中國信息安全領導企業(yè)天融信IPS產品配置與維護February7,2023北京天融信科技有限公司目錄IPS系統安裝配置TP系統安裝配置典型實驗案例

網絡衛(wèi)士入侵防御系統是集訪問控制、應用識別、漏洞攻擊防御、蠕蟲檢測、報文完整性分析為一體的網絡安全設備，為用戶提供整體的立體式網絡安全防護。與現在市場上的入侵防御系統相比，TopIDP系列入侵防御系統具有更高的性能、更細的安全控制粒度、更深的內容攻擊防御、更大的功能擴展空間、更豐富的服務和協議支持，代表了最新的網絡安全設備和解決方案發(fā)展方向。五合一防護DoS/DDoS入侵防御應用管控URL過濾卡巴斯基流病毒查殺特色功能萬兆網絡支持WAF增值IPv6環(huán)境產品介紹設備部署拓撲設備界面介紹Console配置接口MGMT管理接口IP：Mask：HA連接接口設備運行指示燈指示燈名稱指示燈狀態(tài)描述工作燈（Run）當入侵防御系統進入工作狀態(tài)時，工作燈閃爍。主從燈（M/S）主從燈亮的時候，代表這臺設備是工作設備；反之，如果主從燈處于熄滅狀態(tài)，則該入侵防御系統工作在備份模式。管理燈（MGMT）當網絡管理員，如安全審計管理員，登錄入侵防御系統時，管理燈點亮。日志燈（Log）當有日志記錄動作發(fā)生時，且前后兩次日志記錄發(fā)生的時間間隔超過1秒鐘時，日志燈會點亮。擴展模塊插槽

參考《TOPSEC擴展模塊安裝手冊》上線流程環(huán)境了解

線下配置空載上線加載需求功能驗證防御效果設備安裝部署位置依據設備的使用目的選擇相應的安裝位置根據安裝位置環(huán)境對設備進行軟硬件配置接口類型根據網絡設備部署位置配置不同的接口模塊安裝環(huán)境PC一臺擁有COM連接口具有超級終端等遠程操作程序Console線纜隨機附贈相應的網絡線纜/接口卡/模塊系統升級補丁升級簽名庫準備工具Console登錄ID：supermanPWD:talentConsole端操作雖然Console端可以對設備進行完整配置，但是我們建議操作在WebUI下完成。在設備上線前，對設備管理配置可在console端完成：管理接口配置

命令行語法如下：networkinterface<string>

ipadd<ipaddress>mask<netmask>參數說明：string：網絡衛(wèi)士入侵防御系統物理接口名稱，字符串，例如eth0。管理范圍配置命令行語法如下：定義IP：definehostaddname

<string>ipaddr

<ipaddress>定義子網：definesubnetaddname<string>ipaddr<ipaddress>mask<netmask>定義地址范圍：definerangeaddname<string>ip1<ipaddress>ip2<ipaddress>參數說明：string：資源名稱，字符串。WebUI管理ID：supermanPWD:talent默認管理：54系統監(jiān)視系統管理網絡管理流量管理資源管理入侵防御網站防護日志與報表配置培訓

系統監(jiān)視模塊對整個系統的基本狀態(tài)進行實時監(jiān)控，支持對系統總體及某一特定對象（如基于接口、協議、內容或其他規(guī)則）通信量、連接數、網絡攻擊、應用流量、帶寬等數據的采集、統計和顯示，用以滿足用戶對各種數據統計以及應用層流量管理的需求。

這個模塊有9個子模塊：基本信息版本信息攻擊統計病毒統計應用統計URL統計當前連接接口流量統計自定義統計系統監(jiān)視2基本信息注意事項：由于刷新頻率不同步會出現同一參數在不同頁面數據不一致的情況，系統資源和檢測統計數據差距不大，網絡接口瞬時速率會出現差別比較大的情況。基本信息版本信息攻擊統計單擊事件號能夠查看規(guī)則的詳細信息點擊主機IP可以查看該主機所受攻擊的詳細信息。攻擊統計注意事項：將內網監(jiān)控的監(jiān)控級別設置為詳細，才能顯示主機排名。另外，如果主機監(jiān)控數達到最大值后，則不會顯示主機排名。因為受攻擊主機排名列表中的數據取自實時內存，詳細信息的統計信息取自日志，所以會出現兩者數據不一致的情況。病毒統計頁面點擊病毒名稱查看病毒攻擊源點擊受病毒攻擊主機地址能夠查看到攻擊的病毒名稱病毒統計應用統計點擊某應用可以查看是哪些主機占用了該應用協議的上下行流量。點擊主機IP可以查看該主機所占用應用協議流量的詳細信息注意事項

