McAfee入侵防護(hù)實(shí)施方案-XXX客戶(hù)

1、*客戶(hù)McAfee入侵防護(hù)設(shè)備實(shí)施方案廣州新太技術(shù)有限公司Tel: 021-335351802021年12月21日本文檔僅限McAfee公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。第 47 頁(yè) 共 47 頁(yè)目 錄 1方案概述32人員和組織結(jié)構(gòu)42.1項(xiàng)目的組織機(jī)構(gòu)及人員42.2項(xiàng)目實(shí)施計(jì)劃53產(chǎn)品部署方式63.1部署示意63.2設(shè)備端口配置表74實(shí)施步驟說(shuō)明94.1分階段實(shí)施說(shuō)明94.2階段一 實(shí)施準(zhǔn)備94.3階段二 安裝及配置184.4階段三 上線(xiàn)切換424.5階段四 IPS策略切換444.6階段五 培訓(xùn)和知識(shí)轉(zhuǎn)移455項(xiàng)目驗(yàn)收461 方案概述此次*客戶(hù)的網(wǎng)絡(luò)入侵防護(hù)（以下簡(jiǎn)稱(chēng)IPS

2、）安全強(qiáng)化項(xiàng)目的主要目的為提高整個(gè)網(wǎng)絡(luò)的安全性，加強(qiáng)風(fēng)險(xiǎn)抵御能力。風(fēng)險(xiǎn)管理的過(guò)程中，如何有效地消除威脅、降低風(fēng)險(xiǎn)是關(guān)鍵，因此，我們首先應(yīng)該建立全面的系統(tǒng)和網(wǎng)絡(luò)防御體系。*客戶(hù)目前已經(jīng)建立了一套比較系統(tǒng)的終端安全措施，而McAfee為客戶(hù)提供了主動(dòng)的網(wǎng)絡(luò)防護(hù)系統(tǒng)，幫助用戶(hù)對(duì)抗未知的和將來(lái)出現(xiàn)的威脅，包括通過(guò)McAfee NSP（即IPS）構(gòu)件完善的企業(yè)安全邊界系統(tǒng)，在網(wǎng)絡(luò)邊界實(shí)時(shí)準(zhǔn)確的阻斷各類(lèi)網(wǎng)絡(luò)攻擊行為，DoS/DDoS攻擊及未知的攻擊流量，并對(duì)P2P、IM等應(yīng)用流量進(jìn)行管理，完善整個(gè)*客戶(hù)的網(wǎng)絡(luò)安全建設(shè)。本方案主要包括的內(nèi)容為與實(shí)施相關(guān)的各項(xiàng)工作，項(xiàng)目組組成人員，實(shí)施細(xì)節(jié)，實(shí)施進(jìn)度以及驗(yàn)收等

3、事項(xiàng)。2 人員和組織結(jié)構(gòu)2.1 項(xiàng)目的組織機(jī)構(gòu)及人員圖 1. 實(shí)施小組人員分工項(xiàng)目小組人員介紹姓名職務(wù)工作內(nèi)容電子郵件電話(huà)表1 項(xiàng)目參與人員2.2 項(xiàng)目實(shí)施計(jì)劃時(shí)間內(nèi)容參與人員里程碑實(shí)施方案初稿 對(duì)初稿進(jìn)行討論，提出修改意見(jiàn)，進(jìn)行完善 確定NSM，IP地址，設(shè)備要求，帶寬 實(shí)施方案定稿實(shí)施方案終稿 確認(rèn)環(huán)境需求 環(huán)境準(zhǔn)備，包括電源，機(jī)柜等 安裝NSM，策略配置軟件調(diào)試完畢 設(shè)備到貨，準(zhǔn)備拷機(jī)。設(shè)備上機(jī)柜設(shè)備上線(xiàn)，設(shè)置 IDS 策略實(shí)施階段一完畢 策略調(diào)整 IPS策略實(shí)施階段二完畢項(xiàng)目結(jié)束。驗(yàn)收驗(yàn)收?qǐng)?bào)告表2 項(xiàng)目計(jì)劃時(shí)間3 產(chǎn)品部署方式整個(gè)實(shí)施的

4、架構(gòu)示意如圖所示，1臺(tái)IPS I4010。通過(guò)一個(gè)統(tǒng)一的管理平臺(tái)NSP Manager（NSM）進(jìn)行管理。3.1 部署示意部署示意型號(hào)數(shù)量位置說(shuō)明I-40101核心交換機(jī)3.2 設(shè)備端口配置表設(shè)備編號(hào)線(xiàn)路類(lèi)型端口編號(hào)對(duì)端設(shè)備對(duì)端接口編號(hào)線(xiàn)路類(lèi)型線(xiàn)路說(shuō)明i-4010     設(shè)備規(guī)格和要求：NSM控制臺(tái)要求：CPU 主頻 3G以上，內(nèi)存 4G硬盤(pán)空間 c: 不小于10G， 安裝盤(pán)符 不小于40G。操作系統(tǒng)要求：Windows2003 server + SP1 ，以及所有相關(guān)的安全補(bǔ)丁。Sensor規(guī)格：NSP 4010NSP 4010設(shè)備硬件見(jiàn)下

