DPtech IPS2000系列入侵防御系統(tǒng)維護(hù)手冊

...wd......wd......wd...DPtechIPS2000維護(hù)手冊杭州迪普科技2011年07月目錄DPtechIPS2000維護(hù)手冊1第1章常見維護(hù)事項(xiàng)11.1系統(tǒng)基本維護(hù)11.2日常故障維護(hù)11.3數(shù)據(jù)備份管理11.4補(bǔ)丁升級管理2第2章應(yīng)急處理方案42.1運(yùn)輸導(dǎo)致設(shè)備無法啟動42.2互聯(lián)網(wǎng)訪問異常42.3集中管理平臺無相關(guān)日志42.4設(shè)備工作不正常42.5應(yīng)急步驟5第3章功能項(xiàng)63.1用戶名/密碼63.2管理員63.3WEB訪問63.4接口狀態(tài)73.5數(shù)據(jù)互通73.6日志信息7第4章其他94.1注冊與申請94.2升級與狀態(tài)9第5章FAQ125.1入門篇125.2進(jìn)階篇13常見維護(hù)事項(xiàng)系統(tǒng)基本維護(hù)入侵防御系統(tǒng)應(yīng)該指派專人管理、維護(hù)，管理員的口令要嚴(yán)格保密，不得泄露入侵防御系統(tǒng)管理員應(yīng)定期查看統(tǒng)一管理中心〔UMC〕和入侵防御系統(tǒng)〔IPS〕的系統(tǒng)資源(包括內(nèi)存/CPU/外存)，確認(rèn)運(yùn)行狀況是否正常入侵防御系統(tǒng)管理員應(yīng)定期檢查“嚴(yán)重錯(cuò)誤〞以上級別的系統(tǒng)日志，發(fā)現(xiàn)入侵防御系統(tǒng)的異常運(yùn)行情況入侵防御系統(tǒng)管理員應(yīng)定期檢查操作日志，確認(rèn)是否有異常操作〔修改、添加、刪除策略，刪除日志等〕、異常登錄〔非管理員登陸記錄、屢次登陸密碼錯(cuò)誤〕，對此應(yīng)立即上報(bào)并修改密碼入侵防御系統(tǒng)管理員應(yīng)定期檢查和分析自動生成的報(bào)表，對報(bào)表中的可疑事件進(jìn)展追蹤(例如局部時(shí)間段異常攻擊等),并出具安全運(yùn)行報(bào)告入侵防御系統(tǒng)管理帳號用戶名：admin，初始口令admin，首次使用需修改，并備份統(tǒng)一管理中心服務(wù)器需要按時(shí)進(jìn)展操作系統(tǒng)的補(bǔ)丁升級和殺毒軟件的病毒庫升級日常故障維護(hù)統(tǒng)一管理中心服務(wù)器無法登錄，請檢查能否PING通統(tǒng)一管理中心服務(wù)器，其相關(guān)服務(wù)〔UMC數(shù)據(jù)庫服務(wù)、UMCWeb服務(wù)、UMC后臺服務(wù)〕是否啟動，管理端口80是否一致統(tǒng)一管理中心服務(wù)器上網(wǎng)絡(luò)流量快照或IPS攻擊日志無法生成，先檢查端口9502、9516、9514是否開放，入侵防御系統(tǒng)的日志發(fā)送配置是否正確，再用抓包工具檢查入侵防御系統(tǒng)是否發(fā)送日志入侵防御系統(tǒng)無法登錄，請檢查入侵防御系統(tǒng)的IP是否可以Ping通，同時(shí)檢測端口80是否開放數(shù)據(jù)備份管理統(tǒng)一管理中心服務(wù)器系統(tǒng)安裝后要先進(jìn)展完全備份統(tǒng)一管理中心服務(wù)器管理員應(yīng)定期將備份的數(shù)據(