expire-period 90user options expire-action expire user options lockout-period 5user options attempt-action lockout user options security-level 2 segment 3 1 name "Segment 1"segment 3 1 high-availability permit segment 3 1 link-down hubsegment 3 2 name "Segment 2"segment 3 2 high-availability permit segment 3 2 link-down hubsegment 3 3 name "Segment 3"--More--segment 3 3 high-availability permit segment 3 3 link-down hubsegment 3 4 name "Segment 4"segment 3 4 high-availability permit segment 3 4 link-down hubhigh-availability no iphigh-availability disableclock timezone GMTclock dstlog audit select generallog audit select loginlog audit select logoutlog audit select userlog audit select timelog audit select policylog audit select updatelog audit select bootlog audit select reportlog audit select hostlog audit select configurationlog audit select oamlog audit select smslog audit select cvalog audit select server--More--log audit select segmentlog audit select high-availabilitylog audit select monitorlog audit select ip-filterlog audit select conn-tablelog audit select host-communicationlog audit select tsecategory-settings attack-protection enable -action-set "Recommended" category-settings reconnaissance enable -action-set "Recommended" category-settings security-policy enable -action-set "Recommended" category-settings informational enable -action-set "Recommended" category-settings network-equipment enable -action-set "Recommended" category-settings traffic-normal enable -action-set "Recommended" category-settings misuse-abuse enable -action-set "Recommended" notify-contact "SMS" 1notify-contact "Remote System Log" 1notify-contact "Management Console" 1notify-contact "LSM" 1default-alert-sink period 1discovery age 0server no sshserver no telnetserver no httpserver https--More--server browser-checkmonitor threshold memory -major 90 -critical 95monitor threshold disk -major 90 -critical 95monitor threshold temperature -major 73 -critical 75no service-accesstse adaptive-filter mode automatictse afc-severity warningtse asymmetric-network enabletse connection-table timeout 1800tse logging-mode conditional -threshold 1.0 -period 600email-rate-limit 10lcd-keypad enablelcd-keypad backlight 50lcd-keypad contrast 16no nmsramdisk sync-interval block -1ramdisk sync-interval alert -1ramdisk sync-interval peer -1sms no v2sms no v3sms no must-be-ipno smssession timeout 20 -persist此时可以通过web方式https://192.168.15.250进行管理。
