天清入侵防御系統(tǒng)_項(xiàng)目實(shí)施配置手冊(cè)

1、配置手冊(cè)啟明星辰 IPS 入侵防御系統(tǒng)配置手冊(cè)山西同之益科技有限公司2020 年 4 月山西同之益科技有限公司技術(shù)支持服務(wù)熱線 400-607-1189配置手冊(cè)目錄 HYPERLINK l _bookmark0 一、功能介紹1 HYPERLINK l _bookmark1 二、配置流程1 HYPERLINK l _bookmark2 三、配置內(nèi)容1 HYPERLINK l _bookmark3 第一部分 管理信息配置1 HYPERLINK l _bookmark4 第二部分 對(duì)象配置6 HYPERLINK l _bookmark5 第三部分 事件配置8 HYPERLINK l _bookmar

2、k6 第四部分 策略配置13 HYPERLINK l _bookmark7 第五部分 日志查看17配置手冊(cè)一、 功能介紹入侵防御系統(tǒng)圍繞深層防御、精確阻斷的核心理念，通過對(duì)網(wǎng)絡(luò)流量的深層次分析，可及時(shí)準(zhǔn)確發(fā)現(xiàn)各類入侵攻擊行為，可以對(duì)漏洞攻擊、蠕蟲病毒、間諜軟件、木馬后門、溢出攻擊、數(shù)據(jù)庫攻擊、高級(jí)威脅攻擊、暴力破解等多種深層攻擊行為進(jìn)行防御，并執(zhí)行實(shí)時(shí)精確阻斷，主動(dòng)而高效的保護(hù)用戶網(wǎng)絡(luò)安全，有效彌補(bǔ)網(wǎng)絡(luò)層防護(hù)產(chǎn)品深層防御效果的不足。二、 配置流程權(quán)限管理：通過三權(quán)分立用戶，實(shí)現(xiàn)不同用戶對(duì)設(shè)備權(quán)限的管理；admin，管理員用戶，實(shí)現(xiàn)日常業(yè)務(wù)配置需求；useradmin， 用于用戶管理，賬號(hào)密碼等

3、策略配置；audit，審計(jì)管理員，實(shí)現(xiàn)日志信息審計(jì)功能；對(duì)象定義：定義 IP 地址對(duì)象，服務(wù)對(duì)象，可通過安全策略引用地址及服務(wù)；事件定義：定義事件、事件集，通過事件集引用事件；安全防護(hù)表定義：通過安全防護(hù)表引用事件集；安全策略配置：調(diào)用安全防護(hù)表，實(shí)現(xiàn)對(duì)入侵、攻擊等事件的記錄；日志查看：通過日志記錄信息查看入侵、防護(hù)等安全事件，通過報(bào)表進(jìn)行統(tǒng)計(jì)、分析、展示；三、配置內(nèi)容第一部分 管理信息配置運(yùn)行狀態(tài)信息查看：通過系統(tǒng)防護(hù)狀態(tài)可查看目前設(shè)備的運(yùn)行狀態(tài)， 入侵、攻擊防護(hù)統(tǒng)計(jì)信息。1配置手冊(cè)圖 1授權(quán)信息查看：查看當(dāng)前系統(tǒng)特征庫授權(quán)信息，top10 攻擊防護(hù)信息； 如下圖 2 紅色標(biāo)注部分。圖 2升

4、級(jí)管理：定期通過啟明星辰官網(wǎng)（https: HYPERLINK / /） 下載中心，統(tǒng)一升級(jí)中心（圖 3）進(jìn)行特征庫更新升級(jí)，升級(jí)結(jié)果如下（圖 4）2配置手冊(cè)圖 3圖 4SNMP 配置信息修改： 網(wǎng)絡(luò)管理基本配置-SNMP 路徑下進(jìn)行SNMP 版本，團(tuán)體名稱修改3配置手冊(cè)圖 5賬號(hào)密碼策略：修改系統(tǒng)默認(rèn)賬號(hào)密碼策略，符合國(guó)網(wǎng)公司針對(duì)賬號(hào)密碼的安全策略遠(yuǎn)程管理：配置限制遠(yuǎn)程登錄賬號(hào) IP 地址、賬戶在線數(shù)量、超時(shí)時(shí)間、賬號(hào)修改密碼期限4配置手冊(cè)5配置手冊(cè)第二部分 對(duì)象配置對(duì)象定義：通過對(duì)象管理可進(jìn)行時(shí)間對(duì)象、服務(wù)對(duì)象、地址對(duì)象的重新定義或系統(tǒng)預(yù)先定義服務(wù)、端口等信息查看配置自定義服務(wù)：進(jìn)入對(duì)象管

