DPtech IPS2000系列入侵防御系統(tǒng)維護(hù)手冊(cè)

...wd......wd......wd...DPtechIPS2000維護(hù)手冊(cè)杭州迪普科技2011年07月目錄DPtechIPS2000維護(hù)手冊(cè)1第1章常見(jiàn)維護(hù)事項(xiàng)11.1系統(tǒng)基本維護(hù)11.2日常故障維護(hù)11.3數(shù)據(jù)備份管理11.4補(bǔ)丁升級(jí)管理2第2章應(yīng)急處理方案42.1運(yùn)輸導(dǎo)致設(shè)備無(wú)法啟動(dòng)42.2互聯(lián)網(wǎng)訪問(wèn)異常42.3集中管理平臺(tái)無(wú)相關(guān)日志42.4設(shè)備工作不正常42.5應(yīng)急步驟5第3章功能項(xiàng)63.1用戶(hù)名/密碼63.2管理員63.3WEB訪問(wèn)63.4接口狀態(tài)73.5數(shù)據(jù)互通73.6日志信息7第4章其他94.1注冊(cè)與申請(qǐng)94.2升級(jí)與狀態(tài)9第5章FAQ125.1入門(mén)篇125.2進(jìn)階篇13常見(jiàn)維護(hù)事項(xiàng)系統(tǒng)基本維護(hù)入侵防御系統(tǒng)應(yīng)該指派專(zhuān)人管理、維護(hù)，管理員的口令要嚴(yán)格保密，不得泄露入侵防御系統(tǒng)管理員應(yīng)定期查看統(tǒng)一管理中心〔UMC〕和入侵防御系統(tǒng)〔IPS〕的系統(tǒng)資源(包括內(nèi)存/CPU/外存)，確認(rèn)運(yùn)行狀況是否正常入侵防御系統(tǒng)管理員應(yīng)定期檢查“嚴(yán)重錯(cuò)誤〞以上級(jí)別的系統(tǒng)日志，發(fā)現(xiàn)入侵防御系統(tǒng)的異常運(yùn)行情況入侵防御系統(tǒng)管理員應(yīng)定期檢查操作日志，確認(rèn)是否有異常操作〔修改、添加、刪除策略，刪除日志等〕、異常登錄〔非管理員登陸記錄、屢次登陸密碼錯(cuò)誤〕，對(duì)此應(yīng)立即上報(bào)并修改密碼入侵防御系統(tǒng)管理員應(yīng)定期檢查和分析自動(dòng)生成的報(bào)表，對(duì)報(bào)表中的可疑事件進(jìn)展追蹤(例如局部時(shí)間段異常攻擊等),并出具安全運(yùn)行報(bào)告入侵防御系統(tǒng)管理帳號(hào)用戶(hù)名：admin，初始口令admin，首次使用需修改，并備份統(tǒng)一管理中心服務(wù)器需要按時(shí)進(jìn)展操作系統(tǒng)的補(bǔ)丁升級(jí)和殺毒軟件的病毒庫(kù)升級(jí)日常故障維護(hù)統(tǒng)一管理中心服務(wù)器無(wú)法登錄，請(qǐng)檢查能否PING通統(tǒng)一管理中心服務(wù)器，其相關(guān)服務(wù)〔UMC數(shù)據(jù)庫(kù)服務(wù)、UMCWeb服務(wù)、UMC后臺(tái)服務(wù)〕是否啟動(dòng)，管理端口80是否一致統(tǒng)一管理中心服務(wù)器上網(wǎng)絡(luò)流量快照或IPS攻擊日志無(wú)法生成，先檢查端口9502、9516、9514是否開(kāi)放，入侵防御系統(tǒng)的日志發(fā)送配置是否正確，再用抓包工具檢查入侵防御系統(tǒng)是否發(fā)送日志入侵防御系統(tǒng)無(wú)法登錄，請(qǐng)檢查入侵防御系統(tǒng)的IP是否可以Ping通，同時(shí)檢測(cè)端口80是否開(kāi)放數(shù)據(jù)備份管理統(tǒng)一管理中心服務(wù)器系統(tǒng)安裝后要先進(jìn)展完全備份統(tǒng)一管理中心服務(wù)器管理員應(yīng)定期將備份的數(shù)據(jù)導(dǎo)入到指定的備份機(jī)或刻