DPtech IPS2000入侵防御系统(培训文档)
未经授权禁止扩散
Page2
安全事件不断爆发
根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)报告,网 络安全事件依然持续不断爆发
产 生 背 景
2009 年CNCERT 共接收21927 件网络安全事件报告
未经授权禁止扩散
Page3
趋势一:网络无边界
未经授权禁止扩散
Page21
IPS攻击防护-Web安全-SQL注入
原理
利用程序中的漏洞,构造特殊的SQL语句并提交以获取敏感信息
危害
技 术 特 性
获取系统控制权 未经授权状况下操作数据库的数据 恶意篡改网页内容 私自添加系统帐号或数据库使用者帐号
ISSUE 1.0
IPS2000入侵防御系统
杭州迪普培训中心
Beyond Your Imagination
杭州迪普科技有限公司
目录
1 2 3 4
DPtech IPS产生背景 DPtech IPS产品介绍 DPtech IPS技术特性 DPtech IPS功能配置
交换机
交换机
网络流量
正常模式
二层交换模式
PFP主机
USB检测
借助于掉电保护模块,可保证 IPS掉电时,网
络依然畅通 DPtech系列所有千兆以上IPS均已支持6个(3 组)电口的内臵掉电保护,无需配臵PFP;
其它电口、光口可按需选择PFP
未经授权禁止扩散 Page17
未经授权禁止扩散
Page5
趋势三:安全漏洞不断爆发
网络设备、操作系统、数据库软件、应用软件漏洞数不胜数
微软操作系统视频功能组件高危漏洞 微软Office 组件高危漏洞 微软IE 浏览器0day 漏洞 域名系统软件Bind 9 高危漏洞
入侵检测与预防系统(IPS)保护网络免受攻击
入侵检测与预防系统(IPS)保护网络免受攻击网络安全已成为现代社会中非常重要的一个方面。
随着互联网的普及和信息技术的发展,网络攻击日益增加,企业和个人面临着越来越多的网络安全威胁。
为了保护网络免受攻击,入侵检测与预防系统(IPS)应运而生。
本文将介绍IPS的工作原理、功能以及在网络安全领域的应用。
一、IPS的基本概念和工作原理入侵检测与预防系统(IPS)是一种网络安全设备,用于监控和保护计算机网络免受外部攻击。
它通过对网络流量进行实时分析,识别潜在的入侵行为,并采取相应的防御措施,以保护网络的完整性和可用性。
IPS的工作原理主要分为两个环节:入侵检测和入侵防御。
1. 入侵检测:IPS通过深度分析网络流量,检测出潜在的入侵行为。
它可以识别已知的攻击模式,也可以通过学习算法和行为分析来检测未知的入侵行为。
当IPS检测到可疑的活动时,它会触发警报,并将相关信息传递给网络管理员。
2. 入侵防御:IPS不仅能够检测入侵行为,还可以采取一系列的防御措施来应对攻击。
例如,IPS可以封锁入侵者的IP地址或端口,阻止他们进一步访问网络;还可以主动重新配置网络设备,以增加网络的安全性。
二、IPS的功能和特点入侵检测与预防系统(IPS)具备多种功能和特点,使其成为保护网络安全的重要工具。
1. 实时监控:IPS能够对网络流量进行实时监控,及时发现和响应入侵行为,有效减少网络漏洞被利用的风险。
2. 多层防御:IPS能够在网络的不同层次上进行防御,包括网络层、传输层和应用层。
这种多层次的防御策略能够最大程度地保护网络免受攻击。
3. 自学习能力:IPS可以通过学习算法和行为分析来不断更新和优化自身的检测规则,提高检测准确性和效率。
4. 快速响应:IPS能够快速响应入侵行为,及时采取相应的防御措施,减少攻击对网络的影响。
5. 日志记录:IPS能够记录所有的安全事件和警报信息,为网络管理员提供详细的安全分析和追溯能力。
三、IPS在网络安全中的应用入侵检测与预防系统(IPS)在网络安全领域有着广泛的应用。
DPtech IPS2000-GE-N抗DDOS攻击设备配置文档
1.3.3 固定接口和槽位数
表1-3 固定接口规格
项目
规格
管理口
1 个 Console 配置口 2 个 10/100/1000M 网络管理口
USB 接口
1 个 USB 口(Host)
PFP 接口
1 个 PFP 口,提供与 PFP 设备的连接
业务接口
图形目录
图 1-1 DPtech IPS2000-GE-N前视图