5、理服務(wù)對(duì)象自定義服務(wù)，點(diǎn)擊新建，名稱：為新建自定義服務(wù)設(shè)置名稱描述：對(duì)新建自定義服務(wù)做描述協(xié)議： 可以自定義的服務(wù)協(xié)議（TCP,UDP,ICMP,IP）源端口： 協(xié)議源端口號(hào)目的端口：協(xié)議目標(biāo)端口號(hào)配置地址節(jié)點(diǎn)：地址對(duì)象可以對(duì)主機(jī)地址，子網(wǎng)，地址范圍做定義。進(jìn)入對(duì)象管理地址對(duì)象地址節(jié)點(diǎn)，點(diǎn)擊新建6配置手冊(cè)名稱：為新建地址節(jié)點(diǎn)設(shè)置名稱描述：對(duì)新建地址節(jié)點(diǎn)做描述地址節(jié)點(diǎn)： 地址節(jié)點(diǎn)的內(nèi)容可以是：主機(jī) ip 地址；子網(wǎng) ip 網(wǎng)段地址； IP 地址池范圍7配置手冊(cè)第三部分 事件配置事件定義：通過預(yù)先定義事件或自定義事件確定攻擊防御事件采取的防護(hù)措施（通過、丟棄、阻斷等動(dòng)作）事件集定義：IPS 中引入

6、了入侵防御事件集。事件集是一個(gè)或多個(gè)事件的集合。根據(jù)當(dāng)前實(shí)際的網(wǎng)絡(luò)情況，系統(tǒng)默認(rèn)提供了 5 個(gè)事件集。進(jìn)入入侵防御特征事件集，可查看當(dāng)前預(yù)定義事件集，圖 10，默認(rèn)事件集作為系統(tǒng)提供的資源，不能被刪除，只能做有限的配置操作。創(chuàng)建事件集：進(jìn)入入侵防御特征事件集，點(diǎn)擊新建。參數(shù)說明：8配置手冊(cè)名稱：事件集的名稱描述：事件集描述信息防護(hù)等級(jí)：通過設(shè)置事件集的防護(hù)等級(jí)可以調(diào)整本事件集中所有事件的動(dòng)作查看事件集內(nèi)容：進(jìn)入入侵防御特征事件集，點(diǎn)擊詳細(xì)圖標(biāo)，或者點(diǎn)擊事件名稱，即可查看該事件集的詳細(xì)內(nèi)容參數(shù)說明：分類：該事件集的分類方式，可按照協(xié)議類型、系統(tǒng)、安全類型、來源、事件級(jí)別來分類，默認(rèn)是按照安全類型

7、來分類的。名稱：輸入事件名稱，可檢索出該條事件。啟用：按照啟用方式檢索事件。級(jí)別：按照級(jí)別來檢索事件。日志：按照是否發(fā)送日志來檢索事件動(dòng)作：按照事件動(dòng)作來檢索事件。通過：放行觸發(fā)該 IPS 事件的數(shù)據(jù)包丟棄：對(duì)觸發(fā)該 IPS 事件的數(shù)據(jù)包所在連接的客戶端和服務(wù)器發(fā)送RESET9配置手冊(cè)包，使連接結(jié)束（針對(duì) TCP 協(xié)議），并丟棄當(dāng)前數(shù)據(jù)包阻斷：在一段時(shí)間內(nèi)丟棄觸發(fā)該 IPS 事件的數(shù)據(jù)包的源 IP 產(chǎn)生的所有數(shù)據(jù)包說明：建議用戶采用廠商推薦默認(rèn)值，自行調(diào)整 IPS 入侵事件級(jí)別及阻斷方式，可能導(dǎo)致用戶網(wǎng)絡(luò)中斷。添加事件集中事件：進(jìn)入入侵防御特征事件集，選擇一個(gè)自定義事件集，點(diǎn)擊詳細(xì)圖標(biāo)，添加事