5、圖：圖 2. I-4010設(shè)備示意圖探測(cè)端口密度：12個(gè)千兆端口（6對(duì)，SFP） 端口配置選項(xiàng)： 6 個(gè)In-line or 12個(gè)Span端口，或者混合端口支持：SFP mini- Gigabit連接器 ( SX , LX , TX )端口 Bypass: 通過(guò)外部Fail-Open設(shè)備 電源：雙冗余電源 4 實(shí)施步驟說(shuō)明4.1 分階段實(shí)施說(shuō)明為了確保IPS的部署不影響網(wǎng)絡(luò)的可靠性和可用性，McAfee建議采用循序漸進(jìn)的分階段部署方式：準(zhǔn)備階段：安裝NSM，配置軟件。將傳感器添加到NSM上。進(jìn)行上線(xiàn)前的測(cè)試。上線(xiàn)切換：鏈路切換，將設(shè)備依次接入生產(chǎn)線(xiàn)路。上線(xiàn)第一階段：在采用In-Line的方式

6、，采用inline IDS策略不做實(shí)時(shí)阻斷；上線(xiàn)第二階段：運(yùn)行一周后，評(píng)估準(zhǔn)確性、性能和可靠性和才開(kāi)始進(jìn)行攻擊阻斷進(jìn)入IPS策略。4.2 階段一 實(shí)施準(zhǔn)備實(shí)施環(huán)境主要工作負(fù)責(zé)人時(shí)間計(jì)劃網(wǎng)絡(luò)環(huán)境準(zhǔn)備準(zhǔn)備好NSP所需的IP地址。控制臺(tái)IP地址Sensor Manager端口地址*客戶(hù)準(zhǔn)備獨(dú)立的控制臺(tái)服務(wù)器，服務(wù)器性能良好，無(wú)故障。*客戶(hù)需要連接的網(wǎng)絡(luò)線(xiàn)路準(zhǔn)備；設(shè)備自帶光盤(pán)及配置線(xiàn)準(zhǔn)備。*客戶(hù)NSP 控制臺(tái)的安裝安裝Windows 2003 Server英文操作系統(tǒng)并安裝SP1以及最新的系統(tǒng)補(bǔ)丁；CPU最低3GHz；內(nèi)存空間4G；硬盤(pán)空間140G。*客戶(hù)參照安裝手冊(cè)，安裝所需軟件；NSP自帶數(shù)據(jù)庫(kù)，

7、因此無(wú)須安裝專(zhuān)門(mén)的數(shù)據(jù)庫(kù)軟件。*客戶(hù) /McAfee服務(wù)器操作系統(tǒng)的各項(xiàng)安全設(shè)置。*客戶(hù) /McAfeeNSP Sensor的安裝Sensor的配置數(shù)據(jù)線(xiàn)，電源線(xiàn)，自帶網(wǎng)線(xiàn)及各種配件的準(zhǔn)備。*客戶(hù) /McAfee確認(rèn)Sensor在機(jī)架上的位置，將Sensor安裝到機(jī)架。*客戶(hù) /McAfee防火墻的配置在NSP控制臺(tái)和Sensor的通訊鏈路之間，如果有硬件或者軟件防火墻，則需要對(duì)防火墻進(jìn)行相應(yīng)配置；參考設(shè)備安裝手冊(cè)，開(kāi)啟8551，8552和8553端口，以便于控制臺(tái)和Sensor之間的數(shù)據(jù)交換。*客戶(hù) /McAfee4.2.1 安裝NSM軟件IPS的管理配置是通過(guò)一個(gè)管理平臺(tái)NSM來(lái)實(shí)現(xiàn)的。4

8、.2.2 安裝NSP Manager1）選擇安裝的NSP Manager版本，雙擊開(kāi)始安裝。 2) 在出現(xiàn)的安裝界面中點(diǎn)擊“next”。3) 選擇“I accept the terms of the license agreenment”, 點(diǎn)擊“next”。4) 選擇安裝路徑，通常使用默認(rèn)即可。5) 第一次安裝默認(rèn)選擇“In a new program Group”, 點(diǎn)擊“next”繼續(xù)。6) 在相應(yīng)對(duì)話(huà)框中輸入用戶(hù)名和密碼，此用戶(hù)名和密碼用于登錄NSM以配置IPS各種策略，同時(shí)用于登錄查看IPS警報(bào)等信息，非常重要，請(qǐng)記下！7) 到此步，安裝程序?qū)⑻崾景惭b新的MYSQL數(shù)據(jù)庫(kù)，選擇“Co

9、ntinue”并在出現(xiàn)的界面中輸入數(shù)據(jù)庫(kù)管理密碼，此密碼在以后升級(jí)NSM或備份恢復(fù)配置時(shí)使用，需要記下！8) 確定RAM大小，因NSM需要運(yùn)行J2SE Runtime Environment，消耗內(nèi)存較大，建議安裝NSP Manager的設(shè)備使用2G內(nèi)存。9) 后面各步驟只需按默認(rèn)設(shè)置一直點(diǎn)擊“next”繼續(xù)。10) 安裝程序自動(dòng)安裝相關(guān)程序，等安裝程序完成“database update”,點(diǎn)擊“done”進(jìn)入下一步。11) 點(diǎn)擊“done”結(jié)束NSM的安裝。4.2.3 安裝NSM License文件1) 將Mcafee發(fā)出的license文件復(fù)制到安裝目錄如默認(rèn)C：McAfeeNSPcon

