趨勢科技-IWSA技術(shù)培訓

TrendMicro use only IWSA技術(shù)培訓 李國強 2 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 57 205 799 1,484 2,397 3,881 6,279 10,160 16,438 26,598 2007 2009 2011 2013 2015 每小時 預計增加的惡意程序數(shù)量 病毒指數(shù)級增長 數(shù)據(jù)來源： AV-T “大三角 ” 理論：網(wǎng)關(guān)防護至關(guān)重要 網(wǎng)關(guān) 1個 2臺 25個 50臺 5000臺 郵件服務(wù)器 子網(wǎng) 應(yīng)用服務(wù)器 客戶端 Internet 防護更復雜 一致性更差 Web 威脅 3年增長了 1731% Web 威脅 : 2005年來的增長統(tǒng)計 Web威脅：增長最快的威脅形態(tài) 典型的 Web威脅 攻擊 知名 募捐 網(wǎng)站 重定向 惡意 網(wǎng)站 （俄羅斯） 信息收集 網(wǎng)站 帳號信息 帳號信息 自動下載 （每 10秒更新 1次） 黑色產(chǎn)業(yè)鏈：檢測更困難 付費訂購惡意程序 付費 QA，保證不被任何安全廠商檢測得到 惡意程序類型 訂 購價格 廣告類間諜程序 美國 $0.3 加拿大 $0.2， 英國 $0.1, 其它 $0.01 惡意程序組合包 （ 基本 ） $1,000 - $2,000 惡意程序組合包 (升級服務(wù) ） $20/次 漏洞挖掘租賃服務(wù) （ 1小時 ） $0.99 漏洞挖掘租賃服務(wù) （ 2.5小時 ） $1.60 漏洞挖掘租賃服務(wù) （ 5小時 ） $4 不能檢測出來的竊取型木馬 $80 DDOS 攻擊 $100/天 10,000臺僵尸控制機器 $1,000 竊取銀行帳號類木馬 $50 發(fā)送 100萬封惡意郵件 $8 8 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 9 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA 主要功能 HTTP/FTP 惡意代碼掃描 間諜軟件 /灰色軟件掃描 反釣魚 支持 ICAP 支持 LDAP URL過濾 支持 EPS AAXS 支持透明橋模式 與 DCS聯(lián)動 硬件產(chǎn)品 IWSA 5000 IWSA 2500 10 TrendMicro use only HTTP/FTP惡意代碼掃描 IWSA 2500 HTTP/FTP掃描 在網(wǎng)關(guān)透明過濾來自 HTTP的病毒； 在網(wǎng)關(guān)透明處理來自 FTP的病毒； 采用趨勢科技獨創(chuàng)的 Intelliscan技術(shù)； 對壓縮文件靈活的處理方式； 采用獨特的 Defer Scanning技術(shù)，解決網(wǎng)關(guān)對大文件處理的瓶頸問題； 自帶 File-Blocking技術(shù)。 WEB信譽 11 TrendMicro use only 12 TrendMicro use only 間諜軟件 /灰色軟件掃描 IWSA 間諜軟件防護 對特定的 Spyware進行掃描； 對特定的 Adware進行掃描； 阻止用戶下載間諜軟件； 防止間諜軟件“ call-home”； 13 TrendMicro use only 反釣魚網(wǎng)站 IWSA 反釣魚網(wǎng)站 阻止用戶訪問釣魚網(wǎng)站； 實時更新 Phishing Pattern； 采用趨勢科技獨創(chuàng)的 Phishing Trap技術(shù)； 14 TrendMicro use only URL過濾庫 IWSA URL Filter 靈活的基于策略的設(shè)置； 可以設(shè)置不同的時間段； 采用趨勢科技提供的 URL過濾庫，目前已達 820萬條記錄； 有效控制了用戶的上網(wǎng)行為，凈化了企業(yè) Web訪問內(nèi)容。 15 TrendMicro use only IWSA AAXS ActiveX控件及 Java小程序過濾 靈活的基于策略的設(shè)置； 針對 ActiveX控件的安全策略； 針對 Java小程序的安全策略； 16 TrendMicro use only 與 DCS聯(lián)動 與 DCS聯(lián)動 對感染間諜軟件的客戶端進行遠程修復； 有效控制了企業(yè)網(wǎng)絡(luò)內(nèi)部的間諜軟件； 17 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 18 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA2500產(chǎn)品規(guī)格 : 1 U 機架 能夠支持最多 5000用戶 并發(fā) Http連接數(shù) 2000個 IWSA 2500 IWSA5000產(chǎn)品規(guī)格 : 2 U 機架 能夠支持最多 10000用戶 并發(fā) Http連接數(shù) 6000個 IWSA 5000 19 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 20 TrendMicro use only IWSA 部署方式 IWSA部署方式；管理員可以根據(jù)企業(yè)的本身需求，部署 IWSA設(shè)備，部署后不會影響現(xiàn)有客戶的網(wǎng)絡(luò)結(jié)構(gòu)。 