1-2
图 1-2 DPtech IPS2000-GE-N前面板指示灯
1-3
图 1-3 DPtech IPS2000-GE-N后视图
1-4
图 1-4 以太网接口
1-7
图 3-1 设备安装流程
3-2
图 3-2 安装设备于工作台
3-4
图 3-3 安装挂耳及外滑轨
表示系统告警
第 1 章 产品介绍
1-2
DPtech IPS2000-GE-N 抗 DDOS 攻击设备 安装手册
指示灯 (红色)
状态 常灭
说明 表示系统正常
快闪(8Hz) 表示系统异常
(12) 电源指示灯 PWR0(绿 色)
常亮 常灭
表示电源 0 工作正常 表示电源 0 不在位
快闪(8Hz) 表示电源 0 出现故障
3-3
iv
3.3.3 安装设备到 19 英寸机柜 3.4 连接接地线 3.5 连接接口线缆 3.5.1 连接配置口线缆 3.5.2 连接网络管理口 3.5.3 连接业务口 3.6 连接电源线 3.7 安装后检查
第 4 章 设备启动及软件升级
4.1 设备启动 4.1.1 搭建配置环境 4.1.2 设备上电 4.1.3 启动过程 4.2 WEB默认登录方式
DPtech IPS2000系列入侵防御系统开局指导
DPtech IPS2000开局指导杭州迪普科技有限公司2011年07月目录DPtech IPS2000开局指导 (1)第1章前期调研 (1)1.1调研内容 (1)1.2确定部署方案 (2)第2章实施步骤 (3)2.1准备工作 (3)2.2部署条件 (3)2.3安装断掉保护PFP(如需安装) (3)2.4实施方案 (4)2.4.1 基本配置方案1-旁路部署 (4)2.4.2 基本配置方案2-透明部署 (8)2.4.3 基本配置方案3-混合部署 (11)2.4.4 扩展配置 (12)2.4.5 高级配置 (13)2.4.6 其他配置 (14)第3章实施注意事项 (18)第1章前期调研1.1 调研内容1.2 确定部署方案根据调研及交流的结果,确定物理部署位置、逻辑部署位置、开启功能策略等第2章实施步骤2.1 准备工作向用户介绍入侵防御系统实施内容、产品与用户沟通入侵防御系统实际部署时间2.2 部署条件设备正常启动连接线(双绞线、光纤等)正常可用部署机柜满足部署条件(机柜空间、插座数、功率载荷)管理地址已分配,且满足互通等要求确定部署方式(组网模式、部署链路数)2.3 安装断掉保护PFP(如需安装)将PFP插卡板安装在PFP主机上将内网连接线(如SW引出)连接至PFP“1”口,外网连接线(如FW引出)连接至PFP“4”口,流量于1——4间物理透传,此时验证网络畅通性PFP插板“2、3”口平行连接IPS主机“A、B”口,即实施后的流量流向应为:局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网,链路上下行连接错误,会导致日志分析异常此时切忌连接PFP主机与IPS主机的“USB”连接线,需完成全部功能配置后,再连接“USB”连接线2.4 实施方案2.4.1 基本配置方案1-旁路部署组网拓扑图注意:此模式下只做检测,不做控制PC直连设备管理口,缺省IP地址为192.168.0.1;用户名:admin,密码:admin在【网络管理】->【组网模式】中,修改某一接口对组网模式为“旁路模式”注意:如上图所示,eth1/0与eth1/1接口对组网模式改为旁路模式后,此接口将无接口对概念,eth1/0与eth1/1独立存在,且均可作为旁路检测接口在【网络管理】->【网络用户组】中,添加IP用户组如果设备需要跨网段管理,则需在【网络管理】->【单播IPv4路由】中,添加指定或默认路由在【IPS规则】中创建规则后,引用到【IPS策略】中的指定旁路接口在【日志管理】->【业务日志】中,开启将IPS日志输出UMC功能(IP:UMC安装服务器的IP地址,PORT:9514)在【审计分析】->【流量分析】中,开启将流量分析日志输出UMC功能(IP:UMC 安装服务器的IP地址,PORT:9502)在服务器安装UMC后,用IE访问其网卡IP地址(注:UMC地址需与IPS管理地址互通),用户名:admin,密码:UMCAdministrator在【设备管理】->【设备列表】中,添加IPS设备在【系统管理】->【时间同步配置】中,点击“立即同步”(注:UMC与IPS时间不一致,会影响日志统计)在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志(如果未使用UMC,则在IPS设备【IPS日志】中查看)2.4.2 基本配置方案2-透明部署PC直连设备管理口,缺省IP地址为192.168.0.1;用户名:admin,密码:admin在【网络管理】->【网络用户组】中,添加IP用户组如果设备需要跨网段管理,则需在【网络管理】->【单播IPv4路由】中,添加指定或默认路由在【IPS规则】中创建规则后,引用到【IPS策略】中的指定旁路接口在【日志管理】->【业务日志】中,开启将IPS日志输出UMC功能(IP:UMC安装服务器的IP地址,PORT:9514)在【审计分析】->【流量分析】中,开启将流量分析日志输出UMC功能(IP:UMC 