若監(jiān)控范圍設為any時，IP記錄了客戶端和服務器兩個IP，每個IP記錄了上下行流量，這樣記錄了兩次，而應用協議只記錄了一次上下行流量，因此所有IP上下行流量總和約為應用協議上下行流量總和的2倍。當內網監(jiān)控指定IP時，應用排名中流量統計與詳細信息中主機流量基本相符。應用統計URL統計點擊URL名稱可以查看哪些主機訪問了該類網站以及具體的訪問次數。點擊主機IP可以查看該主機訪問了哪類網站以及具體的訪問次數當前連接接口流量統計點擊具體接口，顯示該接口的詳細流量信息。自定義統計對設備接口流量狀況、安全區(qū)域內的受攻擊狀況、病毒感染狀況、對應用流量的使用狀況及內主機訪問URL的狀況進行自定義查詢。系統管理雙機熱備---基本設置進入系統管理—>雙機熱備，進入雙機熱備的設置頁面身份：選擇主機時，默認的優(yōu)先級為254,；選擇從屬機時，默認的優(yōu)先級為100，當然優(yōu)先級可以手動更改地址：分為本地與對端，需要注意的是，這兩個地址必須在同一個網段心跳間隔：兩臺網絡衛(wèi)士設備互發(fā)通信報文的時間間隔。搶占：是指主網關宕機后，重新恢復正常工作時，是否重新奪回主網關的地位。優(yōu)先級相同的兩設備中不存在搶占，并且只有優(yōu)先級高設備搶占優(yōu)先級低的設備的主身份對端同步：從對端機同步配置到本機上本地同步：從本地機同步配置到對端上雙機熱備---基本設置

配置HA接口時，一定要將“ha-static”勾選，不然配置同步時會將該接口的信息覆蓋

配置物理接口其實VRID組就是用來選主備的，默認的情況下，所有的接口都是屬于VRID0的，我們可以創(chuàng)建一個VRID組（組號在1到255之間），組優(yōu)先級高的會優(yōu)先成為主，同時設備上也只能創(chuàng)建一個VRID組，后創(chuàng)建的VRID組會將前面創(chuàng)建的覆蓋掉fw36#haas-vrid1，在設備上創(chuàng)建vrid1，然后將通信接口加入到該組配置物理接口注意：目前我們的設備只支持AS模式。創(chuàng)建VRID組后，我們可以將接口加入到該組，如果加入到該組的某個接口down后，該組的優(yōu)先級就會變?yōu)?最好用設備上專用的HA口做雙機熱備設備處于standy時，接口不回復、轉發(fā)報文，所以不能用WEBUI登錄設備只有在配置正確完成后才能上架，不然在直連、交換模式下容易造成環(huán)路配置物理接口網絡管理鏈路聚合模塊的作用是使多個接口的流量匯聚到單條鏈路上，也能使單個接口收到的流量均衡的從多個接口發(fā)出，可以起到擴充鏈路帶寬和鏈路備份的作用。這個功能是topidpv5上新加的功能，設備上總共可以配置4條聚合鏈路，每條聚合鏈路上可以添加8個物理成員接口。負載均衡算法一共支持11個，分別根據不同的目標進行負載均衡，例如：根據源mac地址進行負載均衡，那么同一mac的流量只走聚合鏈路中的一個接口，不同mac的流量按照接口順序進行輪詢。其余算法的原理一樣鏈路聚合注：建立起來一個聚合鏈路，那么這個聚合鏈路就當作一個邏輯接口來看待，加入聚合鏈路的物理口，其本身的屬性都不生效了。目前聚合鏈路只支持交換和路由兩種模式，不支持直連，不能強制設定其雙工和速率，不能對其接口設定區(qū)域進行訪問控制鏈路聚合流量管理流量管理分為兩個部分：帶寬控制流量異常分布帶寬控制QOS策略屬性出廠時，是沒有任何QOS策略的，單擊添加，出現如上的頁面添加策略的名稱QOS策略可以同時控制上、下行帶寬，根據需要填寫在上、下行中可以選擇QOS的類型：1.策略獨享：當多條ACL引用同一策略獨享策略時，不同ACL之間的連接獨享限制帶寬與保證帶寬，同一ACL中的不同連接限制共享限制帶寬與保證帶寬2.獨享：當多條ACL引用同一獨享策略時，不同ACL之間的連接獨享限制帶寬與保證帶寬，同一ACL中的不同連接獨享限制帶寬與保證帶寬3.共享：匹配ACL的所有連接共享限制帶寬與保證帶寬4.受控：每個連接的帶寬不超過每主機限制帶寬，所有連接的帶寬之和不超過總限制帶寬優(yōu)先級：優(yōu)先級只在同種策略中才起效，接口的剩余帶寬優(yōu)先分配給優(yōu)先級高的鏈接。但前提是不高于限制帶寬優(yōu)先級有四個等級：特權、高、中、低

QOS策略屬性注意：1.當配置的QOS策略中有保證帶寬時，默認的優(yōu)先級為中，可以手動選擇特權或高；當只有限制帶寬時，優(yōu)先級只能為低，不可更改。同時受控類型的策略的優(yōu)先級也只能時低。2.只要上、下行中選的不是共享策略，那么其他三種策略可以互相搭配QOS策略屬性以下是關于優(yōu)先級實驗的截圖這是區(qū)域area_eth3中主機的下載速度。這是區(qū)域area_eth2中主機的下載速度（圖片中的兩個數據不是同時的）從上圖可以看出，接口剩余帶寬優(yōu)先分配給優(yōu)先級高的連接QOS策略創(chuàng)建好之后，必須在ACL中引用才能起作用如果ACL引用的策略帶有保證帶寬，那么我們必須要選擇區(qū)域，并且區(qū)域只包含一個接口，同時這個接口設置了有效帶寬同一QOS策略被不同ACL引用時，保證帶寬之和不能超過接口的有效帶寬其他的選項同ACL，這里不詳細詳述打開ACL的“選項”，點擊“高級”就可以看到創(chuàng)建的QOS策略。我們可以看到上面還有一個QOS選項，其實他和受控差不多，只不過他只能控制下載的速率，而不能控制上傳的速率對接口或協議相關的指標設制相應的閥值并制定相應的報警機制，檔統計值大于定值時報警流量異常檢測入侵防御在入侵防御策略的配置方面，策略的源和目的的配置與以前的v1版本相同，可以配置地址對象和區(qū)域對象。