10、fig下。2) 在任務(wù)欄右下方的NSM圖標(biāo)中重啟（先STOP再Start）NSM的manager、 apache httpd 和watchdog三個(gè)服務(wù)。3）通過(guò)https使用機(jī)器名訪(fǎng)問(wèn)NSM，輸入用戶(hù)名和密碼登錄成功，Manager安裝結(jié)束。4.2.4 NSM上添加sensor1) 點(diǎn)擊config進(jìn)入配置界面。2) 點(diǎn)擊左邊的sensors，從右邊的選擇sensorsmanage sensorsadd，開(kāi)始添加要管理的sensor。3) 輸入sensor名，如i-4010，輸入共享密鑰，如123456789（與sensor上設(shè)置的一致）。點(diǎn)擊“submit”完成sensor添加。4.3 階

11、段二 安裝及配置實(shí)施工作主要內(nèi)容負(fù)責(zé)人時(shí)間分配N(xiāo)SP Manager安裝進(jìn)行Windows2003系統(tǒng)所需要的相關(guān)配置。McAfee設(shè)定NSP用戶(hù)權(quán)限，其中包括用戶(hù)管理員、日志分析員及策略配置人員等。McAfee安裝自帶數(shù)據(jù)庫(kù)，以便于報(bào)警日志的存儲(chǔ)。McAfee配置Sensor屬性，準(zhǔn)備進(jìn)行連接。McAfeeNSP Sensor配置配置Sensor IP地址。McAfee設(shè)定檢測(cè)端口屬性，開(kāi)啟端口的功能。McAfeeSensor的其他屬性設(shè)定。McAfee設(shè)置同Manager的連接參數(shù)。McAfee同Manager建立連接，并測(cè)試。McAfee策略配置檢查設(shè)備連接情況是否正常，以便于應(yīng)用最新的

12、策略配置。McAfee根據(jù)網(wǎng)絡(luò)目前的情況，合理配置策略。McAfee設(shè)置自學(xué)習(xí)模式及周期。McAfee設(shè)置各種響應(yīng)方式。McAfee配置策略自動(dòng)升級(jí)計(jì)劃。McAfee設(shè)置DoS/DDoS檢測(cè)模式。McAfee定制報(bào)表上報(bào)計(jì)劃。McAfee將Sensor的內(nèi)置系統(tǒng)及策略庫(kù)升級(jí)至最新版本。McAfee顯示端安裝合適的Java版本，進(jìn)行顯示測(cè)試。McAfee基本功能測(cè)試。McAfee4.3.1 策略配置在NSM上配置合理的初次使用策略，對(duì)各類(lèi)安全威脅進(jìn)行初步檢測(cè)和報(bào)警。4.3.2 升級(jí)Sensor軟件步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況1.升級(jí)Sensor軟件1) 選擇“Manager/IPS Upd

13、ate Server/Import/Browse”2) 找到sensor軟件所在路徑，并選擇相應(yīng)軟件“如sensorsw_1400_41149.jar”并點(diǎn)擊“Open”3) 點(diǎn)擊“Apply”將軟件導(dǎo)入到NSM中4) 選擇相應(yīng)的sensor下的“Update/update Software”，點(diǎn)擊“Update”5) 升級(jí)完成后，NSM會(huì)提示Reboot Sensor，點(diǎn)擊OK重起Sensor后，測(cè)試Sensor與NSM的連接狀態(tài)。4.3.3 升級(jí)特征庫(kù)步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況2.升級(jí)特征庫(kù)1） 選擇configuremanagerIPS update serverimportbr

14、owse。2） 點(diǎn)擊Browse打開(kāi)，選擇要升級(jí)的系統(tǒng)，點(diǎn)擊Open再點(diǎn)擊apply導(dǎo)入到manager中。3） 提示upload complete，關(guān)閉窗口。4） 選擇相應(yīng)的sensor下的“Update/update Software”，點(diǎn)擊“Update”5） 升級(jí)完成后，不需重起設(shè)備設(shè)置Proxy更新。1） 選擇 Manager > Manager > Proxy Server（代理服務(wù)器）。將顯示代理服務(wù)器窗口。 2） 鍵入代理服務(wù)器的 Host Name or IP Address（主機(jī)名稱(chēng)或 IP 地址）和 Server Port（服務(wù)器端口）。 3） 鍵入 User

15、 Name（用戶(hù)名）和 Password（密碼）。 4） 提供相應(yīng)的 URL。通過(guò)單擊“Test”（測(cè)試）進(jìn)行測(cè)試，以確保連接正常。 5） 單擊 Save（保存）接受設(shè)置。 當(dāng) NSM 成功建立連接時(shí)，它會(huì)顯示一條表示代理設(shè)置有效的消息。 4.3.4 設(shè)置IDS策略步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況3.設(shè)置IDS策略1） 選擇“policies/Policies/IPS Policy Editor”下的“Default Inline IDS”，點(diǎn)擊“Clone”2） 輸入IPS策略名，如“*客戶(hù)-IDS”，點(diǎn)擊“commit changes”保存復(fù)制的策略3） 選擇需要部署IDS策略的1A-1

16、B接口下的“Policy/Manage Policy/Apply policy/IDS policy/*客戶(hù)-IDS”4） 點(diǎn)擊“Apply”應(yīng)用更改5） NSM提示需要應(yīng)用更改，否則不能生效6） 選擇相應(yīng)的sensor下的“Update/update configuration”,點(diǎn)擊Update4.3.5 設(shè)置二層放行步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況4.設(shè)置二層放行1） 登陸到管理頁(yè)面，選擇Sensor2） 選擇設(shè)備，然后導(dǎo)向到高級(jí)設(shè)定à 二層設(shè)定。選擇Yes4.3.6 設(shè)置自動(dòng)更新步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況5.設(shè)置自動(dòng)更新1) 進(jìn)入configmanagerupdat