盤(pán)存儲(chǔ)統(tǒng)一管理中心服務(wù)器的磁盤(pán)告警閥值默認(rèn)為2G，當(dāng)系統(tǒng)可用磁盤(pán)空間小于2G時(shí)，會(huì)進(jìn)展自動(dòng)告警，這時(shí)需要進(jìn)展數(shù)據(jù)庫(kù)壓縮和數(shù)據(jù)備份補(bǔ)丁升級(jí)管理迪普將不定期在迪普官方網(wǎng)站〔〕發(fā)布設(shè)備最新的軟件版本，可自行下載，并升級(jí)協(xié)議庫(kù)升級(jí)，在設(shè)備已存在該特征庫(kù)的License的情況下，可采用手動(dòng)升級(jí)〔迪普官方網(wǎng)站下載〕或自動(dòng)升級(jí)〔前提是設(shè)備可訪問(wèn)迪普官方網(wǎng)站的鏈接，假設(shè)不具備此條件，那么需采用手動(dòng)升級(jí)〕【軟件版本】升級(jí)操作說(shuō)明：〔1〕首先從迪普官方網(wǎng)站或迪普技術(shù)支持人員獲取最新的軟件版本?！?〕通過(guò)WEB界面登錄設(shè)備，選擇【基本】=>【系統(tǒng)管理】=>【軟件版本】，如以以下列圖：點(diǎn)擊文件路徑后的【瀏覽】按鈕，本地選中要下載的軟件版本，點(diǎn)擊【下載軟件版本】按鈕下載的配置文件出現(xiàn)在列表中，鼠標(biāo)移動(dòng)到下次啟動(dòng)的軟件版本后的軟件版本時(shí)會(huì)變成鉛筆圖標(biāo)點(diǎn)擊鼠標(biāo)左鍵，出現(xiàn)軟件版本的下拉列表選擇下次啟動(dòng)時(shí)需要的版本，即下載的軟件版本修改完畢后，點(diǎn)擊確認(rèn)按鈕〔3〕登錄設(shè)備在設(shè)備在【設(shè)備管理】=>【設(shè)備信息】界面查看軟件版本升級(jí)成功。【協(xié)議庫(kù)】手動(dòng)升級(jí)操作說(shuō)明：〔1〕在設(shè)備協(xié)議庫(kù)授權(quán)未過(guò)期的前提下，從迪普官方網(wǎng)站獲取最新的協(xié)議庫(kù)?！?〕通過(guò)WEB界面登錄設(shè)備，選擇【基本】=>【系統(tǒng)管理】=>【特征庫(kù)】=>【XXX特征庫(kù)】，如以以下列圖所示：點(diǎn)擊瀏覽按鈕；選擇下載升級(jí)包的路徑；設(shè)置完畢，點(diǎn)擊右方確實(shí)定按鈕?！?〕協(xié)議庫(kù)在升級(jí)過(guò)程中將顯示進(jìn)度信息，如以以下列圖所示：最后，系統(tǒng)將提示升級(jí)完成。應(yīng)急處理方案運(yùn)輸導(dǎo)致設(shè)備無(wú)法啟動(dòng)設(shè)備加電一段時(shí)間后，系統(tǒng)無(wú)法正常啟動(dòng)〔包括電源指示燈滅，電源指示燈亮/其他指示燈滅，RUN燈常亮或者快閃〕。更換電源線確保其正常，假設(shè)仍存在同樣問(wèn)題，那么需更換硬件設(shè)備?；ヂ?lián)網(wǎng)訪問(wèn)異常接口指示燈是否正常閃爍假設(shè)接口指示燈不亮，檢查連接線是否松動(dòng)，且通過(guò)Web頁(yè)面查看接口管理狀態(tài)與鏈路狀態(tài)是否正常假設(shè)接口指示燈閃爍，通過(guò)Web頁(yè)面查看接口收發(fā)數(shù)量是否正常假設(shè)不存在上述問(wèn)題時(shí)，在【網(wǎng)絡(luò)管理】->【軟件bypass】中，啟用bypass〔此狀態(tài)下，流量不匹配安全策略，直接轉(zhuǎn)發(fā)〕，判斷是否是安全策略導(dǎo)致在有內(nèi)置斷電保護(hù)，或有外置斷電保護(hù)PFP情況下，可直接切換到保護(hù)狀態(tài)，排查網(wǎng)絡(luò)異常是否產(chǎn)生于本設(shè)備集中管理平臺(tái)無(wú)相關(guān)日志安裝集中管理平臺(tái)客戶(hù)端后，雙擊任務(wù)欄的集中管理平臺(tái)圖標(biāo)，查看數(shù)據(jù)庫(kù)服務(wù)、web服務(wù)、后臺(tái)服務(wù)是否正常，假設(shè)不正常那么重新啟動(dòng)PC或卸載重新安裝〔注意：設(shè)置本地安全控件允許集中管理平臺(tái)安裝的各個(gè)細(xì)節(jié)，如360安全衛(wèi)士等〕檢查集中管理平臺(tái)的License是否正常導(dǎo)入、運(yùn)行狀態(tài)是否正?！