入侵防御策略配置在規(guī)則集引用部分，和v3保持一致，依然采用單選的方式，而動作的執(zhí)行在規(guī)則集里進行單獨配置。

入侵防御策略配置入侵防御策略里引擎動作包括防火墻聯動、阻斷時禁止連接、阻斷時加入黑名單、輸出應用識別所有日志、輸出url所有日志。防火墻聯動功能：僅在ids監(jiān)聽模式下有效，當配置好防火墻聯動的配置以后，需要在引擎里打開這個開關后才能正常向防火墻下發(fā)策略阻斷時禁止連接：當判斷出連接上存在攻擊時向客戶端/服務器雙方向發(fā)rst來關閉連接，不勾選時僅為丟包阻斷時加入黑名單：勾選時會將識別為攻擊特征的連接其中的源地址自動添加到黑名單，并啟用一個定時器，在這個定時器時間范圍內此源地址無法穿過idp建立任何連接注：黑名單也可以手動設置，入侵防御策略后新加的選項就是添加黑名單，這種方式添加的黑名單是永久生效的，除非手動刪除輸出應用識別和url日志：默認是只在判斷為阻斷的情況下進行記錄，如果勾選則只要匹配規(guī)則的都會進行記錄，因為記錄大量的日志會消耗大量的系統資源。

入侵防御策略配置--檢測引擎參數設置

入侵防御策略配置--檢測引擎參數設置引擎工作模式包括：檢測模式和優(yōu)先模式。檢測模式分為智能檢測和深度檢測：智能檢測：只檢測每個連接的前n個報文（n可以用戶指定），能夠起到很好的性能優(yōu)化作用。深度檢測：連接的所有通信報文都進行檢測，性能會有很大降低。

入侵防御策略配置--檢測模式優(yōu)先模式分為應用優(yōu)先和安全優(yōu)先：應用優(yōu)先：啟動軟件bypass功能，如果流量增大到檢測引擎無法處理的情況，則軟件bypass功能發(fā)揮作用，超出的流量不再上送引擎處理，直接轉發(fā)，當引擎能夠處理后，流量又上送引擎檢測。在性能優(yōu)化方面起到作用。保證了客戶的正常應用，避免因處理能力導致的斷網。安全優(yōu)先：不啟動軟件bypass功能，如果流量超過檢測引擎處理能力，那么會出現丟包現象。

入侵防御策略配置--優(yōu)先模式協議支持協議支持的作用是針對用戶可能使用的非標準協議端口而起作用。如：HTTP8080或者FTP2121等。對應的配置在WEBUI上“資源管理→協議”頁面中。本頁面中已經預定義了絕大多數的應用層協議及其標準服務端口。已經預定義好的協議包括：ftp、ssh、telnet、smtp、dns、finger、http、pop2、pop3、sunrpc、auth、nntp、smb、imap、snmp、https、rlogin、rsh、mssql、oracle、mysql、oicp、irc。協議支持舉例說明：某用戶使用的HTTP服務器的服務端口為8080。那么，就需要在http協議對應的修改頁面中的端口部分修改為8080這個端口號，當然也可以不刪除原有的80端口，而是寫入8080端口與原有的80端口同時存在，使用“,”分隔開就可以了。協議支持對某協議端口的配置還可以通過使用一些符號來達到靈活配置的目的。例如上面說到的如果同時存在HTTP80和HTTP8080的服務器的話，那么http協議端口中可以寫入“80,8080”來表示80和8080端口。同樣的還有另外兩個符號：“!”和“:”?！?”表示非，例如：“!80”表示除80端口以外的其余端口?！?”表示范圍，例如：“80:8000”表示從80到8000端口范圍內所有端口號。協議支持注：協議支持頁面中不能增加新的協議，而只能通過修改系統預定義好的協議的端口號來實現該目的。修改完協議的端口號后，系統需要很短的一段時間來加載新的端口，一般時間為1、2秒鐘。協議支持和服務沒有任何關系，協議支持只對ips檢測起作用協議支持設備第一次上線建議使用智能檢測和應用優(yōu)先模式入侵防御策略也是按照從上向下后的順序進行匹配的，而且是按照源地址、源區(qū)域、目的地址、目的區(qū)域、時間五元組來進行匹配，按照最先匹配上的策略的規(guī)則和動作進行處理，不會再向下進行策略的匹配了。

例如：配置兩條入侵防御策略，地址部分相同，但策略1引用的規(guī)則集為木馬攻擊，策略2引用的規(guī)則集為HTTP類攻擊。

當有一個符合這兩條策略地址部分的HTTP類攻擊經過設備檢測的時候，會先匹配策略1，地址部分匹配上以后，就不會再向后匹配了，直接按照策略1的木馬攻擊類進行檢測，當然無法檢測到該攻擊。

