趨勢(shì)科技-IWSA技術(shù)培訓(xùn)VIP

TrendMicro use only IWSA技術(shù)培訓(xùn) 李國(guó)強(qiáng) 2 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 57 205 799 1,484 2,397 3,881 6,279 10,160 16,438 26,598 2007 2009 2011 2013 2015 每小時(shí) 預(yù)計(jì)增加的惡意程序數(shù)量 病毒指數(shù)級(jí)增長(zhǎng) 數(shù)據(jù)來(lái)源： AV-T “大三角 ” 理論：網(wǎng)關(guān)防護(hù)至關(guān)重要 網(wǎng)關(guān) 1個(gè) 2臺(tái) 25個(gè) 50臺(tái) 5000臺(tái) 郵件服務(wù)器 子網(wǎng) 應(yīng)用服務(wù)器 客戶端 Internet 防護(hù)更復(fù)雜 一致性更差 Web 威脅 3年增長(zhǎng)了 1731% Web 威脅 : 2005年來(lái)的增長(zhǎng)統(tǒng)計(jì) Web威脅：增長(zhǎng)最快的威脅形態(tài) 典型的 Web威脅 攻擊 知名 募捐 網(wǎng)站 重定向 惡意 網(wǎng)站 （俄羅斯） 信息收集 網(wǎng)站 帳號(hào)信息 帳號(hào)信息 自動(dòng)下載 （每 10秒更新 1次） 黑色產(chǎn)業(yè)鏈：檢測(cè)更困難 付費(fèi)訂購(gòu)惡意程序 付費(fèi) QA，保證不被任何安全廠商檢測(cè)得到 惡意程序類型 訂 購(gòu)價(jià)格 廣告類間諜程序 美國(guó) $0.3 加拿大 $0.2， 英國(guó) $0.1, 其它 $0.01 惡意程序組合包 （ 基本 ） $1,000 - $2,000 惡意程序組合包 (升級(jí)服務(wù) ） $20/次 漏洞挖掘租賃服務(wù) （ 1小時(shí) ） $0.99 漏洞挖掘租賃服務(wù) （ 2.5小時(shí) ） $1.60 漏洞挖掘租賃服務(wù) （ 5小時(shí) ） $4 不能檢測(cè)出來(lái)的竊取型木馬 $80 DDOS 攻擊 $100/天 10,000臺(tái)僵尸控制機(jī)器 $1,000 竊取銀行帳號(hào)類木馬 $50 發(fā)送 100萬(wàn)封惡意郵件 $8 8 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 9 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA 主要功能 HTTP/FTP 惡意代碼掃描 間諜軟件 /灰色軟件掃描 反釣魚(yú) 支持 ICAP 支持 LDAP URL過(guò)濾 支持 EPS AAXS 支持透明橋模式 與 DCS聯(lián)動(dòng) 硬件產(chǎn)品 IWSA 5000 IWSA 2500 10 TrendMicro use only HTTP/FTP惡意代碼掃描 IWSA 2500 HTTP/FTP掃描 在網(wǎng)關(guān)透明過(guò)濾來(lái)自 HTTP的病毒； 在網(wǎng)關(guān)透明處理來(lái)自 FTP的病毒； 采用趨勢(shì)科技獨(dú)創(chuàng)的 Intelliscan技術(shù)； 對(duì)壓縮文件靈活的處理方式； 采用獨(dú)特的 Defer Scanning技術(shù)，解決網(wǎng)關(guān)對(duì)大文件處理的瓶頸問(wèn)題； 自帶 File-Blocking技術(shù)。 WEB信譽(yù) 11 TrendMicro use only 12 TrendMicro use only 間諜軟件 /灰色軟件掃描 IWSA 間諜軟件防護(hù) 對(duì)特定的 Spyware進(jìn)行掃描； 對(duì)特定的 Adware進(jìn)行掃描； 阻止用戶下載間諜軟件； 防止間諜軟件“ call-home”； 13 TrendMicro use only 反釣魚(yú)網(wǎng)站 IWSA 反釣魚(yú)網(wǎng)站 阻止用戶訪問(wèn)釣魚(yú)網(wǎng)站； 實(shí)時(shí)更新 Phishing Pattern； 采用趨勢(shì)科技獨(dú)創(chuàng)的 Phishing Trap技術(shù)； 14 TrendMicro use only URL過(guò)濾庫(kù) IWSA URL Filter 靈活的基于策略的設(shè)置； 可以設(shè)置不同的時(shí)間段； 采用趨勢(shì)科技提供的 URL過(guò)濾庫(kù)，目前已達(dá) 820萬(wàn)條記錄； 有效控制了用戶的上網(wǎng)行為，凈化了企業(yè) Web訪問(wèn)內(nèi)容。 15 TrendMicro use only IWSA AAXS ActiveX控件及 Java小程序過(guò)濾 靈活的基于策略的設(shè)置； 針對(duì) ActiveX控件的安全策略； 針對(duì) Java小程序的安全策略； 16 TrendMicro use only 與 DCS聯(lián)動(dòng) 與 DCS聯(lián)動(dòng) 對(duì)感染間諜軟件的客戶端進(jìn)行遠(yuǎn)程修復(fù)； 有效控制了企業(yè)網(wǎng)絡(luò)內(nèi)部的間諜軟件； 17 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 18 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA2500產(chǎn)品規(guī)格 : 1 U 機(jī)架 能夠支持最多 5000用戶 并發(fā) Http連接數(shù) 2000個(gè) IWSA 2500 IWSA5000產(chǎn)品規(guī)格 : 2 U 機(jī)架 能夠支持最多 10000用戶 并發(fā) Http連接數(shù) 6000個(gè) IWSA 5000 19 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 20 TrendMicro use only IWSA 部署方式 IWSA部署方式；管理員可以根據(jù)企業(yè)的本身需求，部署 IWSA設(shè)備，部署后不會(huì)影響現(xiàn)有客戶的網(wǎng)絡(luò)結(jié)構(gòu)。 