H3CSecPathT系列IPS开局指导.ppt

H3CSecPathT系列IPS开局指导 ISSUE1 0 日期 2008 08 杭州华三通信技术有限公司版权所有 未经授权不得使用与传播 为什么需要IPS 怎么部署和管理IPS设备 如何安装 配置H3C的IPS设备 引入 了解IPS基本原理和典型应用掌握IPS的安装和开局配置思路掌握IPS的Web管理方式掌握IPS的CLI管理维护方式 课程目标 学习完本课程 您应该能够 IPS基本原理和典型应用IPS的安装和开局配置思路Web管理方式介绍CLI管理方式介绍 目录 IPS防范网络攻击和网络滥用流量 WebServer MailServer user user Attack 与IPS内部 特征库 特征相匹配 IPS的部署与安全策略应用 研发 财经 市场 DMZ区 SMTP POP3 WEB ERP OA CRM 数据中心 IPS旁路部署在DMZ区 交换机将进出DMZ区的流量镜像到IPS 可以检测来自Internet的针对DMZ区服务器的应用层攻击检测来自Internet的DDoS攻击 IPS部署在数据中心 抵御来自内网攻击 保护核心服务器和核心数据提供虚拟软件补丁服务 保证服务器最大正常运行时间基于服务的带宽管理 IPS部署在内部局域网段之间 可以抑制内网恶意流量 如间谍软件 蠕虫病毒等等的泛滥和传播抵御内网攻击 分支机构 分支机构 分支机构 IPS部署在广域网边界 抵御来自分支机构攻击保护广域网线路带宽 IPS部署在外网Internet边界 放在防火墙前面 可以保护防火墙等网络基础设施对Internet出口带宽进行精细控制 防止带宽滥用URL过滤 过滤敏感网页 IPS基本原理和典型应用IPS的安装和开局配置思路Web管理方式介绍CLI管理方式介绍 目录 设备的三种管理方法及组网设备的初始配置设备的各类安全策略 IPS的安装和开局配置思路 基于串口命令行管理方法基于HTTP HTTPS的Web管理方法基于Telnet的命令行管理方法 设备的三种管理方法及组网 串口管理的组网 新建串口连接 使用windows系统自带的 超级终端 工具 注意选择的串口与配置电缆实际连接的串口一致 设置串口终端的参数 点击 还原为默认值 设置波特率为9600 数据位为8 奇偶校验为无 停止位为1 数据流控制为无 串口管理界面 密码为大写的H3C 基于串口命令行管理方法基于HTTP HTTPS的Web管理方法基于Telnet的命令行管理方法 设备的三种管理方法及组网 Web管理方式的组网 system H3C interfacem gigabit0 0 0 H3C if ipaddress 默认情况下 设备默认管理口是g0 0 0 默认地址是 192 168 1 1 24上电启动完毕后 可以在串口上修改管理口IP地址 禁止使用g0 0 1作为管理口地址 Web管理方式的登陆界面 输入 http 用户名 密码默认admin 基于HTTPS的Web管理方式 输入 https 设备初始化时 默认开启此管理方式 基于串口命令行管理方法基于HTTP HTTPS的Web管理方法基于Telnet的命令行管理方法 设备的三种管理方法及组网 基于Telnet SSH的命令行管理方式组网 设备默认情况下 没有打开Telnet服务需要在串口上开启服务 方可用Telnet登陆设备 system H3C telnetserviceenable 基于Telnet的命令行管理方式 密码为大写的H3C 设备的三种管理方法及组网设备的初始配置设备的各类安全策略 目录 设备的初始化配置 配置管理口IP地址配置安全区域配置段添加管理口静态路由 可选配置 开启设备的二层回退功能 从左往右依次是1个为管理串口 两个USB口 四个业务口 一个管理网口左边上 下两个业务口为一个段 右边上 下两个业务口为一个段 在菜单 对象管理 安全区域管理 下 将IPS的业务口加入相应的区域中 首先创建两个域 WAN和LAN 然后将接口g ethernet0 0 2添加到区域WAN中 将接口g ethernet0 0 3添加到区域LAN中 安全区域配置 2 在菜单 对象管理 段管理 创建段 下 内部域和外部域 内部域 外部域决定了策略的检测方向及流量管理的限流方向 切记 创建段1 并且将域LAN添加到内部域 将域WAN添加到外部域中 段配置 3 这样 就可以在菜单 对象管理 段管理 段配置 下 查看到当前已经配置完成的段 4 在菜单 系统管理 网络管理 下 启用相关接口 配置接口3和接口4速率 