安装服务器的IP地址,PORT:9502)在服务器安装UMC后,用IE访问其网卡IP地址(注:UMC地址需与IPS管理地址互通),用户名:admin,密码:UMCAdministrator在【设备管理】->【设备列表】中,添加IPS设备在【系统管理】->【时间同步配置】中,点击“立即同步”(注:UMC与IPS时间不一致,会影响日志统计)在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志(如果未使用UMC,则在IPS设备【IPS日志】中查看)2.4.3 基本配置方案3-混合部署如上图所示,eth1/0与eth1/1为旁路模式,可独立做旁路检测(IDS);eth1/2与eth1/3,eth1/4与eth1/5为在线模式,存在接口对概念,可做在线检测(IPS);即实现了同时在线检测与旁路检测的混合模式2.4.4 扩展配置【防病毒】,在【常用功能】->【防病毒】中,添加防病毒策略;下图策略为:从eth1/0与eth1/1接口流入的流量,进行防病毒策略的安全匹配(流行度概念,请参见用户手册)【带宽限速】,在【扩展功能】->【应用防火墙】->【网络应用带宽限速】中,添加带宽限速策略;下图策略为:从eth1/0接口流入,且源IP组为test,目的IP组为All users的流量,P2P限速5000kbps(注意单位);从eth1/1接口流入,且源IP组为All users,目的IP组为test的流量,P2P限速5000kbps(注意单位)【访问控制】,在【扩展功能】->【应用防火墙】->【网络应用访问控制】中,添加访问控制策略;下图策略为:从eth1/0接口流入,且源IP组为test,目的IP组为All users的流量,阻断网络应用-即时通讯;从eth1/1接口流入,且源IP组为All users,目的IP组为test的流量,阻断网络应用-即时通讯【URL】,在【扩展功能】->【应用防火墙】->【URL过滤】中,添加URL过滤策略;下图策略为:从eth1/0接口流入,且源IP组为test的流量,对主机名为的URL进行过滤2.4.5 高级配置端口捆绑(注意:虚接口绑定遵循上下行,即上行口不能与下行口绑定)自定义IPS特征(根据报文参数,自定义设置IPS特征,并引入到IPS策略)带宽限速/访问控制自定义应用组(创建自定义网络应用组后,可应用到带宽限速/访问控制策略中)URL分类库及推送配置(注意:此功能在有URL License,且已经导入URL特征库的情况下,方可使用)2.4.6 其他配置添加管理员,并设置管理权限设置Web访问协议参数导入/出配置文件,需重启(推荐在同一软件版本下使用)修改接口同步状态(注意:当开启接口同步状态下,当接口对中的eth1/0口down后,在数秒种后,eth1/1口的管理状态会dwon,如恢复管理状态需在console口下操作,重新no shutdown该接口状态)创建IP用户组,IP用户群,IP用户簇(IP可实现分级管理,并应用到策略)Web页面修改管理口地址软件bypass,开启后流量不做安全检测(VIP流量概念,请参见用户手册)黑名单基础DDos配置(添加防护网段配置后,根据网络情况,下发DDos防护策略)基本攻击防护策略第3章实施注意事项管理服务器的安全性管理服务器安装Windows2003 Server或者Windows2008操作系统后,管理员一定要确保对Windows进行重要安全补丁修补,规范操作系统口令和密码设置,保证正常启动运行。
医院信息化安全等保解决方案(二级)
医院信息化安全等保解决方案一、行业背景与需求为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。
为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:■2012年5月30日前完成本单位信息系统的定级备案工作;■根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案;■2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。
各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内县区级医院定级要求,大部分省(市)定级要求如下:二、迪普解决之道为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。
■整体思路县级医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。
内网主要承载着HIS、LIS、PACS等医院信息系统,外网主要承载医院OA、网站、mail等信息系统。
《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。