舱５卿泈eb網(wǎng)管〕、本地防火墻是否關(guān)閉、入侵防御設(shè)備與集中管理平臺(tái)間是否有防火墻未開(kāi)啟相應(yīng)端口〔9502、9514等〕；入侵防御設(shè)備與集中管理平臺(tái)之間網(wǎng)絡(luò)是否正常，入侵防御設(shè)備是否配置了各種審計(jì)謀略，入侵防御設(shè)備配置是否正常通知到集中管理平臺(tái)上檢查流量是否流經(jīng)設(shè)備，查看設(shè)備接口統(tǒng)計(jì)數(shù)據(jù)設(shè)備工作不正常雙機(jī)熱備工作不正常，主機(jī)設(shè)備宕機(jī)之后，備機(jī)設(shè)備無(wú)法正常工作，需要查看備機(jī)是否加電，備機(jī)電源指示燈是否亮，備機(jī)接口狀態(tài)是否正?！步涌谥甘緹羰欠窳?、閃爍〕，是否可以正常登錄備機(jī)設(shè)備斷電保護(hù)工作不正常，先將連接線切換到之前狀態(tài)，將斷電保護(hù)模塊旁路，假設(shè)網(wǎng)絡(luò)正常，那么說(shuō)明斷電保護(hù)模塊損壞，需更換斷電保護(hù)模塊；假設(shè)網(wǎng)絡(luò)仍不正常，需進(jìn)展網(wǎng)絡(luò)排查冗余電源工作不正常，查看電源指示燈是否亮，假設(shè)不亮，那么需更換硬件設(shè)備應(yīng)急步驟假設(shè)網(wǎng)絡(luò)無(wú)法無(wú)法短期恢復(fù)，那么應(yīng)優(yōu)先保障用戶(hù)網(wǎng)絡(luò)，確保用戶(hù)正常上網(wǎng)不受影響在有內(nèi)置斷電保護(hù)或外置斷電保護(hù)PFP情況下，手動(dòng)啟動(dòng)斷電保護(hù)〔內(nèi)置-設(shè)備斷電啟動(dòng)，外置-手動(dòng)斷開(kāi)PFP與設(shè)備的USB連接線〕。假設(shè)網(wǎng)絡(luò)恢復(fù)正常，那么為設(shè)備故障，需優(yōu)先保障流量，線下定位排查；假設(shè)網(wǎng)絡(luò)未恢復(fù)正常，那么非設(shè)備故障設(shè)備發(fā)生故障后并在內(nèi)/外置保護(hù)流量情況下，撥打公司售后，聯(lián)系相關(guān)人員進(jìn)展定位和解決故障解決后，設(shè)備重新上線，并觀察功能項(xiàng)用戶(hù)名/密碼IPS設(shè)備，初始IP地址為，用戶(hù)名admin，密碼adminUMC軟件：初始用戶(hù)名admin，密碼UMCAdministrator首次使用請(qǐng)更改，并定期維護(hù)管理員管理員設(shè)置，添加管理員；防止“admin〞管理員被惡意嘗試而鎖定WEB訪問(wèn)訪問(wèn)協(xié)議設(shè)置，配置HTTP及HTTPS參數(shù)〔注意：重啟后生效〕接口狀態(tài)注意接口協(xié)商狀態(tài)，及轉(zhuǎn)發(fā)數(shù)據(jù)是否正常。