代理聯(lián)動(dòng)模式 ICAP+IWSA 完全透明橋模式 與 L4交換機(jī)聯(lián)動(dòng) 與 Cisco交換機(jī)聯(lián)動(dòng) 21 TrendMicro use only 代理聯(lián)動(dòng)模式 部署在客戶端與代理服務(wù)器之間，接管所有來(lái)自客戶端的 HTTP/FTP請(qǐng)求 優(yōu)勢(shì)說(shuō)明 保護(hù)投資， IWSA可以與任何的代理服務(wù)器兼容； 與 DCS聯(lián)動(dòng)，有效抵御間諜軟件的攻擊； 注意事項(xiàng)：需要更改客戶機(jī)的 IE代理設(shè)置 I n t e r n e t代 理 服 務(wù) 器客 戶 端 內(nèi) 部 網(wǎng) 絡(luò)22 TrendMicro use only ICAP + IWSA 部署 ICAP Client的旁路，對(duì)流經(jīng) ICAP的 HTTP及 FTP數(shù)據(jù)流進(jìn)行掃描 優(yōu)勢(shì)說(shuō)明 配合 Catch，對(duì) Web安全掃描有更高的效率； 如果客戶原來(lái)就使用 ICAP，則無(wú)需更改客戶端配置，部署簡(jiǎn)單； 注意事項(xiàng)：需要使用兩個(gè)以太網(wǎng)口 I n t e r n e t客 戶 內(nèi) 部 網(wǎng) 絡(luò)23 TrendMicro use only 透明橋模式 部署客戶端與防火墻之間，對(duì)流經(jīng) IWSA的 HTTP及 FTP數(shù)據(jù)流進(jìn)行掃描 優(yōu)勢(shì)說(shuō)明 透明橋工作模式，無(wú)需更改客戶端的代理設(shè)置； 即插即用，部署簡(jiǎn)單； 注意事項(xiàng)：需要使用兩個(gè)以太網(wǎng)口 I n t e r n e t客 戶 內(nèi) 部 網(wǎng) 絡(luò)24 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 25 IWSA開(kāi) /關(guān)機(jī)的特別說(shuō)明 開(kāi)關(guān)機(jī)說(shuō)明 : 開(kāi)機(jī)：接通電源后按一下開(kāi)關(guān)，松手； 關(guān)機(jī)： 同樣按一下開(kāi)關(guān)，松手 。等待 1.5分鐘左右，讓機(jī)器自行關(guān)閉。系統(tǒng)在自行關(guān)閉時(shí)會(huì)同步 RAID，依次關(guān)閉服務(wù)。 絕對(duì)禁止 ： 關(guān)機(jī)時(shí)長(zhǎng)按電源開(kāi)關(guān)不松手進(jìn)行強(qiáng)制關(guān)機(jī)，此舉有可能會(huì)造成 RAID/硬盤損壞，系統(tǒng)服務(wù)出現(xiàn)問(wèn)題 。 26 IWSA 2500 RAID狀態(tài)檢查 處理步驟 : 從超級(jí)終端中進(jìn)入 linux系統(tǒng)，執(zhí)行如下操作： 1. #cd /etc 2. #./raid_setup 如果顯示的兩個(gè)設(shè)備不全是 Active，則代表 RAID在關(guān)機(jī)過(guò)程中損壞； 請(qǐng)依照 8、 IWSA硬盤損壞的檢查與恢復(fù) 200706.doc 文檔前部分方法進(jìn)行處理。 Proxy Mode 訪問(wèn)網(wǎng)頁(yè)慢 27 TrendMicro use only 癥狀 每一次訪問(wèn)的響應(yīng)時(shí)間都很差 . What to look for 從 IWSA Shell界面中執(zhí)行 nslookup查詢已知的響應(yīng)慢的站點(diǎn)，是不是nslookup的響應(yīng)也非常慢？ If so 這種延遲可能是由 DNS的響應(yīng)比較差造成的?？蛻魧?IWSA的 DNS指向外網(wǎng) ISP的。 ISP的 DNS服務(wù)響應(yīng)相比內(nèi)網(wǎng) DNS，響應(yīng)會(huì)變慢很多。 What to do 這種情況可通過(guò)在 IWSA中部署 DNS cache來(lái)實(shí)現(xiàn)， IWSA 5000將內(nèi)置，IWSA3.1可采用 BIND按文檔步驟來(lái)實(shí)現(xiàn) 查看是否能用透明方式部署，透明方式由瀏覽器來(lái)執(zhí)行 DNS查詢 28 TrendMicro use only MIME Skip 大型門戶網(wǎng)站視頻，圖片， Flash不斷騷擾，導(dǎo)致 IWSA處理延時(shí)很大。建議做一下配置 : Skip audio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv image/x-icon image/jpeg image/gif image/png application/x-shockwave-flash application/vnd.rn-realmedia 控制單用戶最大連接數(shù) 1. 使用 console或者 SSH連接到 IWSA 2. 進(jìn)入 Shell Environment 3. vi /var/iwss/intscan.ini 查找到下面的參數(shù) , enable_client_connection_quota=yes, 然后在client_connection_quota=中輸入您希望每個(gè)客戶端最大的連接數(shù) , 默認(rèn)為 50: # Switch for client connection quota enable_client_connection_quota=no # If enable_client_connection_quota is turned on, this indicat