HCSecPathT系列IPS开局指导.pptx

,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,为什么需要,IPS,？怎么部署和管理,IPS,设备？,如何安装、配置,H3C,的,IPS,设备？,引入,了解,IPS,基本原理和典型应用,掌握,IPS,的安装和开局配置思路,掌握,IPS,的,Web,管理方式,掌握,IPS,的,CLI,管理维护方式,课程目标,学习完本课程，您应该能够：,IPS,基本原理和典型应用,IPS,的安装和开局配置思路,Web,管理方式介绍,CLI,管理方式介绍,目录,IPS,防范网络攻击和网络滥用流量,Web Server,Mail Server,user,user,Attack,恶意攻击,正常访问,与,IPS,内部,“,特征库,”,特征相匹配,IPS,的部署与安全策略应用,研发,财经,市场,DMZ,区,SMTP,POP3,WEB,ERP,OA,CRM,数据中心,IPS,旁路部署在,DMZ,区，交换机将进出,DMZ,区的流量镜像到,IPS,，可以,检测来自,Internet,的针对,DMZ,区服务器的应用层攻击,检测来自,Internet,的,DDoS,攻击,IPS,部署在数据中心：,抵御来自内网攻击，保护核心服务器和核心数据,提供虚拟软件补丁服务，保证服务器最大正常运行时间,基于服务的带宽管理,IPS,部署在内部局域网段之间，可以,抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播,抵御内网攻击,分支机构,分支机构,分支机构,IPS,部署在广域网边界：,抵御来自分支机构攻击,保护广域网线路带宽,IPS,部署在外网,Internet,边界，放在防火墙前面，可以,保护防火墙等网络基础设施,对,Internet,出口带宽进行精细控制，防止带宽滥用,URL,过滤，过滤敏感网页,IPS,基本原理和典型应用,IPS,的安装和开局配置思路,Web,管理方式介绍,CLI,管理方式介绍,目录,设备的三种管理方法及组网,设备的初始配置,设备的各类安全策略,IPS,的安装和开局配置思路,基于串口命令行管理方法,基于,HTTP/HTTPS,的,Web,管理方法,基于,Telnet,的命令行管理方法,设备的三种管理方法及组网,串口管理的组网,新建串口连接,使用,windows,系统自带的“超级终端”工具,注意选择的串口与配置电缆实际连接的串口一致,设置串口终端的参数,点击“还原为默认值”，设置波特率为,9600,，数据位为,8,，奇偶校验为无，停止位为,1,，数据流控制为无,串口管理界面,密码为大写的,H3C,基于串口命令行管理方法,基于,HTTP/HTTPS,的,Web,管理方法,基于,Telnet,的命令行管理方法,设备的三种管理方法及组网,Web,管理方式的组网,system,H3Cinterface m-gigabit0/0/0,H3C-ifip address ,默认情况下，设备默认管理口是,g0/0/0,默认地址是：,192.168.1.1/24,上电启动完毕后，可以在串口上修改管理口,IP,地址,禁止使用,g0/0/1,作为管理口地址,Web,管理方式的登陆界面,输入“,http,:/”,用户名、密码默认,admin,基于,HTTPS,的,Web,管理方式,输入“,https,:/”,设备初始化时，默认开启此管理方式,基于串口命令行管理方法,基于,HTTP/HTTPS,的,Web,管理方法,基于,Telnet,的命令行管理方法,设备的三种管理方法及组网,基于,Telnet/SSH,的命令行管理方式组网,设备默认情况下，没有打开,Telnet,服务,需要在串口上开启服务，方可用,Telnet,登陆设备,system,H3Ctelnet service