jù)導(dǎo)入到指定的備份機(jī)或刻盤存儲統(tǒng)一管理中心服務(wù)器的磁盤告警閥值默認(rèn)為2G，當(dāng)系統(tǒng)可用磁盤空間小于2G時(shí)，會進(jìn)展自動告警，這時(shí)需要進(jìn)展數(shù)據(jù)庫壓縮和數(shù)據(jù)備份補(bǔ)丁升級管理迪普將不定期在迪普官方網(wǎng)站〔〕發(fā)布設(shè)備最新的軟件版本，可自行下載，并升級協(xié)議庫升級，在設(shè)備已存在該特征庫的License的情況下，可采用手動升級〔迪普官方網(wǎng)站下載〕或自動升級〔前提是設(shè)備可訪問迪普官方網(wǎng)站的鏈接，假設(shè)不具備此條件，那么需采用手動升級〕【軟件版本】升級操作說明：〔1〕首先從迪普官方網(wǎng)站或迪普技術(shù)支持人員獲取最新的軟件版本?！?〕通過WEB界面登錄設(shè)備，選擇【基本】=>【系統(tǒng)管理】=>【軟件版本】，如以以下列圖：點(diǎn)擊文件路徑后的【瀏覽】按鈕，本地選中要下載的軟件版本，點(diǎn)擊【下載軟件版本】按鈕下載的配置文件出現(xiàn)在列表中，鼠標(biāo)移動到下次啟動的軟件版本后的軟件版本時(shí)會變成鉛筆圖標(biāo)點(diǎn)擊鼠標(biāo)左鍵，出現(xiàn)軟件版本的下拉列表選擇下次啟動時(shí)需要的版本，即下載的軟件版本修改完畢后，點(diǎn)擊確認(rèn)按鈕〔3〕登錄設(shè)備在設(shè)備在【設(shè)備管理】=>【設(shè)備信息】界面查看軟件版本升級成功?！緟f(xié)議庫】手動升級操作說明：〔1〕在設(shè)備協(xié)議庫授權(quán)未過期的前提下，從迪普官方網(wǎng)站獲取最新的協(xié)議庫。〔2〕通過WEB界面登錄設(shè)備，選擇【基本】=>【系統(tǒng)管理】=>【特征庫】=>【XXX特征庫】，如以以下列圖所示：點(diǎn)擊瀏覽按鈕；選擇下載升級包的路徑；設(shè)置完畢，點(diǎn)擊右方確實(shí)定按鈕?！?〕協(xié)議庫在升級過程中將顯示進(jìn)度信息，如以以下列圖所示：最后，系統(tǒng)將提示升級完成。應(yīng)急處理方案運(yùn)輸導(dǎo)致設(shè)備無法啟動設(shè)備加電一段時(shí)間后，系統(tǒng)無法正常啟動〔包括電源指示燈滅，電源指示燈亮/其他指示燈滅，RUN燈常亮或者快閃〕。更換電源線確保其正常，假設(shè)仍存在同樣問題，那么需更換硬件設(shè)備?；ヂ?lián)網(wǎng)訪問異常接口指示燈是否正常閃爍假設(shè)接口指示燈不亮，檢查連接線是否松動，且通過Web頁面查看接口管理狀態(tài)與鏈路狀態(tài)是否正常假設(shè)接口指示燈閃爍，通過Web頁面查看接口收發(fā)數(shù)量是否正常假設(shè)不存在上述問題時(shí)，在【網(wǎng)絡(luò)管理】->【軟件bypass】中，啟用bypass〔此狀態(tài)下，流量不匹配安全策略，直接轉(zhuǎn)發(fā)〕，判斷是否是安全策略導(dǎo)致在有內(nèi)置斷電保護(hù)，或有外置斷電保護(hù)PFP情況下，可直接切換到保護(hù)狀態(tài)，排查網(wǎng)絡(luò)異常是否產(chǎn)生于本設(shè)備集中管理平臺無相關(guān)日志安裝集中管理平臺客戶端后，雙擊任務(wù)欄的集中管理平臺圖標(biāo)，查看數(shù)據(jù)庫服務(wù)、web服務(wù)、后臺服務(wù)是否正常，假設(shè)不正常那么重新啟動PC或卸載重新安裝〔注意：設(shè)置本地安全控件允許集中管理平臺安裝的各個(gè)細(xì)節(jié)，如360安全衛(wèi)士等〕檢查集中管理平臺的License是否正常導(dǎo)入、運(yùn)行狀態(tài)是否正?！