17、e serverauthentication settings,輸入customer ID 和password，兩個(gè)均為grant number，點(diǎn)擊submit保存設(shè)置。2) 選擇configmanagerupdate server update schedulerenable scheduleYES，確定更新周期和具體時(shí)間，設(shè)定為每周一次，更新時(shí)間為周日晚22：00，點(diǎn)擊apply。在sensor update scheduler下選擇real time update。至此，所有旁路的配置全部完畢。請(qǐng)等合適的時(shí)間進(jìn)行割接。4.3.7 監(jiān)控視圖和報(bào)警界面管理監(jiān)控界面配置McAfee NSP接

18、入網(wǎng)絡(luò)后，會(huì)有各種報(bào)警，用戶(hù)管理員可以根據(jù)報(bào)警設(shè)置相應(yīng)的策略，如阻斷某種攻擊等。1) 登錄NSP manager點(diǎn)擊右上方的Launch。2) 在彈出界面中顯示告警界面如下。3) 雙擊Details，查看詳細(xì)報(bào)警信息。4) 右擊某條報(bào)警，選擇View/edit attack responsepolicy level。5) 選擇sensor actionscustomize blocking settingblock attack可以阻斷該類(lèi)攻擊，也可以去掉sensor responsecustomizeenable alert前的勾，不讓類(lèi)似的規(guī)則報(bào)警（比如某些合法的應(yīng)用，如公司允許使用MSN

19、則可以把MSN的相關(guān)報(bào)警去掉以減少報(bào)警量）。考慮到McAfee NSP剛接入網(wǎng)絡(luò)使用，可能任何策略配置都不符合實(shí)際環(huán)境，需要接入設(shè)備先學(xué)習(xí)一周左右再根據(jù)警報(bào)部署相應(yīng)策略，以后用戶(hù)就根據(jù)報(bào)警實(shí)時(shí)調(diào)整策略，以保證網(wǎng)絡(luò)安全。Alert Filter過(guò)濾報(bào)警1）選擇“My company/alert filter”點(diǎn)擊添加2) 在”Alert filter”下輸入Filter名如“FS scan filter”3)在“IP Address Setting list ”中輸入需要過(guò)濾的源和目標(biāo)IP地址,點(diǎn)擊“Commit Changes”保存設(shè)置4)選擇“Alert Filter/Manage Aler

20、t Filter association”選擇Inbound或Outbound方向的協(xié)議5）從協(xié)議中選擇不需要報(bào)警的Signature，如我們選擇對(duì)MSN進(jìn)行報(bào)警6) 將新建的“FS scan filter”從左邊的“Available Alert Filter”中添加到“Selected Alert Filter”中，點(diǎn)擊“Commit Changes”、“OK”和“DONE”保存設(shè)置退出4.3.8 DoS配置說(shuō)明管理傳感器上的 DoS 學(xué)習(xí)模式配置文件Manage DoS Profiles（管理 DoS 配置文件）操作可配置 DoS 學(xué)習(xí)模式配置文件，以重新啟動(dòng)配置文件或者加載原有的配置文

21、件。拒絕服務(wù) (DoS) 攻擊通過(guò)將大量虛假通信量發(fā)送給目標(biāo)系統(tǒng)或主機(jī)，使系統(tǒng)緩沖區(qū)溢出以至于必須脫機(jī)修復(fù)，從而中斷其網(wǎng)絡(luò)服務(wù)。由于 DoS 配置文件可在學(xué)習(xí)模式和閾值模式中配置，傳感器將記錄兩種模式的數(shù)據(jù)。在學(xué)習(xí)模式中，傳感器監(jiān)視網(wǎng)絡(luò)通信量，收集一段時(shí)間的各種通信量測(cè)量的統(tǒng)計(jì)數(shù)據(jù)，創(chuàng)建一份“ 正?！?的基準(zhǔn)配置文件，稱(chēng)為長(zhǎng)期配置文件。為了創(chuàng)建配置文件，通常需要兩天的初始學(xué)習(xí)時(shí)間。之后系統(tǒng)會(huì)經(jīng)常更新該配置文件，并將其存放在傳感器的內(nèi)部閃存中，以便了解網(wǎng)絡(luò)的最新?tīng)顩r。另外，傳感器也會(huì)實(shí)時(shí)創(chuàng)建短期配置文件，該文件類(lèi)似于網(wǎng)絡(luò)通信量的即時(shí)快照。傳感器會(huì)比較短期配置文件與長(zhǎng)期配置文件，只要短期配置文件的

22、統(tǒng)計(jì)數(shù)據(jù)表現(xiàn)出與長(zhǎng)期配置文件差異過(guò)大的通信量異常情況，就會(huì)發(fā)出警報(bào)。在閾值模式中，傳感器會(huì)跟蹤對(duì)特定攻擊啟用的閾值限制。這兩種模式創(chuàng)建的配置文件保存在傳感器的閃存中，并可上載到 NSM 中以備將來(lái)之用。經(jīng)過(guò)一段時(shí)間之后，如果您認(rèn)為原來(lái)創(chuàng)建的基準(zhǔn)比當(dāng)前的配置文件更為有效，可以上載保存的配置文件。配置方法如下：1 單擊 Sensor_Name（傳感器名稱(chēng)）> Policy（策略）> Manage DoS Profiles（管理 DoS 配置文件）。從傳感器上載到 NSM 的最新 DoS 文件列在 DoS Profiles Uploaded from Sensor to Manager（