8、件配置事件集中事件：IPS 系統(tǒng)可以配置某一事件集中事件的級(jí)別、是否啟用、是否記錄日志、匹配事件后執(zhí)行的動(dòng)作，對(duì)該事件日志是否合并等操作。進(jìn)入入侵防御特征事件集，選擇自定義事件集的詳細(xì)按鈕圖標(biāo)， 點(diǎn)擊展開事件組10配置手冊(cè)選擇某個(gè)事件，點(diǎn)擊編輯，進(jìn)行事件修改11配置手冊(cè)參數(shù)說明：名稱：事件名稱級(jí)別：事件級(jí)別，根據(jù)事件的危害性可以配置成高級(jí)事件、中級(jí)事件、低級(jí)事件、連接事件動(dòng)作：配置對(duì)匹配該事件的數(shù)據(jù)報(bào)或流執(zhí)行的通過、丟棄或阻斷等動(dòng)作12配置手冊(cè)第四部分 策略配置配置安全防護(hù)表：進(jìn)入入侵防御安全策略安全防護(hù)表，點(diǎn)擊新建名稱：安全防護(hù)表名稱，支持中文名稱描述：安全防護(hù)表的簡(jiǎn)單描述信息入侵防御：配置

9、是否啟用入侵防御防病毒：配置是否啟用防病毒及相關(guān)協(xié)議配置Web 過濾：配置是否啟用 Web 過濾郵件過濾：配置是否啟用郵件過濾敏感信息防護(hù)：配置是否啟用敏感信息防護(hù)Anti-Flood Attack：配置是否啟用防 Flood 攻擊上網(wǎng)行為管理：配置是否啟用 IM/P2P/股票軟件/網(wǎng)絡(luò)游戲/流媒體及相關(guān)協(xié)議配置調(diào)用事件集，在新建安全防護(hù)表中調(diào)用系統(tǒng)預(yù)定義事件集或自定義事件集13配置手冊(cè)配置安全策略：進(jìn)入入侵防御安全策略安全策略，點(diǎn)擊新建14配置手冊(cè)參數(shù)說明：源接口/安全域：數(shù)據(jù)流的流入方向，可以指定某個(gè)接口或者安全域，any 表示所有接口地址名：數(shù)據(jù)流的源地址，可以引用已定義的某個(gè)地址對(duì)象或

10、地址對(duì)象組， any 表示源地址為任意目的接口/安全域：數(shù)據(jù)流的流出方向，可以指定某個(gè)接口或者安全域，any 表示所有接口地址名：數(shù)據(jù)流的目的地址，可以引用已定義的某個(gè)地址對(duì)象或地址對(duì)象組， any 表示目的地址為任意服務(wù)：數(shù)據(jù)流的服務(wù)屬性，包括協(xié)議、源端口和目的端口，可以引用系統(tǒng)預(yù)定義服務(wù)、已定義的服務(wù)對(duì)象或服務(wù)對(duì)象組，any 表示服務(wù)為任意時(shí)間表：策略生效的時(shí)間，可以引用已配置的時(shí)間對(duì)象，always 表示所有時(shí)間動(dòng)作：對(duì)符合匹配條件的數(shù)據(jù)流執(zhí)行的動(dòng)作，PERMIT 為允許，DENY 為拒絕描述：安全策略的描述，長(zhǎng)度限制為 127 個(gè)字符調(diào)用安全防護(hù)表：在安全策略的 PERMIT 選項(xiàng)下，勾選安全防護(hù)，選擇系統(tǒng)預(yù)