基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。
医院信息化安全等保项目解决方案(二级)
医院信息化安全等保解决方案一、行业背景与需求为贯彻落实国家信息安全等级保护制度,规和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。
为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:■2012年5月30日前完成本单位信息系统的定级备案工作;■根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案;■2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。
各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域县区级医院定级要求,大部分省(市)定级要求如下:二、迪普解决之道为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。
■整体思路县级医院网络一般分为两物理网络:网(业务网)和外网(办公网)。
网主要承载着HIS、LIS、PACS等医院信息系统,外网主要承载医院OA、、mail等信息系统。
《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。
基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。
DPtech IPS2000-GM-N入侵防御系统安装手册
� �
说明:
PFP(Power Fault Protector,掉电保护设备),为 IPS 提供掉电保护的设备,PFP 的相关信 息请参见手册《DPtech IPS PFP 快速入门》。
1.3.4 输入电源
表 1-4 输入电源
项目 电源模块(AC) 规格 额定电压范围:90V~264V AC;50/60Hz 额定电流:4A 电源模块(DC) 额定电压范围:-40.5V~-72V DC
iii
DPtech IPS2000-GM-N 入侵防御系统 安装手册
目 录
第 1 章 产品介绍 1.1 产品概述 1.2 DPTECH IPS2000-GM-N 产品外观 1.3 产品规格 1.3.1 存储器 1.3.2 外形尺寸和重量 1.3.3 固定接口 1.3.4 输入电源 1.3.5 工作环境 1.4 产品组件 1.4.1 处理器及存储器 1.4.2 各类接口 1.4.3 PFP 接口 第 2 章 安装前的准备 2.1 通用安全注意事项 2.2 检查安装场所 2.2.2 温度/湿度要求 2.2.3 洁净度要求 2.2.4 防静电要求 2.2.5 抗干扰要求 2.2.6 防雷击要求 2.2.7 接地要求 2.2.8 布线要求 1-1 1-1 1-1 1-3 1-3 1-4 1-4 1-4 1-5 1-5 1-5 1-5 1-6 2-1 2-1 2-1 2-1 2-2 2-2 2-3 2-3 2-3 2-3
第 1 章 产品介绍
3
DPtech IPS2000-GM-N 入侵防御系统 安装手册
1.3.2 外形尺寸和重量
表 1-2 外形尺寸和重量规格
项目 外型尺寸(W×D×H) 重量 规格 436mm×470mm×44.8mm 8.0Kg
DPtech IPS2000-GC-N入侵防御系统安装手册V1.0
2.1 通用安全注意事项
在移动设备前,请先将设备断电。 请将设备放置在干燥通风的地方。不要让液体进入设备。 保持设备清洁。 不要在设备上堆积物品。 非专业维修人员,请不要随意打开设备机壳。
1.4.2 各类接口
1. Console 口 IPS 提供了一个 RS232 异步串行配置口(Console),可用来连接终端计算机,以进行系统的调 试、配置、维护、管理和主机软件程序加载等工作。 2. 以太网接口
(1) (2) (3) (4) (5) (6) (7) (8)
(1) 1000M 以太网光接口(0) (3) 10/100/1000M 以太网电接口(0) (5) 10/100/1000M 以太网电接口(2) (7) 10/100/1000M 以太网电接口 (4)
DPtech IPS2000-GC-N 前面板指示灯 2. 后视图
(2)
(1)
(1) 交流电源插座
(2) 接地端子
DPtech IPS2000-GC-N 后视图
1.3 产品规格
1.3.1 存储器
存储器规格
项目 Flash 内存类型及容量 CF 卡 规格 4MB外形尺寸和重量
外形尺寸和重量规格
项目 外型尺寸(W×D×H) 规格 430mm×261mm×44mm
第 1 章 产品介绍
3
DPtech IPS2000-GC-N 入侵防御系统 安装手册 项目 重量 规格 3.1Kg
1.3.3 固定接口和槽位数