代理聯(lián)動模式 ICAP+IWSA 完全透明橋模式 與 L4交換機聯(lián)動 與 Cisco交換機聯(lián)動 21 TrendMicro use only 代理聯(lián)動模式 部署在客戶端與代理服務(wù)器之間，接管所有來自客戶端的 HTTP/FTP請求 優(yōu)勢說明 保護投資， IWSA可以與任何的代理服務(wù)器兼容； 與 DCS聯(lián)動，有效抵御間諜軟件的攻擊； 注意事項：需要更改客戶機的 IE代理設(shè)置 I n t e r n e t代 理 服 務(wù) 器客 戶 端 內(nèi) 部 網(wǎng) 絡(luò)22 TrendMicro use only ICAP + IWSA 部署 ICAP Client的旁路，對流經(jīng) ICAP的 HTTP及 FTP數(shù)據(jù)流進行掃描 優(yōu)勢說明 配合 Catch，對 Web安全掃描有更高的效率； 如果客戶原來就使用 ICAP，則無需更改客戶端配置，部署簡單； 注意事項：需要使用兩個以太網(wǎng)口 I n t e r n e t客 戶 內(nèi) 部 網(wǎng) 絡(luò)23 TrendMicro use only 透明橋模式 部署客戶端與防火墻之間，對流經(jīng) IWSA的 HTTP及 FTP數(shù)據(jù)流進行掃描 優(yōu)勢說明 透明橋工作模式，無需更改客戶端的代理設(shè)置； 即插即用，部署簡單； 注意事項：需要使用兩個以太網(wǎng)口 I n t e r n e t客 戶 內(nèi) 部 網(wǎng) 絡(luò)24 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 25 IWSA開 /關(guān)機的特別說明 開關(guān)機說明 : 開機：接通電源后按一下開關(guān)，松手； 關(guān)機： 同樣按一下開關(guān)，松手 。等待 1.5分鐘左右，讓機器自行關(guān)閉。系統(tǒng)在自行關(guān)閉時會同步 RAID，依次關(guān)閉服務(wù)。 絕對禁止 ： 關(guān)機時長按電源開關(guān)不松手進行強制關(guān)機，此舉有可能會造成 RAID/硬盤損壞，系統(tǒng)服務(wù)出現(xiàn)問題 。 26 IWSA 2500 RAID狀態(tài)檢查 處理步驟 : 從超級終端中進入 linux系統(tǒng)，執(zhí)行如下操作： 1. #cd /etc 2. #./raid_setup 如果顯示的兩個設(shè)備不全是 Active，則代表 RAID在關(guān)機過程中損壞； 請依照 8、 IWSA硬盤損壞的檢查與恢復 200706.doc 文檔前部分方法進行處理。 Proxy Mode 訪問網(wǎng)頁慢 27 TrendMicro use only 癥狀 每一次訪問的響應(yīng)時間都很差 . What to look for 從 IWSA Shell界面中執(zhí)行 nslookup查詢已知的響應(yīng)慢的站點，是不是nslookup的響應(yīng)也非常慢？ If so 這種延遲可能是由 DNS的響應(yīng)比較差造成的。客戶將 IWSA的 DNS指向外網(wǎng) ISP的。 ISP的 DNS服務(wù)響應(yīng)相比內(nèi)網(wǎng) DNS，響應(yīng)會變慢很多。 What to do 這種情況可通過在 IWSA中部署 DNS cache來實現(xiàn)， IWSA 5000將內(nèi)置，IWSA3.1可采用 BIND按文檔步驟來實現(xiàn) 查看是否能用透明方式部署，透明方式由瀏覽器來執(zhí)行 DNS查詢 28 TrendMicro use only MIME Skip 大型門戶網(wǎng)站視頻，圖片， Flash不斷騷擾，導致 IWSA處理延時很大。建議做一下配置 : Skip audio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv image/x-icon image/jpeg image/gif image/png application/x-shockwave-flash application/vnd.rn-realmedia 控制單用戶最大連接數(shù) 1. 使用 console或者 SSH連接到 IWSA 2. 進入 Shell Environment 3. vi /var/iwss/intscan.ini 查找到下面的參數(shù) , enable_client_connection_quota=yes, 然后在client_connection_quota=中輸入您希望每個客戶端最大的連接數(shù) , 默認為 50: # Switch for client connection quota enable_client_connection_quota=no # If enable_client_connection_quota is turned on, this indicat