enable,基于,Telnet,的命令行管理方式,密码为大写的,H3C,设备的三种管理方法及组网,设备的初始配置,设备的各类安全策略,目录,设备的初始化配置,配置管理口,IP,地址,配置安全区域,配置段,添加管理口静态路由（可选配置）,开启设备的二层回退功能,从左往右依次是,1,个为管理串口，两个,USB,口，四个业务口，一个管理网口,左边上、下两个业务口为一个段，右边上、下两个业务口为一个段,在菜单”对象管理”,”,安全区域管理”下，将,IPS,的业务口加入相应的区域中；,首先创建两个域：,WAN,和,LAN,；然后将接口,g-ethernet0/0/2,添加到区域,WAN,中，将接口,g-ethernet0/0/3,添加到区域,LAN,中。,安全区域配置,2.,在菜单”对象管理”,”,段管理”,”,创建段”下，内部域和外部域：内部域、,外部域决定了策略的检测方向及流量管理的限流方向；（切记）,创建段,1,，并且将域,LAN,添加到内部域，将域,WAN,添加到外部域中。,段配置,3.,这样，就可以在菜单”对象管理”,”,段管理”,”,段配置”下，查看到当前已经配,置完成的段：,4.,在菜单”系统管理”,”,网络管理”下，启用相关接口，配置接口,3,和接口,4,速率、双工,状态。,此时，一定要保证速率和双工状态与对端设备相同；,由于端口芯片实现原因，,IPS,业务口禁止手动强制,1000M,。,段配置,5.,当管理,PC,与,H3C IPS,管理口的地址不在同一网段是，就需要添加管理口路由。,在菜单”系统管理”,”,路由管理”,”,添加路由”下，添加设备的管理口默认网关。,管理口路由配置,6.,开启二层回退功能,在菜单”系统管理”,”,二层回退”下，”启用二层回退”功能。,设备配置过程中与设备割接时，务必保证设备以二层回退状态接入网络；,在此状态下，如果用户网络一切正常，再将设备恢复到正常状态。,二层回退配置,设备的三种管理方法及组网,设备的初始配置,设备的各类安全策略,目录,攻击防护策略,带宽管理策略,URL,过滤策略,DDoS,策略,病毒防护,策略,设备的各类安全策略,在实际应用时，,IPS,为必配项,其他几项策略为可选项，请根据用户需求做适当配置,IPS,基本原理和典型应用,IPS,的安装和开局配置思路,Web,管理方式介绍,CLI,管理方式介绍,目录,Web,界面概览,各类安全策略配置,其他配置,Web,管理方式介绍,Web,界面概览,辅助区,Web,界面概览,导航区,Web,界面概览,配置区,Web,界面概览,初始化,首次登陆后，请：,添加管理帐号；,选择,HTTP/HTTPS,服务，默认推荐使用,HTTP,方式；,给设备添加,License,；,升级设备软件版本和特征库版本。,Web,界面概览,初始化,添加管理员帐户；,在“系统管理”,”,用户管理”,“,用户列表”菜单下，添加新的管理员帐户。,Web,界面概览,初始化,2.,选择,HTTP/HTTPS,服务，默认推荐使用,HTTP,方式；,默认配置时，设备启用的是,Https,管理；如果要切换成,Http,管理，需要在“系统管理”,”HTTP/HTTPS,配置”菜单下，勾选,HTTP,管理选项，保存系统配置，然后重启设备即可。,Web,界面概览,初始化,3.,添加,License,；,在菜单”系统管理”,“License,文件管理”,”,文件信息”下，可以查看设备的,License,注册信息。,设备如果没有进行,License,注册，将不能升级特征库版本。,Web,界面概览,初始化,4.,升级设备软件版本和特征库版本；,手动升级：,在设备割接前，应将,IPS,的系统软件和特征库软件升级到当前最新版本。,在”系统管理”,“,升级管理”,”,软件版本升级”菜单下，可以升级设备的系统软件。,4.,升级设备软件版本和特征库版本；,手动升级：,在”系统管理”,“,升级管理”,”,手动升级”菜单下，可以升级设备的特征库版本。,Web,界面概览,初始化,4.,升级设备软件版本和特征库版本；,特征库自动升级：,在”系统管理”,“,升级管理”,”,自动升级”菜单下，可以配置设备自动升级。