固定接口规格
项目 PFP 接口 USB 接口 业务接口 规格 1 个 PFP 口,提供与 PFP 设备的连接 1 个 USB 口(Host) 固定接口: 6 个 10/100/1000M 电接口 2 个 1000M 光接口
迪普 DPtech IPS2000技术白皮书
DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
DPtechIPS2000AV系列产品彩页
DPtechIPS2000AV系列产品彩页业界最高端防毒墙,万兆线速处理能力,病毒库增加不会造成性能下降管理平面与数据平面双通道设计,极大提升了系统健壮性专业的防病毒引擎,内置病毒样本十万条以上,可防御各类病毒掉电保护、应用Bypass等高可靠性机制,确保防毒墙不会成为网络故障点实时的响应方式:阻断、限流、隔离、重定向、Email内容深度检测,全面解决应用层安全问题专业的特征库团队,特征库自动更新,持续安全防护灵活的部署模式:在线模式、监听模式、混合模式支持分布式管理信息技术飞速发展,网络应用日益复杂和多元化,各种安全威胁也随之而来,病毒、蠕虫、木马、间谍软件、恶意攻击使得普通的网络安全防御无能为力。
据权威机构统计,90%以上的企业都曾遭受过病毒的攻击。
传统的防病毒软件基于主机进行查杀,由于主机数量众多、系统版本不同、应用软件差异等原因,因此存在着部署复杂、管理困难、病毒库升级不及时等问题,维护成本也很高;网关型防病毒设备部署在网络出口,不依赖于主机上的防病毒软件,能够实时查杀网络流量中的各种病毒。
但是当前许多厂家提供各式各样的防毒墙,特征样本库的日益增加造成性能的严重制约,尤其是大量特征样本增加,所宣称的性能急剧下降,延时大为增加,不仅起不了多大的防御效果,还造成用户对网络服务体验的大为降低,而靠减少特征库的数量来简单满足性能需求则几乎等于没有防御。
正是在这种形势下,DPtech IPS2000 AV系列防毒墙应运而生。
IPS2000 AV系列基于领先的多核和FPAG架构,并采用独创的“并行流过滤引擎”技术,解决了数据包深度检测消耗大的瓶颈,面对庞大的特征样本和复杂的安全策略,数据包无需多次解析和检测,一次解析即可完成所有安全策略,大大提升了处理效率,即使在病毒库持续增加的情况下,也不会造成性能的下降和网络时延的增加。
同时,DPtech IPS2000 AV系列还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。
DPtechScanner1000系列漏洞扫描系统开局指导资料
DPtech Scanner1000开局指导杭州迪普科技有限公司2011年11月目录DPtech Scanner1000开局指导 (1)第1章产品概述 (3)1.1互联网现状概述 (3)1.2迪普解决方案概述 (3)第2章实施方案 (4)2.1旁路模式 (4)第3章实施步骤 (6)3.1前期准备 (6)3.1.1 检查安装条件 (6)3.1.2 检查环境条件 (6)3.1.3 检查机房供电条件 (6)3.1.4 检查地线条件 (7)3.1.5 检查机柜 (7)3.1.6 检查配套设备 (7)3.2开箱验货 (8)3.2.1 开箱要求 (8)3.2.2 开箱方法 (8)3.3设计实施 (9)3.3.1 登录WEB管理界 (9)3.3.2 基本配置 (10)第1章产品概述1.1 互联网现状概述信息技术飞速发展,网络应用日益复杂和多元化,利用漏洞攻击的网络安全事件日趋严重,权威机构统计95%以上的攻击事件都利用了未及时修补的漏洞,让用户蒙受巨大的社会、经济损失,漏洞俨然已经成为危害互联网安全的罪魁祸首之一。
因受应用层技术复杂、更新快等因素限制,传统产品主要针对操作系统漏洞进行扫描,针对应用级漏洞,如Web应用、SSL加密等漏洞管理效果不佳,并且在漏洞管理上过于单一,不具备漏洞预先通告、定期评估、漏洞自动修补等重要功能,无法从根本上避免攻击产生。
因此,只有从技术本源入手,采用完整、有效和持续的漏洞扫描管理系统才能有效地避免攻击威胁。
1.2 迪普解决方案概述DPtech Scanner1000漏洞扫描系统可提供漏洞通告、关联检测、自动修复、资产风险管理、漏洞审计多维度闭环管理功能,通过高性能的多核硬件平台,可实现对网络中各种资产进行全方位、高效的漏洞管理。
DPtech Scanner1000漏洞扫描系统采用“智能关联扫描引擎”技术,通过多种扫描方法关联校验的方式对漏洞进行扫描,且对漏洞特征库进行持续不断的升级,从而确保漏洞判断准确无误。
入侵防御系统操作规程(3篇)
第1篇一、前言为了确保网络安全,防范网络攻击,保障公司信息系统的稳定运行,特制定本入侵防御系统操作规程。
本规程适用于公司内部所有使用入侵防御系统的网络设备。
二、系统概述入侵防御系统(Intrusion Prevention System,简称IPS)是一种网络安全设备,用于实时监控网络流量,识别并阻止恶意攻击。
本规程旨在规范IPS的操作流程,提高系统运行效率和安全性。