舱５卿泈eb網(wǎng)管〕、本地防火墻是否關(guān)閉、入侵防御設(shè)備與集中管理平臺間是否有防火墻未開啟相應(yīng)端口〔9502、9514等〕；入侵防御設(shè)備與集中管理平臺之間網(wǎng)絡(luò)是否正常，入侵防御設(shè)備是否配置了各種審計(jì)謀略，入侵防御設(shè)備配置是否正常通知到集中管理平臺上檢查流量是否流經(jīng)設(shè)備，查看設(shè)備接口統(tǒng)計(jì)數(shù)據(jù)設(shè)備工作不正常雙機(jī)熱備工作不正常，主機(jī)設(shè)備宕機(jī)之后，備機(jī)設(shè)備無法正常工作，需要查看備機(jī)是否加電，備機(jī)電源指示燈是否亮，備機(jī)接口狀態(tài)是否正?！步涌谥甘緹羰欠窳?、閃爍〕，是否可以正常登錄備機(jī)設(shè)備斷電保護(hù)工作不正常，先將連接線切換到之前狀態(tài)，將斷電保護(hù)模塊旁路，假設(shè)網(wǎng)絡(luò)正常，那么說明斷電保護(hù)模塊損壞，需更換斷電保護(hù)模塊；假設(shè)網(wǎng)絡(luò)仍不正常，需進(jìn)展網(wǎng)絡(luò)排查冗余電源工作不正常，查看電源指示燈是否亮，假設(shè)不亮，那么需更換硬件設(shè)備應(yīng)急步驟假設(shè)網(wǎng)絡(luò)無法無法短期恢復(fù)，那么應(yīng)優(yōu)先保障用戶網(wǎng)絡(luò)，確保用戶正常上網(wǎng)不受影響在有內(nèi)置斷電保護(hù)或外置斷電保護(hù)PFP情況下，手動啟動斷電保護(hù)〔內(nèi)置-設(shè)備斷電啟動，外置-手動斷開PFP與設(shè)備的USB連接線〕。假設(shè)網(wǎng)絡(luò)恢復(fù)正常，那么為設(shè)備故障，需優(yōu)先保障流量，線下定位排查；假設(shè)網(wǎng)絡(luò)未恢復(fù)正常，那么非設(shè)備故障設(shè)備發(fā)生故障后并在內(nèi)/外置保護(hù)流量情況下，撥打公司售后，聯(lián)系相關(guān)人員進(jìn)展定位和解決故障解決后，設(shè)備重新上線，并觀察功能項(xiàng)用戶名/密碼IPS設(shè)備，初始IP地址為，用戶名admin，密碼adminUMC軟件：初始用戶名admin，密碼UMCAdministrator首次使用請更改，并定期維護(hù)管理員管理員設(shè)置，添加管理員；防止“admin〞管理員被惡意嘗試而鎖定WEB訪問訪問協(xié)議設(shè)置，配置HTTP及HTTPS參數(shù)〔注意：重啟后生效〕接口狀態(tài)注意接口協(xié)商狀態(tài)，及轉(zhuǎn)發(fā)數(shù)據(jù)是否正常。