所以，要檢測同樣地址部分的兩類攻擊，上述的兩條策略的配置是無法實現的，正確的方法應該只配置一條策略，在規(guī)則集中引用兩類攻擊的規(guī)則集。注意事項DDoS防御DDoS防御包括DDoS防御、CC攻擊防護、連接數限制、主機防護（syn_cookie）4個模塊。DDoS配置選擇需要防御的DDoS類型選擇閥值優(yōu)先級添加受保護對象閥值優(yōu)先級閥值優(yōu)先級分為服務器優(yōu)先和單機優(yōu)先（只對統計型攻擊和DNS,DHCP-FLOOD和CC攻擊生效）。服務器優(yōu)先時：設備將對每秒攻擊目標主機數統計，若大于服務器閥值，設備將會進行單機閥值統計（統計源和目標地址），若大于單機閥值則阻斷后續(xù)為該源地址的攻擊。單機優(yōu)先時：服務器閥值無效，設備直接進入單機閥值統計（統計源和目標地址），當源地址的攻擊數超過單機閥值，則阻斷后續(xù)為該源地址的攻擊。無論是服務器優(yōu)先，還是單機優(yōu)先，當每秒鐘連接數超過服務器高壓閥值，后續(xù)攻擊都將被阻斷。DDoS防御DDoS自學習開啟自學習功能，系統能根據當前網絡環(huán)境流量在設置的時間范圍內進行分析從而自動調整閾值至符合當前網絡狀況的值，并以“自學習結果”的形式顯示。DDoS防御CC攻擊CC攻擊是模擬多個用戶不停的訪問Web服務器上那些需要大量數據操作（即需要CPU長時間處理)的頁面，進而導致Web服務器CPU長時間高負荷運轉直至宕機，以達到攻擊目的。CC特性：CC目前支持IPV4和V6下的攻擊，目前支持的請求方法為get,post,head,且TCP標志位PUSH需置位。CC配置DDoS防御連接數限制連接數限制分為主機、子網、范圍連接數限制，除了保護對象范圍不一樣外，三者都是針對源地址進行并發(fā)連接數限制的，其中主機連接數限制比子網、范圍多了一個并發(fā)半連接數限制。并發(fā)連接數：同一時刻，允許其它主機與該主機建立的最大連接數。并發(fā)半連接數：同一時刻，允許其它主機與該主機建立的最大半連接數。連接數限制配置。DDoS防御主機防護（syn_cookie）Syn_cookie主要功能保護主機免受SYN_flood攻擊，與閥值防護SYN _flood攻擊區(qū)別在于syn_cookie可以保證正常訪問的同時阻斷syn_flood攻擊。說明：主機防護目前不支持IPV6。主機防護配置DDoS防御DDoS模塊注意事項DDoS模塊支持IPV6攻擊檢測有：SYN_FLOOD,UDP_FLOOD,ICMP_FLOOD,DNS_FLOOD,DHCP_FLOOD和CC攻擊。DDoS模塊支持的隧道封裝有：MPLS,GRE,QINQ,802.1Q，其中MPLS需要在系統管理->配置->高級屬性中開啟MPLS檢測開關。DDoS防御攻擊檢測規(guī)則配置目前設備出廠配置中會有預定義的一個攻擊檢測規(guī)則集，名稱是：精選規(guī)則(默認動作)。規(guī)則條數為328條，其中警告215條，阻斷113條。其中收集的是一些經常碰到的攻擊類型攻擊檢測規(guī)則配置如果上面系統預定義的規(guī)則集不符合使用需求的話，用戶可以根據自己的需要自定義規(guī)則集，在攻擊檢測規(guī)則頁面中點擊“添加”按鈕，就會進入添加頁面，輸入自定義規(guī)則集的名稱，選擇對應的分類方式、動作、是否記錄報文選項，點擊確定方可生成規(guī)則。攻擊檢測規(guī)則配置在基本配置中可以按照攻擊類型、風險等級、流行程度、操作系統、精選這幾種分類方式進行選擇。每個庫中都是按組進行劃分，選定一個組后可以選擇其動作、記錄報文的選項。同時如果在實際環(huán)境中產生了誤報，可以根據誤報的事件號在規(guī)則集里進行排除。如果對每個組內的規(guī)則進行詳細定制需要在進入頁面時輸入規(guī)則名并點擊高級配置如果想要根據某條規(guī)則的編號或者名稱查找該規(guī)則，則可以直接在搜索框中輸入待查找規(guī)則的編號，也可以輸入該規(guī)則的名稱的全部或部分內容。注：如果要根據規(guī)則名稱進行查找的話，則要注意輸入的內容包含空格的話，則設備會按照空格將輸入的內容分成多部分進行查找。例如：輸入搜索內容為“CVE-1999-1511”，則搜索后會將名稱中包含“CVE-1999-1511”的所有策略都列出來攻擊檢測規(guī)則配置病毒檢測策略配置第一步，配置病毒檢測規(guī)則選擇需要檢測的服務類型選擇處理動作病毒檢測策略配置舉例第二步，在入侵防御策略中引用病毒檢測規(guī)則選擇之前添加的病毒檢測規(guī)則病毒檢測策略配置舉例病毒檢測規(guī)則各類服務下阻斷動作和警告動作處理方式說明阻斷動作警告動作HTTP服務