三、操作规程1. 系统部署(1)根据网络拓扑结构,合理规划IPS的部署位置。
(2)选择合适的IPS设备,确保设备性能满足网络安全需求。
(3)按照设备厂商提供的说明书,完成设备的物理安装。
(4)配置网络接口,确保IPS设备能够正常接入网络。
2. 系统配置(1)开启IPS设备的电源,进入设备管理界面。
(2)根据网络环境,配置IP地址、子网掩码、网关等信息。
(3)设置设备管理员用户名和密码,确保设备安全。
(4)根据业务需求,配置安全策略,包括访问控制、流量过滤、入侵检测等。
3. 系统监控(1)定期检查IPS设备运行状态,确保系统正常运行。
(2)监控入侵防御日志,分析网络攻击特征,及时调整安全策略。
(3)关注系统性能指标,如CPU、内存、带宽等,确保设备稳定运行。
4. 安全策略管理(1)定期更新IPS设备的安全规则库,提高入侵检测能力。
(2)根据业务需求,调整安全策略,确保网络安全。
(3)对已封堵的攻击进行统计分析,为后续安全策略调整提供依据。
5. 系统升级与维护(1)定期检查IPS设备厂商发布的系统更新,及时升级系统。
(2)对设备进行定期维护,包括清理灰尘、检查硬件设备等。
(3)对系统进行备份,确保数据安全。
四、注意事项1. 确保IPS设备接入网络后,及时配置IP地址、子网掩码、网关等信息。
2. 严格遵循安全策略配置,确保网络安全。
3. 定期检查入侵防御日志,及时发现并处理网络攻击。
4. 严禁未经授权的修改系统配置,确保系统稳定运行。
5. 系统升级与维护需在专业人员指导下进行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
- DPtech IPS2000开局指导
迪普科技
2011年07月
目录
DPtech IPS2000开局指导 (1)
第1章前期调研 (1)
1.1调研容 (1)
1.2确定部署方案 (3)
第2章实施步骤 (3)
2.1准备工作 (3)
2.2部署条件 (3)
2.3安装断掉保护PFP(如需安装) (3)
2.4实施方案 (4)
2.4.1 基本配置方案1-旁路部署 (4)
2.4.2 基本配置方案2-透明部署 (8)
2.4.3 基本配置方案3-混合部署 (11)
2.4.4 扩展配置 (12)
2.4.5 高级配置 (13)
2.4.6 其他配置 (14)
第3章实施注意事项 (18)
第1章前期调研1.1 调研容
1.2 确定部署方案
根据调研及交流的结果,确定物理部署位置、逻辑部署位置、开启功能策略等
第2章实施步骤
2.1 准备工作
➢向用户介绍入侵防御系统实施容、产品
➢与用户沟通入侵防御系统实际部署时间
2.2 部署条件
➢设备正常启动
➢连接线(双绞线、光纤等)正常可用
➢部署机柜满足部署条件(机柜空间、插座数、功率载荷)
➢管理地址已分配,且满足互通等要求
➢确定部署方式(组网模式、部署链路数)
2.3 安装断掉保护PFP(如需安装)
➢将PFP插卡板安装在PFP主机上
➢将网连接线(如SW引出)连接至PFP“1”口,外网连接线(如FW引出)连接至PFP“4”口,流量于1——4间物理透传,此时验证网络畅通性
➢PFP插板“2、3”口平行连接IPS主机“A、B”口,即实施后的流量流向应为:局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网,链路上下行连接错误,会导致日志分析异常
➢此时切忌连接PFP主机与IPS主机的“USB”连接线,需完成全部功能配置后,再连接“USB”连接线
2.4 实施方案
2.4.1 基本配置方案1-旁路部署
➢组网拓扑图
注意:此模式下只做检测,不做控制
➢PC直连设备管理口,缺省IP地址为192.168.0.1;用户名:admin,密码:admin
➢在【网络管理】->【组网模式】中,修改某一接口对组网模式为“旁路模式”
注意:如上图所示,eth1/0与eth1/1接口对组网模式改为旁路模式后,此接口将无接口对概念,eth1/0与eth1/1独立存在,且均可作为旁路检测接口
➢在【网络管理】->【网络用户组】中,添加IP用户组
➢如果设备需要跨网段管理,则需在【网络管理】->【单播IPv4路由】中,添加指定或默认路由
➢在【IPS规则】中创建规则后,引用到【IPS策略】中的指定旁路接口
➢在【日志管理】->【业务日志】中,开启将IPS日志输出UMC功能(IP:UMC安装服务器的IP地址,PORT:9514)
➢在【审计分析】->【流量分析】中,开启将流量分析日志输出UMC功能(IP:UMC 安装服务器的IP地址,PORT:9502)
➢在服务器安装UMC后,用IE访问其网卡IP地址(注:UMC地址需与IPS管理地址互通),用户名:admin,密码:UMCAdministrator
➢在【设备管理】->【设备列表】中,添加IPS设备
➢在【系统管理】->【时间同步配置】中,点击“立即同步”(注:UMC与IPS时间不一致,会影响日志统计)