,Web,界面概览,初始化,攻击防护,.,带宽控制,.,URL,过滤,.,DDoS.,病毒防护,.,各类安全策略配置,攻击防护,概念,安全区域和段,安全区域是一个物理,/,网络上的概念（特定的物理端口）,段可以看作是连接两个安全的区域的一个透明网桥,策略被应用在特定的段上。段,+,策略,+,网络配置,(IP,地址、方向,),特征、规则和策略,特征定义了一组检测因子来决定如何对当前网络中的流量进行检测,规则的范畴比特征要广。规则,=,特征,+,启用状态,+,动作集,策略是一个包含了多条规则的集合,动作和动作集,攻击防护,配置,前提,创建好需要的安全区域和段,(,参见,Web,配置手册,中段管理以及安全区域模块,),。,配置步骤：,创建一个,IPS,策略,(,从缺省的进行拷贝,),，如：“,IPS for Finance”,。,对创建的策略进行相关的修改，搜索、修改、保存。,将策略“,IPS for Finance”,应用到指定的段上。,激活配置更改。,可参见,Web,配置手册,中的,IPS,典型配置举例,。,攻击防护,配置,在”对象管理”,”IPS”,快捷应用”菜单下，可以新建一条,IPS,防护规则。,攻击防护,配置,在”对象管理”,”IPS”,策略管理”菜单下，可以配置,IPS,策略。,攻击防护,.,带宽控制,.,URL,过滤,.,DDoS.,病毒防护,.,各类安全策略配置,带宽控制,配置,策略带宽控制配置,创建策略控制带宽配置,(,对象管理,-BWC,管理,-,策略带宽控制列表,),创建带宽管理策略,(,对象管理,-,带宽控制,-,策略管理,),将策略带宽控制关联到带宽管理策略（同上一步页面）,配置带宽管理规则,(,可选,，如果需要配置相关的应用带宽,),在段上应用配置后的带宽管理策略,(,对象管理,-,段管理,-,段策略管理,),。,激活配置更改,参考,Web,配置手册,中带宽管理模块中的举例,带宽控制,配置,应用带宽控制配置,和策略带宽配置步骤一致,在配置带宽控制策略的时候对特定的服务进行单独的配置,规则,每一条规则：服务,+,时间表,+,动作集,+,是否启用,应用带宽配置只要被用来进行,P2P,带宽限制等业务,动作集（用户可定义）,Action Set,Block,/Permit/,Rate Limit,Packet Trace,or NOT,Notify,or,NOT,+,+,Rate Limit,Downlink Application BWC,Uplink Application BWC,Max Concurrent Cons,带宽控制,配置,在”对象管理”,”,带宽管理,”,规则管理,”菜单下，可以配置带宽管理策略。,攻击防护,.,带宽控制,.,URL,过滤,.,DDoS.,病毒防护,.,各类安全策略配置,URL,过滤,概念,URL,过滤是如何工作的,?,例如：,*/*,Accept-Language:zh-cn,UA-CPU:x86,Accept-Encoding:gzip,deflate,If-Modified-Since:Mon,16 Jul 2007 07:48:58 GMT,If-None-Match:6ea942c47dc7c71:263,User-Agent:Mozilla/4.0(compatible;MSIE 7.0;Windows NT 5.1;.NET CLR 1.1.4322;.NET CLR 2.0.50727),Host:,Connection:Keep-Alive,传输层数据如下：,192.168.10.100:1378-,172.24.15.40,:80,IP,地址：,172.24.15.40,正则表达式：,/portal/res/200707/16/20070716_120096_H3C%20showroom_207640_1515_0.jpg,主机名：,URL,过滤,配置,配置步骤,创建,URL,过滤策略（对象管理,-URL,过滤,-,策略管理）,创建时间表并关联到指定的,URL,过滤策略（可选）,在,URL,过滤策略中创建,URL,过滤规则（对象管理,-URL,过滤,-,规则管理）,在指定的段上配置相应的,URL,策略,激活配置更改,URL,过滤,配置,在“对象管理”,“URL,过滤”,”,策略管理”菜单下，可以配置设备的,url,过滤策略。