斷開訪問連接并且給WEB客戶端返回病毒提示允許訪問，沒有病毒提示FTP服務

斷開FTP傳輸連接，FTP客戶端沒有病毒提示允許傳輸，沒有病毒提示SMTP服務

發(fā)送的郵件中病毒文件被清除，給接收郵件客戶端插入病毒提示附件。允許發(fā)送，給接收郵件的客戶端插入病毒提示附件。POP3服務

接收到的郵件中病毒文件被清除，給接收郵件客戶端插入病毒提示附件。允許接收，給接收郵件的客戶端插入病毒提示附件。病毒檢測策略配置舉例在FTP服務病毒阻斷的動作下，上傳或下載壓縮包文件中如果包含兩個以上病毒文件只能檢測出一個病毒。在POP3/SMTP服務下，如果郵件客戶端接收的壓縮文件中含有兩個以上病毒文件，提示附件只有一個。在HTTP服務病毒阻斷的動作下，如果HTTP服務器共享壓縮包文件中含有多個病毒，只能檢測出一個病毒。在FTP服務下，阻斷動作和警告動作檢測出來的病毒相差四倍，因為在阻斷動作下FTP客戶端會嘗試下載或上傳連接三次，就是說同一個病毒文件上傳或下載會被連續(xù)阻斷4次，所以在在FTP服務下，阻斷動作和警告動作檢測出來的病毒相差四倍。注意事項應用識別規(guī)則應用識別規(guī)則配置用戶根據需要添加應用識別規(guī)則，在應用識別規(guī)則頁面中點擊“添加”按鈕，就會進入添加頁面。輸入規(guī)則集的名稱，選擇需要的協議、動作，點擊確定即可生成規(guī)則。在入侵防御策略中引用應用識別規(guī)則后，規(guī)則生效。應用識別規(guī)則配置進行配置時需要注意的事項。應用識別規(guī)則配置支持對即時通訊軟件QQ和MSN進行帳號過濾。首先要在應用識別規(guī)則中選擇QQ登錄/MSN登錄，并且設置動作為帳號過濾，這樣添加的帳號過濾規(guī)則才能生效。系統對經過過濾配置的賬號執(zhí)行相應設置的操作；對于未經過過濾配置的賬號則執(zhí)行應用識別規(guī)則中賬號過濾的配置操作。應用識別規(guī)則配置除了系統自帶的應用識別規(guī)則庫，用戶可以根據自己的需要自行定義應用協議。設置好的自定義應用協議會自動添加到系統規(guī)則庫，供用戶在設置應用識別規(guī)則時引用。用戶在添加應用識別規(guī)則時，選擇自定義協議即可進行引用。應用識別規(guī)則配置疑似P2P功能作為應用識別規(guī)則下的P2P下載的補充，通過設置自定義參數，來判定主機是否發(fā)生疑似P2P事件。URL過濾策略配置URL白名單配置輸入白名單地址URL過濾策略配置舉例URL黑名單配置定義黑名單地址URL過濾策略配置舉例黑白名單配置注意事項：匹配順序是黑名單、白名單、URL規(guī)則庫黑白名單可以模糊匹配，例如黑名單中添加后，就無法訪問和這些包含地址了黑白名單也支持精確匹配，如果輸入,只匹配，不會匹配黑名單輸入

象或這些包含都會被匹配。白名單同樣支持模糊匹配選擇精確匹配選擇精確匹配后，只會匹配不會匹配。白名單同理。URL過濾策略配置舉例第一步，添加URL過濾規(guī)則引用白名單定義URL過濾規(guī)則中URL大分類動作引用黑名單設置阻斷動作處理方式URL過濾策略配置舉例第二步，在入侵防御策略中引用URL過濾規(guī)則選擇URL過濾規(guī)則URL過濾策略配置舉例URL過濾統計URL過濾統計點擊URL類型名稱能夠查看到訪問源IP地址點擊訪問源主機IP可以查看到該主機訪問哪些類型URL網站網站防護WEB掃描配置輸入掃描網站地址，格式為URL格式，輸入域名或IP地址選擇掃描速度輸入并發(fā)連接數（1-10）輸入掃描深度（1-15），最多支持15級目錄掃描選擇掃描文件類型掃描主機輸入的是URL,內容包括協議http、服務器的IP地址或域名，例如

或，需要注意的是無法指定掃描服務器子目錄資源，例如/view或/view，如果輸入該URL掃描依然會從服務器的根目錄進行掃描。WEB掃描配置注意事項WEB掃描統計點擊WEB掃描結果查看按鈕進行掃描結果查看點擊保存按鈕，將web掃描結果從設備上導出網頁防篡改網頁防篡改策略分為兩種防御方式，在線監(jiān)控和離線監(jiān)控?？梢陨?0條網頁防篡改策略，每條策略中可以保護最大5000個網頁，每個網頁最大10M，最多可以保護5級目錄深度，單條策略保護網站總大小不超過1G。數字水?。篿dp從ftp服務器上下載網站的所有文件在本地生成指紋庫（其實是將下載下來的文件記錄一個文件總長度并算出一個md5值存放在本地）離線監(jiān)控：按照配置里的根路徑檢查間隔和非根路徑檢查間隔對后臺網頁進行輪詢比對數字水印，如果發(fā)現網頁被篡改，則根據設置的動作進行執(zhí)行。勾選離線監(jiān)控后復選框里還有一個參數為不監(jiān)控文件類型，因為在社交式的網絡環(huán)境當中某些文件總是在改變的，例如數據庫文件，后臺圖片文件等等。當啟用離線監(jiān)控時必須排除這些總在變化的文件，只需填入后綴名并以逗號分開即可。在線監(jiān)控：只支持部分文件的監(jiān)控操作，需要在復選框內填寫在線文件監(jiān)控類型。和離線監(jiān)控一樣，只需填寫文件后綴并以逗號分割。在線監(jiān)控可以實現多個域名對應于單個實際網站節(jié)點的防篡改控制，例如：和兩個域名都指向同一個服務器路徑上的情況。網頁防篡改

