TopPolicy安装与应用v3.2.007.ppt

1、,TopPolicy v2.2.007版本安装与应用,测试部,2009-09-14,TP整体介绍 TP概述 TP系统构成 功能变更说明 TP安装及备份恢复 TP功能模块 设备管理 策略管理 隧道管理 监控面板 日志审计 报警管理 升级中心 系统管理 单机双线路 双机热备 级联服务器,目录,TP概述,TopPolicy是一套安全设备、策略集中管理和监控系统。 使企业和服务提供商集中高效的管理多达数千台安全设备。 集中进行设备配置避免网络中因设备策略不一致造成的潜在安全漏洞。 可以最大程度的降低配置，管理，监控及维护设备的投入成本。 是天融信公司网络卫士安全管理系统（TSM）的重要组成部分。,TP

2、系统构成,功能变更说明,安装过程一体化 新增设备类型和版本信息管理 新增IDP V2版本设备管理 IPS策略管理 IPS设备监控 IPS流量监控 IPS事件报表 IPS规则库管理 新增监控面板功能 新增报警类型,TP安装及备份恢复,TP服务器安装过程 TP服务器初始化 邮件服务器的参数配置 TP安装注意事项 TPv2.2.007配置备份恢复,TP安装,TPv7安装做了很大的改进，告别以往服务器、管理器、mysql数据库分别安装这种比较繁琐的安装方式。TPv7安装程序中集成了服务器、管理器、mysql数据库、HTTP服务器，达到了安装一体化，并且安装快捷、方便。,TP安装及备份恢复-TP服务器安

3、装过程,1、如果安装主机上有旧的TP系统请先卸载（包括服务器、管理器、数据库），卸载前请先备份好低版本的数据（通过TP服务器的备份数据做一次，最好停止TPSERVER.EXE后，把MYSQL的DATA目录也拷贝下来备用） 2、安装服务器和管理器 3、运行开始菜单-tp服务器目录中的“TP数据配置”进行初始化 (注：数据库的连接地址输入，缺省root管理员口令为talent) 4、初始化完成后启动TP服务器，输入注册码(不注册时服务器只能使用1个月) 7、退出TP服务器 8、重新启动TP服务器,TP安装及备份恢复-TP服务器安装过程,TP安装及备份恢复- TP服务器初始化,开始

4、 程序 TopPolicy TopPolicy配置工具,TP安装及备份恢复-TP服务器初始化,TP安装及备份恢复-邮件服务器参数配置,配置邮件服务器参数能够使TP具备的下发功能能够正常实现 （1）给管理员下发浏览报表的链接 （2）给管理员下发设备升级包、IPS规则库文件的下载程序 (3) 报警信息的邮件分发,TP安装及备份恢复-邮件服务器参数配置,在系统参数的邮件参数需设置邮件服务器地址、端口，输入发件人的邮件地址和密码,TP安装及备份恢复- TP安装注意事项,安装服务器时会缺省安装MYSQL数据库所选择的安装目录 MYSQL不再作为系统服务启动，由TPSERVER启动，TPSERVER关闭时

5、该进程会被强制退出 MYSQL缺省使用TCP 33060取代以前的TCP 3306 端口作为数据库的连接端口 TPSERVER自带nserver提供HTTP(tcp 8080)和tftp(udp 69)服务，注意不要和系统中原有的应用程序产生冲突,TP安装及备份恢复- TPv2.2.007配置备份恢复,开始 程序 TopPolicy TopPolicy配置工具,TP功能,设备管理 策略管理 隧道管理 监控面板 日志审计 报警管理,升级中心 系统管理 单机双线路 双机热备 级联服务器,设备管理,设备支持 基于TOS3.3.002/3.3.003/3.3.005的FW/VPN/IDP产品 华盾VP

6、N（版本6.1以上）产品 自定义设备类型 网关设备可以采用各种方式接入公网 提出域的概念，使得设备的管理集中而有序 设备列表、拓扑图,在线状态检测、版本号获取、设备升级 封装了PING、TELNET、SSH、TRACEROUTE等管理方法 获取防火墙配置并集中存储、配置比较、配置变化检测 获取TOS设备的防火墙策略(PF、AC、NAT、DPI、AV、反垃圾邮件、防火墙参数、日志参数)及对象并生成TP服务器上的相应策略及对象 支持nat环境、设备双线路 一键式登录防火墙WEB管理 支持DHCP、PPPOE等动态IP方式接入（需具备VPN模块） 可使用多种条件组合监视防火墙的当前连接，并可进行删除

