IDP配置手冊及實例山寨版

1、JUNIPER IDP配置手冊作者版本日期科科V1.12008-12-301、IDP的初始化設置3IDP sensor的初始化設置3IDP模塊的安裝方法132、IDP的策略配置14在NSM中尋找IDP設備和模塊14配置IDP的策略17IDP配置實例21IDP特征庫的升級24查看IDP sensor的狀態(tài)241、IDP的初始化設置IDP sensor的初始化設置加電以后，sensro開始啟動，過了幾分鐘，設備就會啟動完畢。用網線連接電腦和sensor的MGT接口，默認的IP地址是，通過登錄sensor的ACM管理界面。默認的用戶名和密碼分別是root和abc123。采用ACM方式配置，并修改ID

2、P sensor的工作模式等IDP sensor設置，登錄進去以后會顯示以下的界面，點擊ACM可以開始配置IDP sensor；1.1.1、 修改root和admin的密碼，在使用NSM尋找sensor的時候需要使用。（NSM服務器查找IDP sensor的時候會查詢admin用戶名，admin密碼和root密碼）1.1.2、 修改設備的名字和域名，1.1.3、 修改IDP的部署模式，可以根據實際情況選擇相應的工作模式，如sniffor，bridge，transparent等，若選擇transparent模式，可以選擇bypass功能（限電口，IDP 800和IDP 8200有光纖BYPASS

3、模塊）。PS：BYPASS功能是指在IDP掉電或出現問題后，IDP的兩個接口是直通的狀態(tài)，BYPASS切換一半需要5秒左右，設備不同時間會不一樣1.1.4、 配置IDP的HA模式，若IDP都有自帶的HA專用接口。1.1.5、 配置網絡接口，若修改工作模式，則需要重啟IDP才可以生效。1.1.6、 選擇多個虛擬路由器（可選），若配置IDP的工作模式的時候選擇了transparent模式，可能需要選擇是否啟動多個虛擬路由器，每兩個接口屬于一個虛擬路由器1.1.7、 修改管理口的IP地址和管理口的網關，供NSM服務器和客戶端遠程連接使用，1.1.8、 配置那些接口處于工作模式的狀態(tài)下，以transp

4、arent為例，其他界面不同，但比較類似1.1.9、 配置IDP MGT接口的 靜態(tài)路由和缺省網關（透明模式）輸入缺省網關并選擇對應的接口，若IDP為透明模式，則只需要做一個管理接口的網關即可；若為路由模式則需要在相應的接口做相應的網關1.1.10、 DNS設置，設置IDP是否自動查詢相關的域名，IDP特征庫的升級是通過NSM服務器完成因此在配置NSM服務器時必須設置對應的DNS服務器，而IDPsensor則可以不設置；1.1.11、 設置IDP的時間區(qū)域建議在中國選擇上海的時間，（PS:這里沒有北京時間）1.1.12、 設置時間服務器NTP1.1.13、 設置外置的Radius服務器，用戶認

5、證的時候使用1.1.14、 SNMP設置，設置對應的SNMP服務器IP地址和端口號1.1.15、 設置IDP的SSH訪問，此功能必須開放，NSM服務器在查找IDP sensor的時候，首先是通過SSH獲取IDP的SSH key；1.1.16、 配置NSM服務器的IP地址和一次性密碼，Device ID可以不填寫，Primary netscreen-Security Manager IP必須設置，通訊端口默認是7803，一次性密碼（OTP）可以不設置。NSM服務器查找IDP時使用了SSH KEY代替了OTP，因此可以不設置。1.1.17、 ACM配置，此處提示是否每次啟動IDP管理的時候是否使用

6、ACM模式以上配置完以后會出現匯總界面，并可以點擊save & apply。IDP會進行進程重啟和修改自身的配置，需要幾分鐘的時間，如果修改了管理口的IP地址，還需要更改自身電腦的IP就可以重新連接IDP模塊的安裝方法Netscreen-ISG系列的防火墻的IDP模塊安裝，不需要進行上述的設置。但該模塊的設置都是通過NSM進行。IP地址和路由都是依賴防火墻的路由和IP地址設置（注，IDP模塊不支持sniffor模式）安裝步驟：（以NS-ISG-2000為例）1. 拆開防火墻NS-ISG-2000的機箱，在插槽的最后一個模塊可以找到管理模塊。Slot 3Mgt cardSlot 2-0S

7、ecurity Cards（擴展）ASIC CardI/O ModulesFan Card2. 管理模塊上有兩條內存，每條512M。將此內存拆下，然后將NS-ISG-1000-IKT所帶的內存，每條1GB。將內存裝上，NS-ISG-2000的內存即為2G，（增加了內存的ISG系列防火墻并發(fā)會話數會增加一倍）3. 將NS-ISG-SEC模塊插入到機箱的其中一個插槽（不需要占用接口模塊的槽位）4. 將NS-ISG-2000的版本升級到帶IDP功能的版本（如nsISG2IDP）5. 將NS-ISG-SEC的序列號和NS-ISG-2000-IKT的認證碼進行綁定生成license，將此license導