23、從傳感器上載到 Manager 的 DoS 配置文件）下。2 從以下標(biāo)題中選擇一個(gè)操作：Sensor DoS Profile Actions（傳感器 DoS 配置文件操作）􀂃 Re-learn Profile（重新學(xué)習(xí)配置文件）：重新啟動(dòng)學(xué)習(xí)過(guò)程。這將刪除最近學(xué)習(xí)的配置文件，并創(chuàng)建新的配置文件。要開(kāi)始重新學(xué)習(xí)過(guò)程，請(qǐng)選擇該選項(xiàng)并單擊Apply（應(yīng)用）。􀂃 Force sensor into detection mode（強(qiáng)制傳感器進(jìn)入檢測(cè)模式）：激活傳感器的學(xué)習(xí)模式檢測(cè)，而無(wú)需先進(jìn)行 48 小時(shí)的學(xué)習(xí)。提示：在建立了接口或子接口的配置文件之后或是在初始學(xué)習(xí)的

24、過(guò)程中，如果網(wǎng)絡(luò)或配置發(fā)生變更（前者如將傳感器從實(shí)驗(yàn)環(huán)境移動(dòng)到生產(chǎn)環(huán)境，后者如更改了子接口的 CIDR 塊），并引起接口或子接口通信量發(fā)生重大變化，則 McAfee 建議重新學(xué)習(xí)配置文件。否則，傳感器可能會(huì)在適應(yīng)新的網(wǎng)絡(luò)通信量情況期間，發(fā)出錯(cuò)誤警報(bào)或遺漏攻擊。如果網(wǎng)絡(luò)通信量隨時(shí)間自然上升或下降（例如，電子商務(wù)網(wǎng)站擁有的顧客量越來(lái)越多，從而帶來(lái)了 Web 通信量的增長(zhǎng)），則無(wú)需重新學(xué)習(xí)配置文件，因?yàn)閭鞲衅骺勺詣?dòng)適應(yīng)這些變化。4.3.9 基本功能測(cè)試配置完畢后可以對(duì)設(shè)備進(jìn)行功能測(cè)試。編號(hào)內(nèi)容測(cè)試方法是否通過(guò)附注1.1按照Inline方式部署方式將設(shè)備按照Inline的方式部署在網(wǎng)絡(luò)中1.2能夠探測(cè)

25、出已知和未知的蠕蟲(chóng)，如Code Red、沖擊波、震蕩波等各類(lèi)高危蠕蟲(chóng)病毒的防御。支持對(duì)于各類(lèi)流行的木馬和惡意程序的防護(hù)，并可以根據(jù)用戶(hù)需求自定義檢測(cè)特征查看已經(jīng)部署在網(wǎng)絡(luò)中的Sensor的病毒日志，并可以自定義阻斷特定的協(xié)議和端口1.3提供內(nèi)置的Fail-Open、協(xié)議二層通過(guò)等高可靠性部署機(jī)制，在設(shè)備發(fā)生硬件或軟件故障時(shí)，仍能夠確保網(wǎng)絡(luò)正常通訊。支持Layer 2 Passthru（第二層放行）功能：若防護(hù)設(shè)備在設(shè)定的時(shí)間內(nèi)發(fā)生多次重大故障報(bào)警（Critical），此功能便可讓設(shè)備進(jìn)入網(wǎng)絡(luò)第二層放行模式，也就是故障時(shí)接通線(xiàn)路模式（Fail-Open）。這項(xiàng)功能可防止防護(hù)設(shè)備部署在高可用網(wǎng)絡(luò)時(shí)

26、，由于故障，成為網(wǎng)絡(luò)性能瓶頸使設(shè)備斷電，網(wǎng)絡(luò)依舊直通；設(shè)定閥值，并手動(dòng)觸發(fā)Critical報(bào)警硬件測(cè)試的具體方法：電源掉電設(shè)備自動(dòng)接通網(wǎng)絡(luò)功能(Zero-Power Fail Open)1.將IPS探測(cè)器設(shè)定為在線(xiàn)模式(In-line Mode)，并設(shè)定Fail-Open。2.以 ping 驗(yàn)證此時(shí)為通路。3.關(guān)閉探測(cè)器，并拔除電源。4.再以ping驗(yàn)證網(wǎng)絡(luò)此時(shí)為通路。5.開(kāi)啟電源，再以 ping 驗(yàn)證網(wǎng)絡(luò)此時(shí)為通路。電源硬件掉電關(guān)閉網(wǎng)絡(luò)功能(Zero-Power Fail Close)1.將IPS探測(cè)器設(shè)定為在線(xiàn)模式(In-line Mode)，并設(shè)定Fail-Close。2.以 ping

27、驗(yàn)證此時(shí)為通路。3.關(guān)閉探測(cè)器，并拔除電源。4.再以ping驗(yàn)證網(wǎng)絡(luò)此時(shí)為閉鎖。5.開(kāi)啟電源，再以 ping 驗(yàn)證網(wǎng)絡(luò)此時(shí)為通路。二層放行的設(shè)置方法：選擇設(shè)備，然后導(dǎo)向到高級(jí)設(shè)定à 二層設(shè)定。選擇Yes2.1能夠準(zhǔn)確的檢測(cè)各類(lèi)蠕蟲(chóng)和木馬等攻擊行為，要求檢測(cè)率高、誤報(bào)率低。對(duì)已知的各類(lèi)蠕蟲(chóng)和木馬等惡意程序及其它已知攻擊行為的檢測(cè)率要達(dá)到95%以上參考實(shí)際運(yùn)行狀況2.2基于攻擊簽名檢測(cè)已知攻擊行為，攻擊特征簽名數(shù)量不低于3600種。和微軟及各個(gè)網(wǎng)絡(luò)廠商擁有良好的合作關(guān)系，能夠?qū)崿F(xiàn)和微軟漏洞相關(guān)的攻擊行為的日同步查看最新的簽名，其包含的攻擊類(lèi)型；查看同步的頻率，看是否可以設(shè)置為日同步2.3