當(dāng)上下行設(shè)備發(fā)生變化時(shí)，必須查看數(shù)據(jù)互通在【網(wǎng)絡(luò)管理】->【診斷工具】中，驗(yàn)證網(wǎng)絡(luò)暢通性〔如：IPS——UMC可達(dá)〕日志信息如：流量分析其他注冊與申請查看設(shè)備包裝箱內(nèi)License授權(quán)序列號，或在WEB首頁中查看設(shè)備序列號翻開UMC的WEB頁面，進(jìn)入“License管理->申請License〞，輸入相關(guān)信息，并保存此文件登陸迪普官方網(wǎng)站，輸入相關(guān)信息，申請相應(yīng)License升級與狀態(tài)查看設(shè)備狀態(tài)導(dǎo)入License文件導(dǎo)入相應(yīng)特征庫升級軟件版本，導(dǎo)入后，選為“下次啟動使用的軟件版本〞后，重啟設(shè)備即可查看系統(tǒng)、操作日志，查詢告警及可疑日志查看UMC本地信息FAQ入門篇為什么配置了管理地址IP，PC卻Ping不通在同網(wǎng)段中，PC的IP地址與配置管理IP地址必須同屬這一網(wǎng)段；在不同網(wǎng)段中，需要在IPS設(shè)備上添加相應(yīng)的路由，確保與PC連通。在WEB界面上直接對管理口的設(shè)置修改，會有什么結(jié)果會導(dǎo)致當(dāng)前WEB界面down掉，無法繼續(xù)進(jìn)展任何操作。需要訪問改后的IP地址，或者可通過console口，進(jìn)入到相應(yīng)的管理口下，以命令的方式對管理口，重新配置合理的參數(shù)。需要升級軟件版本情況下，下載完軟件版本并指定后，是否需要重啟需要重啟。當(dāng)設(shè)備異常斷電時(shí)，之前在WEB界面上的配置是否保存保存，設(shè)備開啟的情況下，對于操作與配置都是時(shí)時(shí)保存的。設(shè)備上的USB接口做什么用的外置斷電保護(hù)PFP，以及3G擴(kuò)展。我有特征庫文件，為什么不能升級需事先導(dǎo)入相應(yīng)License。已將軟件版本導(dǎo)入設(shè)備的CF卡中，為什么重啟后不能加載該版本須將該版本狀態(tài)選為“使用中〞才可。設(shè)備運(yùn)行一段時(shí)間后，發(fā)現(xiàn)局部系統(tǒng)日志和操作日志不見了，為什么在無手動刪除的情況下，查看是否超過了保存該日志的時(shí)間。輸出到UMC的業(yè)務(wù)日志和流量分析的端口號是什么業(yè)務(wù)日志是9514，流量分析是9502。為什么配置策略的時(shí)候，優(yōu)先使用指定用戶組，而不用Allusers做到對業(yè)務(wù)的細(xì)化，同時(shí)過濾多余信息。進(jìn)階篇接入設(shè)備后，發(fā)現(xiàn)接口協(xié)商成半雙工產(chǎn)生丟包，若何辦需要雙方都強(qiáng)制相應(yīng)的速率和雙工狀態(tài)。如果IPS與UMC系統(tǒng)時(shí)間間隔過大，有何影響UMC產(chǎn)生的日志會有相應(yīng)的滯后，建議安裝UMC后，立即開啟時(shí)間同步功能。若何跨網(wǎng)段對設(shè)備進(jìn)展管理添加默認(rèn)路由，或指定路由。我開啟了特征庫自動升級，為什么沒有生效在License有效的情況下，確定設(shè)備可以直接連入網(wǎng)絡(luò)?！彩褂迷\斷工具Ping外網(wǎng)IP地址，當(dāng)路由不通、需要認(rèn)證、各種訪問控制限制下，均不可自動升級〕若何使得限速效果更明顯〔P2P和多媒體〕雙向均配置策略。細(xì)化被限速的應(yīng)用。若何快速診斷UMC的運(yùn)行狀態(tài)在設(shè)備已配置了流量分析、業(yè)務(wù)日志發(fā)送到UM