➢在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志(如果未使用UMC,则在IPS设备【IPS日志】中查看)
2.4.2 基本配置方案2-透明部署
➢PC直连设备管理口,缺省IP地址为192.168.0.1;用户名:admin,密码:admin
➢在【网络管理】->【网络用户组】中,添加IP用户组
➢如果设备需要跨网段管理,则需在【网络管理】->【单播IPv4路由】中,添加指定或默认路由
➢在【IPS规则】中创建规则后,引用到【IPS策略】中的指定旁路接口
➢在【日志管理】->【业务日志】中,开启将IPS日志输出UMC功能(IP:UMC安装服务器的IP地址,PORT:9514)
➢在【审计分析】->【流量分析】中,开启将流量分析日志输出UMC功能(IP:UMC 安装服务器的IP地址,PORT:9502)
➢在服务器安装UMC后,用IE访问其网卡IP地址(注:UMC地址需与IPS管理地址互通),用户名:admin,密码:UMCAdministrator
➢在【设备管理】->【设备列表】中,添加IPS设备
➢在【系统管理】->【时间同步配置】中,点击“立即同步”(注:UMC与IPS时间不一致,会影响日志统计)
➢在【网络监控】中查看流量分析日志,在【攻击监控】中查看IPS日志(如果未使用UMC,则在IPS设备【IPS日志】中查看)
2.4.3 基本配置方案3-混合部署
➢如上图所示,eth1/0与eth1/1为旁路模式,可独立做旁路检测(IDS);eth1/2与eth1/3,eth1/4与eth1/5为在线模式,存在接口对概念,可做在线检测(IPS);
即实现了同时在线检测与旁路检测的混合模式
2.4.4 扩展配置
➢【防病毒】,在【常用功能】->【防病毒】中,添加防病毒策略;下图策略为:从eth1/0与eth1/1接口流入的流量,进行防病毒策略的安全匹配(流行度概念,请参见用户手册)
➢【带宽限速】,在【扩展功能】->【应用防火墙】->【网络应用带宽限速】中,添加带宽限速策略;下图策略为:从eth1/0接口流入,且源IP组为test,目的IP组为All users的流量,P2P限速5000kbps(注意单位);从eth1/1接口流入,且源IP 组为All users,目的IP组为test的流量,P2P限速5000kbps(注意单位)
➢【访问控制】,在【扩展功能】->【应用防火墙】->【网络应用访问控制】中,添加访问控制策略;下图策略为:从eth1/0接口流入,且源IP组为test,目的IP组为All users的流量,阻断网络应用-即时通讯;从eth1/1接口流入,且源IP组为All users,目的IP组为test的流量,阻断网络应用-即时通讯
➢【URL】,在【扩展功能】->【应用防火墙】->【URL过滤】中,添加URL过滤策略;
下图策略为:从eth1/0接口流入,且源IP组为test的流量,对主机名为的URL进行过滤
2.4.5 高级配置
➢端口捆绑(注意:虚接口绑定遵循上下行,即上行口不能与下行口绑定)
➢自定义IPS特征(根据报文参数,自定义设置IPS特征,并引入到IPS策略)
➢带宽限速/访问控制自定义应用组(创建自定义网络应用组后,可应用到带宽限速/访问控制策略中)
➢URL分类库及推送配置(注意:此功能在有URL License,且已经导入URL特征库的情况下,方可使用)
2.4.6 其他配置
➢添加管理员,并设置管理权限
➢设置Web访问协议参数
➢导入/出配置文件,需重启(推荐在同一软件版本下使用)
➢修改接口同步状态(注意:当开启接口同步状态下,当接口对中的eth1/0口down 后,在数秒种后,eth1/1口的管理状态会dwon,如恢复管理状态需在console口下操作,重新no shutdown该接口状态)
➢创建IP用户组,IP用户群,IP用户簇(IP可实现分级管理,并应用到策略)
➢Web页面修改管理口地址
➢软件bypass,开启后流量不做安全检测(VIP流量概念,请参见用户手册)
➢黑
➢基础DDos配置(添加防护网段配置后,根据网络情况,下发DDos防护策略)
➢基本攻击防护策略
-
第3章实施注意事项
➢管理服务器的安全性
管理服务器安装Windows2003 Server或者Windows2008操作系统后,管理员一定要确保对Windows进行重要安全补丁修补,规操作系统口令和密码设置,保证正常启动运行。
管理员应定期对服务器杀毒系统进行升级并进行全机扫描以确保本服务器无病毒。
在安装集中管理软件时,需要增加自启动选项,部分杀毒软件会给出提示信息,需要手动确认。
➢网络中防火墙的设置注意事项
集中管理服务器与入侵防御系统之间存在的防火墙,要求开启9502、9514、9516、69、9503、9030、9504、9505、9501端口。
➢入侵防御系统接口配置
初次上线需观察接口参数(接口管理状态、接口链路状态、速率、双工)是否正常,入侵防御系统与上下行设备端口的工作模式需要保持一致。
- . - 总结资料-。