28、具有獨(dú)立的DoS/DDoS防護(hù)模塊，DoS/DDoS防護(hù)必須至少具有有兩種方式：人工定義閾值和自學(xué)習(xí)每種DOS/DDOS攻擊協(xié)議Profile的探測(cè)方式，支持短期學(xué)習(xí)基準(zhǔn)和長(zhǎng)期學(xué)習(xí)基準(zhǔn)。能夠在產(chǎn)品管理界面中方便的看到學(xué)習(xí)的基準(zhǔn)變化曲線(xiàn)，并調(diào)整學(xué)習(xí)狀態(tài)。支持Syn-Cookie的防DOS/DDOS攻擊技術(shù)查看界面中學(xué)習(xí)到的基準(zhǔn)profile和DOS設(shè)置界面“Manage DoS Filters”（管理 DoS 過(guò)濾器）頁(yè)顯示將有可能丟棄 DoS 數(shù)據(jù)包的接口的列表。2.4支持內(nèi)部防火墻的功能，能夠根據(jù)協(xié)議、端口、檢測(cè)鏈路設(shè)定訪(fǎng)問(wèn)控制策略，進(jìn)一步保護(hù)網(wǎng)絡(luò)的重點(diǎn)區(qū)域查看訪(fǎng)問(wèn)控制策略的設(shè)定2.5支持虛

29、擬IPS，可以為不同的網(wǎng)段和終端制定不同的入侵防護(hù)策略，虛擬IPS劃分能夠支持VLAN和CIDR兩種方式查看虛擬IPS設(shè)定2.6防護(hù)設(shè)備能夠探測(cè)加密SSL攻擊，具有獨(dú)立的SSL攻擊配置界面。查看防止SSL攻擊配置界面2.7異常探測(cè)支持協(xié)議異常、應(yīng)用異常和統(tǒng)計(jì)異常等異常檢測(cè)方式，能夠識(shí)別并且防護(hù)幾類(lèi)未知的攻擊行為，并且支持IP碎片整理和TCP流重組，有效防御碎片重組類(lèi)型的攻擊。查看異常探測(cè)配置界面2.8DoS/DDoS攻擊行為由于產(chǎn)生的流量大，攻擊數(shù)據(jù)難以保存，但很多安全事件都需要分析相關(guān)數(shù)據(jù)，因此防護(hù)設(shè)備必須能夠通過(guò)特定端口復(fù)制DoS/DDoS攻擊數(shù)據(jù)，傳輸?shù)饺罩痉?wù)器，為分析DoS/DDoS

30、攻擊行為保存證據(jù)。查看DOS攻擊配置界面2.9支持根據(jù)協(xié)議、端口的流量控制，建立流量管道，并統(tǒng)一生成流量監(jiān)控圖表。查看流量控制設(shè)置界面，對(duì)特定應(yīng)用設(shè)定帶寬編輯DOS策略在導(dǎo)航樹(shù)中選擇需要管理的設(shè)備，點(diǎn)擊策略，然后選擇管理DOS過(guò)濾器，進(jìn)行dos設(shè)置。內(nèi)部防火墻設(shè)定通過(guò)ACL來(lái)實(shí)現(xiàn)。設(shè)置方法：選擇相應(yīng)的設(shè)備，然后進(jìn)入ACLàAssign ACLà選擇相應(yīng)的接口àADD/REMOVE ACL然后再選擇添加一條ACL，可以根據(jù)協(xié)議類(lèi)型等進(jìn)行設(shè)定。SSL協(xié)議配置方法：在配置界面中，選擇SSL，然后可以導(dǎo)入SSL服務(wù)器的密鑰，然后對(duì)SSL攻擊進(jìn)行解包。3.1入侵防護(hù)設(shè)備在檢

31、測(cè)到攻擊行為時(shí)，必須要提供多種響應(yīng)方式，必須能夠?qū)崟r(shí)阻斷攻擊數(shù)據(jù)包或?qū)崿F(xiàn)Session Drop。查看配置界面，響應(yīng)方式包括：丟棄攻擊數(shù)據(jù)包/會(huì)話(huà)、隔離IP地址、重新配置防火墻、TCP Reset包和ICMP unreachable包數(shù)據(jù)包日志記錄。3.2支持ICMP通知攻擊客戶(hù)端，支持電子郵件、SNMP、SYSLOG及自定義等多種響應(yīng)方式查看通知配置界面選擇 Admin-Domain-Name（管理域名稱(chēng)）> Alert Notification（警報(bào)通知）> SNMP Forwarder（SNMP 轉(zhuǎn)發(fā)程序）。3.3入侵防護(hù)設(shè)備可以保留攻擊的原始數(shù)據(jù)包，并從數(shù)據(jù)庫(kù)中導(dǎo)出，供管理