8、入防火墻中，重啟防火墻。此時防火墻會提示SCIO和SCTOP進行已經啟動，設備的硬件安裝已經完成。2、IDP的策略配置在NSM中尋找IDP設備和模塊NSM做為控制端，負責對IDP進行配置和收集IDP的日志等，有以下的幾個功能（NSM安裝步驟另外寫）：1、 IDP的策略是通過NSM服務器上傳到IDP sensor中；2、 IDP日志也是通過NSM服務器進行保存安裝了NSM的postgresql數據庫中3、 IDP的當前運行狀態(tài)也會自動送到NSM服務器上配置IDP sensor的第一步是去NSM的Device ManagerSecurity Deivce中。點擊“”添加設備模板。并選擇“Devic

9、e”。（NSM服務器安裝過程見NSM安裝手冊（DC版）在Device Name中輸入設備模板的名字，在Color選擇模板圖標的顏色（名字和圖標顏色只用于表示設備，沒有實際意義）。如果IDP已經配置好，則選擇“device is reachable(i.e. static IP address)”。并點擊下一步輸入IDP sensor的IP地址，admin用戶名，密碼和root的密碼。若設備是ISG+IDP。則輸入的admin用戶名和密碼均使用防火墻的用戶名和密碼。在Connect To Device With中選擇使用什么協(xié)議和設備進行通訊，默認為SSHv2。IDP和NSM通信的第二階段則是通

10、過DevSvr進程的7803端口通信點擊下一步以后NSM服務器的DevSvr進程會按照實際情況去尋找設備。找到設備以后，模板還沒有設備的配置，只有設備的序列號等信息，因此需要在“DeviceConfigurationImport Device Config”中導入現有設備的配置，則可以看到當前被導入設備的狀態(tài)，序列號，軟件版本等信息；或在新增的設備上雙擊鼠標左鍵，NSM服務器會自動運行Import Device Config；配置IDP的策略IDP的策略配置是最為關鍵和要消耗較多的時間，IDP的策略包括以下幾種1、 IDP：入侵檢測和保護的策略，主要針對來自應用層的攻擊行為。包括兩種檢查機制s

11、ignature和anomaly2、 Syn protector：syn泛濫保護策略，主要是針對通過IDP設備的SYN泛濫攻擊3、 Traffic anomaly：流量異常策略，主要是針對通過IDP的端口掃描4、 Exempt：5、 Backdoor：6、 Honeypot：新建策略的時候是新建一整套的策略，具體的防護策略則在新建的策略里面添加在“Policy ManagerSecurity Policies”中點擊右鍵，并選擇New Policy輸入名字和描述，并點擊下一步選擇Create new Policy for。新建一套策略模板如果設備是防火墻ISG+IDP，則選擇firewall/

12、vpn Device。如果設備是單獨的IDP設備則選擇Stand Alone IDP Devcies。再次點擊next以后選擇安裝到那臺設備，可以暫時不選擇，再點擊next。完成策略的模板設置。若新建的是防火墻策略，則只出現防火墻部分，要增加IDP策略的時候則需要在那里選擇add IDP Rulebase。點擊增加以后會出現一套IDP RULEBASE。（其余honey pot，backdoor也是一樣的設置）在source框中點擊右鍵可以選擇對應的地址，在attacks框中可以攻擊特征庫。此時策略處于模板的形式，還沒有安裝到指定的設備上。在“Install On”下面的“any”上點擊右鍵，

13、選擇“Select Target”。選擇需要將此策略安裝到指定的設備上。策略新建完成以后需要進行保存。保存好以后，選擇“DeviceConfigurationupdate Device Config”對該設備的配置進行升級。IDP配置實例1、 IDP的入侵保護策略配置實例本次配置的采用狀態(tài)簽名和協(xié)議異常的全部特征庫，針對Metasploit發(fā)起的攻擊進行檢測，主要是針對IIS和SMB協(xié)議的攻擊，配置圖如下所示：本次因為兩邊的特征庫不重疊，也就是策略1和策略2所引用的特征庫都不一樣，所以不需要選擇Terminate Match。如果是新手配置IDP，action可以配置recommand，可以對

14、威脅等級較高的攻擊進行drop connect或drop packet。通過MetaSploit進行攻擊發(fā)現有以下的條目經過檢查發(fā)現被攻擊的機器沒有啟動IIS，所以發(fā)送過去的80端口的請求，均被客戶端發(fā)送RST數據包終結請求。在客戶端安裝了IIS以后，再次進行攻擊就由于有IIS的響應而產生了對應的LOG，如下所示：攻擊已經被發(fā)現，但本次由于是測試IDP對攻擊的檢查力度，所以action都是accept2、 IDP防網絡掃描配置實例本次測試IDP的防掃描功能用的是NMAP工具，命令如下所示：nmap IDP的配置如下：Traffic anomalies選擇detect，severity選擇default，缺省是critical的等級在進行端口掃描以后出現以下的LOG日志信息3、 IDP防SYN配置實例本次測試IDP的防SYN攻擊功能采用的是HPING產生的SYN FLOOD攻擊，命令如下所示hping -p port -i u1000 -S 而IDP的配置如下所示：MODE的模式采用了passive模式。在syn泛濫的時候在達到一定程度的時候自動block其他的syn flood流量。采用hping以后產生了如下的告警信息：IDP特征庫的升