當(dāng)上下行設(shè)備發(fā)生變化時(shí)，必須查看數(shù)據(jù)互通在【網(wǎng)絡(luò)管理】->【診斷工具】中，驗(yàn)證網(wǎng)絡(luò)暢通性〔如：IPS——UMC可達(dá)〕日志信息如：流量分析其他注冊(cè)與申請(qǐng)查看設(shè)備包裝箱內(nèi)License授權(quán)序列號(hào)，或在WEB首頁(yè)中查看設(shè)備序列號(hào)翻開(kāi)UMC的WEB頁(yè)面，進(jìn)入“License管理->申請(qǐng)License〞，輸入相關(guān)信息，并保存此文件登陸迪普官方網(wǎng)站，輸入相關(guān)信息，申請(qǐng)相應(yīng)License升級(jí)與狀態(tài)查看設(shè)備狀態(tài)導(dǎo)入License文件導(dǎo)入相應(yīng)特征庫(kù)升級(jí)軟件版本，導(dǎo)入后，選為“下次啟動(dòng)使用的軟件版本〞后，重啟設(shè)備即可查看系統(tǒng)、操作日志，查詢(xún)告警及可疑日志查看UMC本地信息FAQ入門(mén)篇為什么配置了管理地址IP，PC卻Ping不通在同網(wǎng)段中，PC的IP地址與配置管理IP地址必須同屬這一網(wǎng)段；在不同網(wǎng)段中，需要在IPS設(shè)備上添加相應(yīng)的路由，確保與PC連通。在WEB界面上直接對(duì)管理口的設(shè)置修改，會(huì)有什么結(jié)果會(huì)導(dǎo)致當(dāng)前WEB界面down掉，無(wú)法繼續(xù)進(jìn)展任何操作。需要訪問(wèn)改后的IP地址，或者可通過(guò)console口，進(jìn)入到相應(yīng)的管理口下，以命令的方式對(duì)管理口，重新配置合理的參數(shù)。需要升級(jí)軟件版本情況下，下載完軟件版本并指定后，是否需要重啟需要重啟。當(dāng)設(shè)備異常斷電時(shí)，之前在WEB界面上的配置是否保存保存，設(shè)備開(kāi)啟的情況下，對(duì)于操作與配置都是時(shí)時(shí)保存的。設(shè)備上的USB接口做什么用的外置斷電保護(hù)PFP，以及3G擴(kuò)展。我有特征庫(kù)文件，為什么不能升級(jí)需事先導(dǎo)入相應(yīng)License。已將軟件版本導(dǎo)入設(shè)備的CF卡中，為什么重啟后不能加載該版本須將該版本狀態(tài)選為“使用中〞才可。設(shè)備運(yùn)行一段時(shí)間后，發(fā)現(xiàn)局部系統(tǒng)日志和操作日志不見(jiàn)了，為什么在無(wú)手動(dòng)刪除的情況下，查看是否超過(guò)了保存該日志的時(shí)間。輸出到UMC的業(yè)務(wù)日志和流量分析的端口號(hào)是什么業(yè)務(wù)日志是9514，流量分析是9502。為什么配置策略的時(shí)候，優(yōu)先使用指定用戶(hù)組，而不用Allusers做到對(duì)業(yè)務(wù)的細(xì)化，同時(shí)過(guò)濾多余信息。進(jìn)階篇接入設(shè)備后，發(fā)現(xiàn)接口協(xié)商成半雙工產(chǎn)生丟包，若何辦需要雙方都強(qiáng)制相應(yīng)的速率和雙工狀態(tài)。如果IPS與UMC系統(tǒng)時(shí)間間隔過(guò)大，有何影響UMC產(chǎn)生的日志會(huì)有相應(yīng)的滯后，建議安裝UMC后，立即開(kāi)啟時(shí)間同步功能。若何跨網(wǎng)段對(duì)設(shè)備進(jìn)展管理添加默認(rèn)路由，或指定路由。我開(kāi)啟了特征庫(kù)自動(dòng)升級(jí)，為什么沒(méi)有生效在License有效的情況下，確定設(shè)備可以直接連入網(wǎng)絡(luò)?！彩褂迷\斷工具Ping外網(wǎng)IP地址，當(dāng)路由不通、需要認(rèn)證、各種訪問(wèn)控制限制下，均不可自動(dòng)升級(jí)〕若何使得限速效果更明顯〔P2P和多媒體〕雙向均配置策略。細(xì)化被限速的應(yīng)用。若何快速診斷UMC的運(yùn)行狀態(tài)在設(shè)備已配置了流量分析、業(yè)務(wù)日志發(fā)送到UM