32、員分析。查看配置策略，可以支持原始數(shù)據(jù)導(dǎo)出3.4Signature和策略升級(jí)可以通過(guò)人工或者自動(dòng)方式下載到檢測(cè)設(shè)備，Signature升級(jí)后不需重啟入侵防護(hù)設(shè)備，并自定義升級(jí)計(jì)劃。測(cè)試手動(dòng)導(dǎo)入，自動(dòng)升級(jí)3.5支持和漏洞管理系統(tǒng)的集成使用，能夠?qū)崿F(xiàn)和內(nèi)網(wǎng)安全風(fēng)險(xiǎn)報(bào)告的事件關(guān)聯(lián)（如Nussus、或自身公司的漏洞管理軟件）整合，能夠?qū)?nèi)部計(jì)算機(jī)網(wǎng)絡(luò)漏洞評(píng)估報(bào)表載入到IPS管理端，在報(bào)警管理窗口中有專(zhuān)門(mén)的欄目標(biāo)記和內(nèi)部網(wǎng)絡(luò)存在的漏洞相關(guān)的攻擊行為，提高管理員的管理效率和準(zhǔn)確性。將Foundstone漏洞掃描報(bào)表導(dǎo)入到NSP Manager，NSP Manager能夠自動(dòng)關(guān)聯(lián)存在漏洞的攻擊并且標(biāo)記提醒管

33、理員這種帶來(lái)高風(fēng)險(xiǎn)的攻擊，參考補(bǔ)充的IPS和FS互動(dòng)方案3.6 支持自動(dòng)下載Sensor software。測(cè)試通過(guò)任務(wù)下載設(shè)定郵件通知方法：在Manager,然后選擇Mailserver，設(shè)定郵件服務(wù)器的地址。4.1支持實(shí)時(shí)報(bào)警顯示，要求無(wú)最大報(bào)警數(shù)限制，支持攻擊狀態(tài)結(jié)果顯示，可以顯示攻擊行為的結(jié)果如何，并且無(wú)需更改操作界面，能夠在實(shí)時(shí)報(bào)警界面立刻更改及下發(fā)檢測(cè)策略。查看界面，看是否符合4.2支持趨勢(shì)分析功能，顯示安全狀況的變化，根據(jù)檢測(cè)情況顯示威脅變化曲線(xiàn)?？筛鶕?jù)不同時(shí)間段顯示分析圖表，并依據(jù)報(bào)警數(shù)量、 攻擊 源/目標(biāo) 地址、報(bào)警嚴(yán)重性、攻擊類(lèi)型等參數(shù)來(lái)顯示威脅變化的情況4.3報(bào)警管理器支

34、持信息關(guān)聯(lián)功能，能夠在圖形界面上通過(guò)點(diǎn)擊關(guān)注的項(xiàng)目，獲得進(jìn)一步的關(guān)聯(lián)信息。 查看報(bào)警管理器4.4報(bào)警可以根據(jù)攻擊類(lèi)型、IP地址、端口、方向等用不同顏色標(biāo)記，便于查找和管理。查看報(bào)警管理器。在報(bào)警時(shí)間管理其中提供了自定義不同顏色標(biāo)記不同報(bào)警。McAfee NSP報(bào)警可以根據(jù)攻擊類(lèi)型、IP地址、端口、方向等用不同顏色標(biāo)記不同告警4.5 已有多種固定的報(bào)表格式可供選擇，支持中文的事件說(shuō)明及中文報(bào)表。NSP Manager提供了40多種固定報(bào)表模版，支持中文攻擊字典和中文報(bào)表。并提供依據(jù)對(duì)檢測(cè)源、事件類(lèi)型、事件嚴(yán)重性、響應(yīng)方式、源目的地址、時(shí)間段等等生成報(bào)告各種固定的報(bào)表格式來(lái)供用戶(hù)選擇4.6 支持用

35、戶(hù)自定義報(bào)表模板，及設(shè)定報(bào)表的自動(dòng)導(dǎo)出計(jì)劃。查看報(bào)表設(shè)置界面4.7設(shè)備自身工作狀態(tài)（CPU、MEM等）能通過(guò)標(biāo)準(zhǔn)SNMP、syslog等方式納入用戶(hù)已有管理平臺(tái)（MicroMuse）進(jìn)行統(tǒng)一管理?？梢酝ㄟ^(guò)標(biāo)準(zhǔn)的SNMP，Syslog發(fā)送報(bào)警報(bào)警管理器示意圖。選擇到一個(gè)特定的攻擊，比如示意的edonkey 下載，然后選擇具體信息，進(jìn)行查看。4.4 階段三 上線(xiàn)切換在相關(guān)配置完成之后，開(kāi)始將Sensor的檢測(cè)口串聯(lián)接入網(wǎng)絡(luò)。這一過(guò)程中，相應(yīng)的線(xiàn)路從斷開(kāi)到重新連接完畢，網(wǎng)絡(luò)會(huì)有中斷，中斷時(shí)間預(yù)計(jì)在5分鐘之內(nèi)。步驟內(nèi)容說(shuō)明線(xiàn)路上線(xiàn)斷開(kāi)線(xiàn)路之間的網(wǎng)線(xiàn)。根據(jù)端口配置表格，將下游鏈路的連線(xiàn)接入IPS Sen

36、sor的B口。根據(jù)端口配置表格，將上游鏈路的連線(xiàn)接入IPS Sensor的A口。登陸NSM檢查端口的狀態(tài)工作正常檢查網(wǎng)絡(luò)連通性  NSM管理IPS正常 從下游設(shè)備上ping上游設(shè)備的地址是通的 從下游設(shè)備上訪(fǎng)問(wèn)外部的應(yīng)用是通的 原先的業(yè)務(wù)系統(tǒng)正常運(yùn)行 4.4.1 斷開(kāi)線(xiàn)路之間的網(wǎng)線(xiàn)步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況6.斷開(kāi)上游，下游設(shè)備的網(wǎng)線(xiàn)。4.4.2 下游設(shè)備連入IPS Sensor的B口步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況7.根據(jù)接口配置表，將下游設(shè)備接入B口。4.4.3 上游設(shè)備接入IPS Sensor的A口步驟編號(hào)時(shí)間內(nèi)容操作