双工状态 此时 一定要保证速率和双工状态与对端设备相同 由于端口芯片实现原因 IPS业务口禁止手动强制1000M 段配置 5 当管理PC与H3CIPS管理口的地址不在同一网段是 就需要添加管理口路由 在菜单 系统管理 路由管理 添加路由 下 添加设备的管理口默认网关 管理口路由配置 6 开启二层回退功能在菜单 系统管理 二层回退 下 启用二层回退 功能 设备配置过程中与设备割接时 务必保证设备以二层回退状态接入网络 在此状态下 如果用户网络一切正常 再将设备恢复到正常状态 二层回退配置 设备的三种管理方法及组网设备的初始配置设备的各类安全策略 目录 攻击防护策略带宽管理策略URL过滤策略DDoS策略病毒防护策略 设备的各类安全策略 在实际应用时 IPS为必配项其他几项策略为可选项 请根据用户需求做适当配置 IPS基本原理和典型应用IPS的安装和开局配置思路Web管理方式介绍CLI管理方式介绍 目录 Web界面概览各类安全策略配置其他配置 Web管理方式介绍 Web界面概览 辅助区 Web界面概览 导航区 Web界面概览 配置区 Web界面概览 初始化 首次登陆后 请 添加管理帐号 选择HTTP HTTPS服务 默认推荐使用HTTP方式 给设备添加License 升级设备软件版本和特征库版本 Web界面概览 初始化 添加管理员帐户 在 系统管理 用户管理 用户列表 菜单下 添加新的管理员帐户 Web界面概览 初始化 2 选择HTTP HTTPS服务 默认推荐使用HTTP方式 默认配置时 设备启用的是Https管理 如果要切换成Http管理 需要在 系统管理 HTTP HTTPS配置 菜单下 勾选HTTP管理选项 保存系统配置 然后重启设备即可 Web界面概览 初始化 3 添加License 在菜单 系统管理 License文件管理 文件信息 下 可以查看设备的License注册信息 设备如果没有进行License注册 将不能升级特征库版本 Web界面概览 初始化 4 升级设备软件版本和特征库版本 手动升级 在设备割接前 应将IPS的系统软件和特征库软件升级到当前最新版本 在 系统管理 升级管理 软件版本升级 菜单下 可以升级设备的系统软件 4 升级设备软件版本和特征库版本 手动升级 在 系统管理 升级管理 手动升级 菜单下 可以升级设备的特征库版本 Web界面概览 初始化 4 升级设备软件版本和特征库版本 特征库自动升级 在 系统管理 升级管理 自动升级 菜单下 可以配置设备自动升级 Web界面概览 初始化 攻击防护 带宽控制 URL过滤 DDoS 病毒防护 各类安全策略配置 攻击防护 概念 安全区域和段安全区域是一个物理 网络上的概念 特定的物理端口 段可以看作是连接两个安全的区域的一个透明网桥策略被应用在特定的段上 段 策略 网络配置 IP地址 方向 特征 规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广 规则 特征 启用状态 动作集策略是一个包含了多条规则的集合动作和动作集 攻击防护 配置 前提创建好需要的安全区域和段 参见 Web配置手册 中段管理以及安全区域模块 配置步骤 创建一个IPS策略 从缺省的进行拷贝 如 IPSforFinance 对创建的策略进行相关的修改 搜索 修改 保存 将策略 IPSforFinance 应用到指定的段上 激活配置更改 可参见 Web配置手册 中的IPS典型配置举例 攻击防护 配置 在 对象管理 IPS 快捷应用 菜单下 可以新建一条IPS防护规则 攻击防护 配置 在 对象管理 IPS 策略管理 菜单下 可以配置IPS策略 攻击防护 带宽控制 URL过滤 DDoS 病毒防护 各类安全策略配置 带宽控制 配置 策略带宽控制配置创建策略控制带宽配置 对象管理 BWC管理 策略带宽控制列表 创建带宽管理策略 对象管理 带宽控制 策略管理 将策略带宽控制关联到带宽管理策略 同上一步页面 配置带宽管理规则 可选 如果需要配置相关的应用带宽 在段上应用配置后的带宽管理策略 对象管理 段管理 段策略管理 激活配置更改参考 Web配置手册 中带宽管理模块中的举例 带宽控制 配置 应用带宽控制配置和策略带宽配置步骤一致在配置带宽控制策略的时候对特定的服务进行单独的配置 规则每一条规则 服务 时间表 动作集 是否启用应用带宽配置只要被用来进行P2P带宽限制等业务动作集 用户可定义 ActionSet Block Permit RateLimit