后臺網站的根目錄必須處在一個ftp目錄下，并且要為idp在ftp上設置一個用戶，可以對該目錄上的所有文件都有上傳、下載、覆蓋原文件的權限。設備是通過管理口地址和后臺ftp服務器進行指紋庫獲取的。這里就涉及到一個權限分配的問題，我們建立客戶可以將ftp用戶和web管理員用戶劃到同一個組里，并且將網站根目錄所在文件夾的所屬組規(guī)定為這個組。而將訪問用戶設置為其它人權限。網頁防篡改網頁防篡改配置好所有參數后，設備會自動去ftp上下載所有文件，由于是異步方式，下載時間會很長，在這段時間內，是不會進行防篡改保護的。只有當所有文件全部下好之后才會啟動防篡改控制。所以在客戶的環(huán)境下演示時一定要保證后臺已經完全下載完全部的網頁文件再開始驗證其功能。在指紋庫里可以隨時對單個文件進行恢復，刪除，更新的操作網頁防篡改注：現在只是簡單的實現對靜態(tài)頁面的防篡改，對于動態(tài)頁面的網站，例如：新聞網、論壇、帶web-cgi腳本的網頁無法進行有效的防篡改。并且對網站主頁例如訪問/時，無法進行在線防篡改，必須在url里輸入指紋庫里有的文件名路徑才能生效，例如同樣訪問主/index.asp時，index.asp在指紋庫里存在才能夠對這個頁面施行保護。在網絡狀況出現異常時，網絡狀態(tài)的顏色卡會變紅。大致狀況分為兩種。后臺ftp服務器無法連接或者超時（這時是無法生成指紋庫的）指紋庫過大導致不能對所有文件進行保護（雖然不能對所有文件進行保護，但是只要是指紋庫里有的文件，該策略依然生效）在線防護時，如果動作選擇為恢復和記錄日志。而后臺網頁被篡改時，第一次訪問被篡改網頁會看到被篡改后的網頁，第二次進行訪問時才能夠看到恢復后的頁面。如果要達到真正的禁止用戶訪問被篡改網頁并且要做到及時恢復的話，一定要同時選擇禁止和恢復。網頁防篡改日志與報表日志設置設置服務器地址，端口后，通過Syslog協議將日志傳送到已設定的日志服務器上。記錄方式選擇自動方式時，如果服務器斷線，被存儲的日志在檢測到服務器在線的情況下將重新發(fā)送至日志服務器。記錄方式選擇自動方式+存儲硬盤方式時，如果服務器斷線后再上線，對于服務器不在線情況下記錄的日志不再重新發(fā)送至日志服務器。

系統日志系統日志存儲在緩存中，最多存儲2048條，設備重啟后就消失了?？梢酝ㄟ^關鍵字進行查找。

安全日志用戶可以自定義查詢條件，查找符合要求的日志。

安全日志注意事項：設備無硬盤時，安全日志和應用流量日志每種類型最多存儲10000條。重啟設備，原來記錄的安全日志還存在，緩存中的系統日志被清空。設備有硬盤時，安全日志和應用流量日志每種類型最多可記錄30萬條，滿30萬條后清除早期的10%日志并整理硬盤（大約剩余27萬條），然后記錄新的日志。

攻擊報文取證首先在添加攻擊檢測規(guī)則時，選擇記錄報文。系統對匹配到規(guī)則的報文記錄其詳細內容，將檢測到IPS攻擊、CC攻擊以及病毒攻擊事件的相關報文記錄下來保存到一個.pcap文件中。每條規(guī)則只產生一個攻擊報文文件，日期取最后一次攻擊發(fā)生的時間。報表手動生成手動生成日、周、月報表，假設系統時間為2012-02-08，則日報統計的是前一天24小時，即7日00:00:00至23:59:59；周報統計的是上一個自然周，即1月30日00:00:00至2月5日23:59:59；月報統計的是上一個自然月，即1月1日00:00:00至1月31日23:59:59。報表自動生成管理員可以選擇自動報表的類型、統計內容，配置報表自動發(fā)送的時間。系統會在指定的時間自動生成報表，通過郵件的方式發(fā)送給收件人。報表以附件形式存在。報警報警有三種方式：郵件報警，聲音報警，SNMP報警。在網絡管理->SNMP，設置陷阱主機，一定要重啟服務后，設置才能生效，SNMP報警才會觸發(fā)。為了節(jié)省系統資源，相同攻擊多次只有一次報警，以達到限制報警頻率的目的。目錄IPS系統安裝配置TP系統安裝配置典型實驗案例TP概述TopPolicy是一套安全設備集中管理、策略集中管理、監(jiān)控系統和審計系統。使企業(yè)和服務提供商集中高效的管理多達數千臺安全設備。集中進行設備配置避免網絡中因設備策略不一致造成的潛在安全漏洞。可以最大程度的降低配置，管理，監(jiān)控及維護設備的投入成本。是天融信公司網絡衛(wèi)士安全管理系統（TSM）的重要組成部分。

TP系統構成TP服務器端和TP管理的設備需要開放的服務端口如下圖所示TP安裝部署TP安裝部署TPv8版本運行的系統環(huán)境TPv8版本服務器安裝TPv8版本服務器證書配置NAT環(huán)境下的TPv8版本客戶端配置TPv8版本服務器初始化TPv8版本配置備份恢復TPv8版本服務器卸載TPv8版本客戶端端證書配置TPv8版本服務器運行進程TPv8版本服務器無法正常啟動原因TP安裝部署--TPv8系統環(huán)境TPv8服務器的運行系統環(huán)境1、win2003server2、win2008server3、win7TPv8支持的客戶端瀏覽器