37、/復(fù)核完成情況8.根據(jù)接口配置表，將下游設(shè)備接入A口4.4.4 檢查IPS端口的狀態(tài)工作正常步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況9.登陸NSM檢查端口的狀態(tài)工作正常通過(guò)SSH登陸Sensor，使用Show命令，查看當(dāng)前的工作狀態(tài)為 yes, up, up 4.4.5 NSM管理IPS正常步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況10.NSM管理IPS正常安全室登陸到管理界面，選擇SensoràSensor àconfigure ports，查看當(dāng)前1Aà1B的工作狀態(tài)是否為綠色up 。4.4.6 確認(rèn)Ping包正常步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況11.從下游設(shè)備上ping

38、上游設(shè)備的地址是通的4.4.7 確認(rèn)下游設(shè)備訪(fǎng)問(wèn)外部應(yīng)用正常步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況12.從下游設(shè)備上訪(fǎng)問(wèn)外部的應(yīng)用是通的。比如瀏覽因特網(wǎng)4.4.8 確認(rèn)業(yè)務(wù)系統(tǒng)正常運(yùn)行步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況13.原先的業(yè)務(wù)系統(tǒng)正常運(yùn)行至此，線(xiàn)路割接完畢。下面依次接入其它設(shè)備4.5 階段四 IPS策略切換內(nèi)容主要內(nèi)容負(fù)責(zé)人主要問(wèn)題評(píng)估探測(cè)準(zhǔn)確性*客戶(hù) /McAfee性能*客戶(hù) /McAfeeSensor可靠性*客戶(hù) /McAfee修改成實(shí)時(shí)攻擊阻斷修改NSM配置McAfee修改策略配置McAfee觀察報(bào)警管理器中的攻擊是否被阻止*客戶(hù) /McAfee4.5.1 回退回退條件：IPS Se

39、nsor接入網(wǎng)絡(luò)后，網(wǎng)絡(luò)應(yīng)用不通回退確認(rèn)：項(xiàng)目經(jīng)理，廠方工程師回退步驟步驟工作操作結(jié)果回退步驟1斷開(kāi)IPS的網(wǎng)線(xiàn)2將1A口的網(wǎng)線(xiàn)接入交換機(jī)3確認(rèn)應(yīng)用恢復(fù)正常4.5.2 斷開(kāi)IPS的網(wǎng)線(xiàn)步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況14.斷開(kāi)IPS的網(wǎng)線(xiàn)4.5.3 將1A口的網(wǎng)線(xiàn)接入交換機(jī)步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況15.將1A口的網(wǎng)線(xiàn)接入交換機(jī)4.5.4 確認(rèn)應(yīng)用恢復(fù)正常步驟編號(hào)時(shí)間內(nèi)容操作/復(fù)核完成情況16.確認(rèn)應(yīng)用恢復(fù)正常4.6 階段五 培訓(xùn)和知識(shí)轉(zhuǎn)移McAfee在整個(gè)階段中提供知識(shí)轉(zhuǎn)移和全面的培訓(xùn)給*客戶(hù)，包括在線(xiàn)培訓(xùn)，現(xiàn)場(chǎng)教學(xué)?，F(xiàn)場(chǎng)教學(xué)：時(shí)間：在產(chǎn)品安裝完成后，內(nèi)容：對(duì)NSM和Sensor的

40、操作和配置進(jìn)行參與人員：項(xiàng)目相關(guān)人員。目標(biāo)：學(xué)會(huì)基本的操作，策略的下發(fā)和升級(jí)等。集中培訓(xùn)：時(shí)間：在項(xiàng)目完成后，1-2天的脫產(chǎn)培訓(xùn)內(nèi)容：對(duì)NSM的全面培訓(xùn)，包括產(chǎn)品的設(shè)計(jì)架構(gòu)，策略配置，調(diào)優(yōu)，排錯(cuò)。參與人員：后期維護(hù)人員目標(biāo)：全面掌握該產(chǎn)品的日常使用和具體配置。5 項(xiàng)目驗(yàn)收項(xiàng)目的驗(yàn)收主要包含對(duì)產(chǎn)品的使用和測(cè)試進(jìn)行系統(tǒng)的驗(yàn)收。下表列出了詳細(xì)的產(chǎn)品功能模塊的測(cè)試項(xiàng)目，需要逐項(xiàng)測(cè)試通過(guò)。編號(hào)內(nèi)容測(cè)試方法是否通過(guò)附注1 安裝部署，基本功能，管理模式1.1按照Inline方式部署方式將所有的Sensor根據(jù)部署規(guī)劃按照Inline的方式部署在網(wǎng)絡(luò)中1.2能夠探測(cè)出蠕蟲(chóng)，如Code Red、沖擊波、震蕩波等各類(lèi)高危蠕蟲(chóng)病毒的防御。支持對(duì)于各類(lèi)流行的木馬和惡意程序的防護(hù)查看已經(jīng)部署在網(wǎng)絡(luò)中的Sensor的病毒日志，也可以利用工具進(jìn)行手動(dòng)測(cè)試1.3Sens