,攻击防护,.,带宽控制,.,URL,过滤,.,DDoS.#NOT AVALIABLE TODAY,病毒防护,.,各类安全策略配置,攻击防护,.,带宽控制,.,URL,过滤,.,DDoS.,病毒防护,.,各类安全策略配置,病毒防护,IPS,中病毒相关的特征和病毒防护功能的区别,IPS,中病毒、蠕虫相关的特征只检测病毒、蠕虫间的通讯等特征,AV,特征库则检测传输层中数据的特定内容。,(,如文件,PE,头，特定的二进制代码,),Sasser,Exploit for RPC-LSASS,执行,Shellcode:,通过,tftp,下载,sasser.exe,Sasser.exe,PE Header,Block by IPS,Block by AV,前提,创建好需要的安全区域和段,(,参见,Web,配置手册,中段管理以及安全区域模块,),。,配置步骤：,创建一个,AV,策略,(,从缺省的进行拷贝,),，如：“,AV for Finance”,。,对创建的策略进行相关的修改，搜索、修改、保存。,将策略“,AV for Finance”,应用到指定的段上。,激活配置更改。,可参见,Web,配置手册,中的,IPS,典型配置举例,。,病毒防护,配置,病毒防护,配置,在”对象管理”,”,防病毒管理”,”,策略管理”菜单下，可以配置设备的病毒防护策略。,各类安全策略配置,防护策略配置小结,默认的,IPS,防护策略，内置了,2300,余种攻击特征规则，设备能够检测出匹配这些规则的攻击。,在实际使用时，直接把这个默认的,IPS,防护策略应用到段上，指定策略的检测方向即可。,配置步骤如下：,1,、在段上应用默认的,IPS,策略，配置正确的检测方向；,2,、激活配置；,提供默认的带宽管理策略，对所有服务的动作都为,permit,。,使用前，需要了解用户对网络应用有哪些需求,，如：哪些服务需要阻断、哪些需要限流。配置步骤如下：,1,、配置,BWC,（可选，当需要对网络应用做限流时才配置）,2,、配置动作及动作集（可选）,3,、配置时间表（可选）,4,、在带宽管理策略下配置规则，选择具体的服务、动作集,5,、为策略选择时间表，为策略下的规则选择时间分组，根据用户需求配置相应时间段的动作集（可选，满足不同时间段下，对网络应用采取不同动作）,6,、在段上应用带宽管理策略，配置正确的检测方向；,7,、激活配置；,各类安全策略配置,带宽管理配置小结,H3C SecPath IPS,系列产品提供默认的,URL,过滤策略，但没有配置任何过滤规则。,使用前，需要了解用户有哪些需求,，如：允许访问哪些网页、需要阻断哪些网页的访问。配置步骤如下：,1,、配置时间表（可选）,2,、在,URL,过滤策略下配置规则，选择过滤类型、配置检测内容、选择动作集,3,、为策略选择时间表，为策略下的规则选择时间分组，根据用户需求配置相应时间段的动作集（可选，满足不同时间段下，对网络应用采取不同动作）,4,、在段上应用,URL,过滤策略，配置正确的检测方向；,5,、激活配置；,各类安全策略配置,URL,配置小结,H3C SecPath IPS,系列产品提供默认的,AV,防护策略，可以检测,30,个种类的病毒。,实际使用时，直接把这个默认的,AV,防护策略应用到段上，指定策略的检测方向即可。,配置步骤如下：,1,、在段上应用默认的,AV,防护策略，配置正确的检测方向；,2,、激活配置；,各类安全策略配置,病毒防护配置小结,系统恢复和备份,备份和恢复,恢复配置时要求,软件版本,及,产品型号,和备份时一致,恢复设备自动重启,备份操作会拷贝当前的特征库，因此恢复后特征库也会恢复原来的版本和配置,Thanks!,Dont forget click logout!,