PacketTraceorNOT NotifyorNOT RateLimit DownlinkApplicationBWC UplinkApplicationBWC MaxConcurrentCons 带宽控制 配置 在 对象管理 带宽管理 规则管理 菜单下 可以配置带宽管理策略 攻击防护 带宽控制 URL过滤 DDoS 病毒防护 各类安全策略配置 URL过滤 概念 URL过滤是如何工作的 例如 GET portal res 200707 16 20070716 120096 H3C 20showroom 207640 1515 0 jpgHTTP 1 1Accept Accept Language zh cnUA CPU x86Accept Encoding gzip deflateIf Modified Since Mon 16Jul200707 48 58GMTIf None Match 6ea942c47dc7c71 263 User Agent Mozilla 4 0 compatible MSIE7 0 WindowsNT5 1 NETCLR1 1 4322 NETCLR2 0 50727 Host Connection Keep Alive 传输层数据如下 192 168 10 100 1378 172 24 15 40 80 IP地址 172 24 15 40 正则表达式 portal res 200707 16 20070716 120096 H3C 20showroom 207640 1515 0 jpg 主机名 URL过滤 配置 配置步骤创建URL过滤策略 对象管理 URL过滤 策略管理 创建时间表并关联到指定的URL过滤策略 可选 在URL过滤策略中创建URL过滤规则 对象管理 URL过滤 规则管理 在指定的段上配置相应的URL策略激活配置更改 URL过滤 配置 在 对象管理 URL过滤 策略管理 菜单下 可以配置设备的url过滤策略 攻击防护 带宽控制 URL过滤 DDoS NOTAVALIABLETODAY病毒防护 各类安全策略配置 攻击防护 带宽控制 URL过滤 DDoS 病毒防护 各类安全策略配置 病毒防护 IPS中病毒相关的特征和病毒防护功能的区别IPS中病毒 蠕虫相关的特征只检测病毒 蠕虫间的通讯等特征AV特征库则检测传输层中数据的特定内容 如文件PE头 特定的二进制代码 Sasser ExploitforRPC LSASS 执行Shellcode 通过tftp下载sasser exe Sasser exePEHeader 前提创建好需要的安全区域和段 参见 Web配置手册 中段管理以及安全区域模块 配置步骤 创建一个AV策略 从缺省的进行拷贝 如 AVforFinance 对创建的策略进行相关的修改 搜索 修改 保存 将策略 AVforFinance 应用到指定的段上 激活配置更改 可参见 Web配置手册 中的IPS典型配置举例 病毒防护 配置 病毒防护 配置 在 对象管理 防病毒管理 策略管理 菜单下 可以配置设备的病毒防护策略 各类安全策略配置 防护策略配置小结 默认的IPS防护策略 内置了2300余种攻击特征规则 设备能够检测出匹配这些规则的攻击 在实际使用时 直接把这个默认的IPS防护策略应用到段上 指定策略的检测方向即可 配置步骤如下 1 在段上应用默认的IPS策略 配置正确的检测方向 2 激活配置 提供默认的带宽管理策略 对所有服务的动作都为permit 使用前 需要了解用户对网络应用有哪些需求 如 哪些服务需要阻断 哪些需要限流 配置步骤如下 1 配置BWC 可选 当需要对网络应用做限流时才配置 2 配置动作及动作集 可选 3 配置时间表 可选 4 在带宽管理策略下配置规则 选择具体的服务 动作集5 为策略选择时间表 为策略下的规则选择时间分组 根据用户需求配置相应时间段的动作集 可选 满足不同时间段下 对网络应用采取不同动作 6 在段上应用带宽管理策略 配置正确的检测方向 7 激活配置 各类安全策略配置 带宽管理配置小结 H3CSecPathIPS系列产品提供默认的URL过滤策略 但没有配置任何过滤规则 使用前 需要了解用户有哪些需求 如 允许访问哪些网页 需要阻断哪些网页的访问 配置步骤如下 1 配置时间表 可选 2 在URL过滤策略下配置规则 选择过滤类型 配置检测内容 选择动作集3 为策略选择时间表 为策略下的规则选择时间分组 根据用户需求配置相应时间段的动作集 可选 满足不同时间段下 对网络应用采取不