1、IE6.02、IE7.03、IE8.0在第一次安裝TPv8之前先要安裝以下兩個軟件dotNetFx40_Full_x86_x64.exe和dotNetFx40LP_Full_x86_x64zh-Hans.exe；如果在在win2003server下安裝需先安裝如下3個文件：WindowsServer2003-KB942288-v4-x86.exeWindowsServer2003-KB958655-v2-x86-ENU.exewic_x86_chs.exeTP安裝部署—TPv8版本服務器安裝TP安裝部署—TPv8版本服務器安裝TPv8安裝注意事項在win2008server和win7系統下要以管理員身份運行TPv8安裝程序進行安裝。在win2008server和win7系統下要以管理員身份運行TopPolicy服務器和TopPolicy配置工具。

TP安裝部署—TPv8版本服務器安裝TP安裝部署—TP服務器證書配置輸入服務器端真實IP地址輸入服務器端真實IP地址非NAT環(huán)境下TP服務器證書配置TP安裝部署—TP服務器證書配置輸入域名輸入服務器端真實IP地址NAT環(huán)境下TP服務器證書配置TP安裝部署—NAT環(huán)境下的客戶端配置TP服務器在NAT環(huán)境下部署示意圖在C:\Windows\System32\drivers\etc找到hosts文件,用記事本或者寫字板打開輸入TP服務器公網IP地址和TP服務器域名NAT環(huán)境下TP客戶端配置(客戶端通過公網訪問)TP安裝部署—NAT環(huán)境下的客戶端配置在C:\Windows\System32\drivers\etc找到hosts文件,用記事本或者寫字板打開輸入TP服務器內網IP地址和TP服務器域名NAT環(huán)境下TP客戶端配置(客戶端通過內網訪問)TP安裝部署—NAT環(huán)境下的客戶端配置TP安裝部署—TP服務器初始化輸入備份文件密碼TP安裝部署—TP配置備份輸入備份文件密碼TP安裝部署—TP配置恢復TP安裝部署—TP服務器卸載TP安裝部署—TP瀏覽器端Silverlight安裝運行客戶端證書安裝程序點擊輔助工具運行客戶端證書安裝程序選擇查看CA證書選擇是TP安裝部署—TP瀏覽器端證書配置TP安裝部署—TP服務器運行進程TP服務器后臺運行進程分別是httpd.exeTPserver.exenserver.exemysql.exe設備管理---添加設備添加設備時，針對不同的產品，選擇相對應的設備類型設備管理---設備上線檢測TP提供了兩種檢測設備在線的方式。TP主動探測。對于不使用VPN模塊的產品，添加設備時應該選擇主動探測設備在線。設備主動注冊。對于要使用vpn功能模塊的產品，添加設備時應該選擇主動注冊。主動注冊的設備，設備上需要設置TP的注冊地址。設備管理---日志解析不同的產品類型，如果選擇的日志類型有誤，那設備日志的查詢功能將查詢不到設備的日志記錄。因為日志類型錯誤，解析日志失敗，導致日志無法入庫。注意：更改日志解析方式后，TPserver需要重啟才能生效。設備管理---配置獲取和恢復不同的產品類型，配置獲取和恢復的方式不同，設備支持命令行連接協議（telnet，ssh，xdoc）；設備管理---獲取版本號開啟獲取版本功能開啟命令行連接協議設備管理---TOS證書此功能項主要是針對TOS3.3.005版本（含）以后設備，在TP中添加包含此功能項類型設備后，如果設備IP、用戶名、密碼設置正確，且在設備上開啟了GUI服務，則TP會將設備證書自動更新到設備的本機證書中，并將設備的TP主、從服務器注冊地址分別修改為TP服務器設置中IP地址和IP地址2，從而使設備在TP中自動注冊上線。設備配置管理手動獲取設備配置自動獲取設備配置首先需要明白的是通過什么方式獲取設備的配置

1.命令行

2.xdoc其次就是獲取到了配置后，可以在哪看到獲取的配置

1.設備首頁---管理工具

2.\TopPolicy\TPServer\DevCfg保留最新的配置設備配置管理---流程圖設備配置管理---手動獲取

設備首頁---管理工具---配置管理---獲?。钚羞B接協議的方式）設備配置管理---自動獲取建立計劃任務，選擇設備，確定調度時間，到了調度時間windows計劃任務就會執(zhí)行，設備配置獲取。設備配置管理---查看配置方法一.通過設備首頁的管理工具中雙擊配置文件方法二.在tpserver的安裝DevCfg目錄下查看最新配置設備配置管理---注意事項明確設備類型中，獲取配置的方式明確使用的命令行連接協議，設備上應該對應的開啟相應的服務版本、配置的歷史記錄通過版本和配置的變更提示，使管理人員實時跟蹤設備變化首先需要啟用升級檢測和配置檢測功能其次啟用獲取版本和配置功能，以及方式版本、配置變更---流程圖版本、配置變更---系統參數設置在系統參數中啟用升級檢測和配置檢測版本、配置變更---歷史記錄在設備首頁—管理工具---版本歷史中查看版本歷史記錄版本、配置變更---確認在歷史記錄中，選擇確認，取消設備列表中的提示版本、配置變更---確認變更確認前確認后版本、配置變更---注意事項配置檢測在TP上的配置與獲取配置時的配置一樣設備上開啟的服務要和版本檢測使用的方式一致SNMP監(jiān)控設備首頁---基本信息設備首頁---網絡設置設備首頁---接口監(jiān)控性能監(jiān)控接口監(jiān)控SNMP監(jiān)控---流程圖SNMP監(jiān)控---監(jiān)控設置在使用snmp監(jiān)控設備的相關信息時，一定要有設備的mib節(jié)點，并且TP上填寫的節(jié)點信息要和設備相匹配SNMP監(jiān)控---基本信息設備相關信息許可證信息系統狀態(tài)接口狀態(tài)SNMP監(jiān)控---網絡設置獲取設備的ARP表獲取設備的路由表SNMP監(jiān)控---接口監(jiān)控監(jiān)控設備接口狀態(tài)監(jiān)控設備接口流量SNMP監(jiān)控---性能監(jiān)控監(jiān)控設備的cpu，內存以及連接數等信息SNMP監(jiān)控---注意事項設備連接數信息，設備CPU信息，設備內存信息，連接數趨勢，像這些監(jiān)控信息，需要選擇設備。SNMP監(jiān)控---接口監(jiān)控注意：設備接口信息列表，設備接口流量TOPN，設備接口速率，這些信息需要選擇設備SNMP監(jiān)控---注意事項設備類型中的snmp節(jié)點信息一定要跟設備上的一致Snmp管理主機要設置，community和TP上設置一致性能監(jiān)控和接口監(jiān)控時，確認設備加入到SNMP監(jiān)控Netflow監(jiān)控TopPolicy根據接收到的Netflow流量數據，對任何支持Netflow流量數據采集的設備進行Netflow流量監(jiān)控使用NETFLOW需要開啟設備的NETFLOW流量發(fā)送功能，并把發(fā)送地址指向TP服務器TopsecOS#systemnetflowshownetflowserveripaddr'62'netflowserverport9991netflowtransferprotocolUDPnetflowtransferoptionenableNetflow監(jiān)控---監(jiān)控數據列表監(jiān)控設備連接以及應用協議流量分布情況監(jiān)控閥值報警監(jiān)控閥值報警是指TP將被監(jiān)控設備的性能監(jiān)控信息與閥值報警規(guī)則進行匹配，如果匹配成功就觸發(fā)報警。所以首先要取得設備的性能監(jiān)控數據。監(jiān)控閥值報警---流程圖監(jiān)控閥值報警---報警方式TP現有的報警方式：◆snmp：TP把自己的報警信息trap給其它的第三方◆

Winpop：通過windows的消息服務把報警信息發(fā)給指定的PC◆管理器：指定那些管理員可以看到實時報警信息◆手機短信：把TP的報警信息以短信方式發(fā)送給指定的管理員或手機號碼◆郵件報警：把TP的報警信息以短信方式發(fā)送給指定的管理員或郵箱◆上下級服務器：把報警信息發(fā)送給級聯的上下級服務器◆外部的應用程序：當報警信息被觸發(fā)時，TP會調用TP服務器上的其它的應用程序去行，這個應用程序是用戶可以設定的可執(zhí)行文件，感覺這種報警方式最為靈活。監(jiān)控閥值報警---監(jiān)控列表將設備加入SNMP監(jiān)控加入SNMP監(jiān)控前加入SNMP監(jiān)控后監(jiān)控閥值報警---添加規(guī)則有四個屬性值，選擇邏輯操作“與”時，設置的條件都要滿足才能觸發(fā)報警；選擇邏輯操作“或”時，只要有一個條件滿足就可以觸發(fā)報警。監(jiān)控閥值報警---注意事項TP是通過snmp獲取設備性能數據，存入數據庫中，然后匹配報警規(guī)則，所以設備需要設置snmp管理主機，并開放snmp服務只有在配置的報警時間內，安全事件滿足觸發(fā)條件時才進行報警日志審計日志管理如何判斷設備日志是否入庫收集設備日志的注意事項日志查詢日志導出報表管理設備日志備份恢復日志審計--日志管理支持日志格式：SYSLOG格式設置查詢條件，對系統日志和設備日志進行查詢

列表方式顯示查詢的日志信息查詢到的日志可根據列名進行排序查詢結果可以批量導出，文件格式為txt、CSV系統日志可轉發(fā)（1）在設備日志設置中需要配置：日志審計--設備日志接收服務器端口為514輸入TP服務器IP地址傳輸類型選擇syslog選擇日志級別選擇需要收集日志類型（2）將所要接收的日志設備加入到接收日志設備列表。需要特別注意的是：設備上的時間要與TP服務器端的時間同步。如果不同步會影響到日志查詢的準確性和報表數據的準確性。日志審計--設備日志接收顯示該設備是否正在接收設備日志日志審計—如何判斷設備日志是否入庫首先判斷設備日志是否從設備上發(fā)送到TP服務器端，可以用抓包工具在TP服務器端來檢查！端口號是514。日志審計—如何判斷設備日志是否入庫在保證設備日志已發(fā)送到TP服務器端前提下判斷設備日志是否入庫的方法：方法一、在TP設備日志管理界面中查詢設備日志，查詢的時間范圍要包含到設備日志的時間，看看是否能夠查詢到設備日志日志審計—如何判斷設備日志是否入庫方法二、在數據庫安裝目錄下找到runtime_db文件夾，進入該文件夾找到dev_log_table1.MYD，看該文件的大小是否有變化，看該文件的修改時間是否是最近時刻。日志審計—如何判斷設備日志是否入庫方法三、在DOS模式下進入mys