7、连接等操作,设备管理,设备管理,设备主动发现（snmp、ping、tcp、http、https） 设备主动通告（带注册功能的tos3.3.005设备） 填写TP中心地址 向TP发SOCKET报文 TP向设备发SNMP查询报文，在主动发现中显示设备 查看在线设备日志 获取设备健康记录,设备管理-主界面,设备管理-网关设备的管理流程,通过TP管理器在TP服务器上给所有的网关设备添加相关设备 主动探测类型设备可以不用生成证书 主动注册类型设备需要证书 VPN设备必须给设备生成证书 FW+VPN设备如果用到VPN功能的话也需要给设备生成证书 下发证书 安装到网关设备,FW+VPN网关设备的添加,设备管

8、理-网关设备的管理流程,FW网关设备的添加,设备管理-网关设备的管理流程,VPN网关设备的添加,设备管理-网关设备的管理流程,注意设备图标的区别,设备管理-网关设备的管理流程,发放证书,设备管理-网关设备的管理流程,FW+VPN设备安装证书,设备管理-网关设备的管理流程,VPN设备安装证书,设备管理-网关设备的管理流程,可以通过EXECL模板批量添加(模板在管理器安装目录中) 单个域下最多添加200台设备,设备管理批量添加设备,设备管理-设备属性介绍,添中设备时需要给每台设备指定相关的设备类型和版本信息 不同的设备类型和版本决定了此种设备和管理方式以及可以进行的管理操作 “主动注册”选项控制设

9、备的注册方式，主动注册指的是设备主动向TP服务器发起，使用前需要给设备安装相关的设备证书同时配置TP注册参数，如果设备不支持主动注册功能，选择此项会导致设备无法上线。不选此项，TP服务器会采用主动探测的方式检查设备在线状态,设备管理-设备类型介绍,TP系统按照公司产品线内置了一些产品类型,设备管理-设备版本信息,设备版本信息决定了对于匹配该版本的设备进行管理操作的一些具体细节 当设备版本在产品类型中没有匹配的版本信息时，自动使用default version版本对象 如果系统中没有合适的版本信息也可以自行修改或是添加,设备管理-设备版本信息,基本信息中是设备版本的一些基本信息，根据实际情况添加

10、即可 匹配表达式支持正则表达式，如果为空表示所有版本信息都能匹配 系统平台决定了可操作列表中可选的操作内容,设备管理-设备版本信息,在线检查参数 当设备无法支持TP的主动注册协议时可以采用TP主动检测方式来监控设备的在线状况 可以根据所管理设备的实际情况选择一种可用的检测方式,设备管理-设备版本信息,远程管理参数 一般情况，此界面参数不用修改，除非是针对其它公司的第三方设备管理才需要配置,设备管理-设备版本信息,配置管理参数 一般情况，此界面参数不用修改，除非是针对其它公司的第三方设备管理才需要配置,设备管理-设备版本信息,性能监控参数 根据设备的SNMP MIB相关结点填入，进行设备监控时会

11、调用这些信息对设备进行监控,设备管理-设备版本信息,日志参数 对所接收的设备日志按什么格式去解析,设备管理-设备版本信息,报警接收参数 对所接收的设备报警按什么格式去解析,设备管理-设备版本信息,可操作列表 “基本信息”属性页中的“系统平台”参数决定了可操作列表中可选的操作内容 “已选择操作”中选中的内容决定了可以对匹配该版本信息的设备进行什么管理操作 系统内置的版本信息有可能和实际使用设备可以支持的功能不一致，可以在相关的版本信息中自行调整(如：手动设备子网、AR、AV、IPS等策略模块的支持等),设备管理-设备拓扑管理,具备直观的图形化拓扑表现 能够在拓扑图上添加设备和下发VPN策略 能够

12、监视各个安全域在线设备数 能够监视设备状态和隧道状态 能够针对每个安全域导入背景图，保存拓扑图 能够具备放大、缩小、大小图标切换、设备名称显示切换、外域隧道显示切换等查看功能 能够自动排列和手动排列安全域内设备位置 能够进行设备监控、升级、配置管理等各种操作 能够闪烁提示设备报警,设备管理-设备拓扑管理,策略管理,全局对象管理 FW策略管理 IPS策略管理 策略获取 策略下发管理,策略管理-全局对象管理,对象是构成安全策略的基本要素,IPS和FW策略中需要用到以下对象 IPS对象 服务对象、攻击检测规则对象、应用识别规则对象 防火墙对象 服务对象、过滤对象 公共对象 地址对象、区域对象、时间对

13、象,IPS服务对象,策略管理-全局对象管理,IPS攻击检测规则对象,策略管理-全局对象管理,IPS攻击检测规则对象 自定义规则,策略管理-全局对象管理,IPS应用识别规则对象,策略管理-全局对象管理,IPS应用识别规则对象 过滤帐号,策略管理-全局对象管理,IPS应用识别规则对象 自定义应用,策略管理-全局对象管理,防火墙策略对象 系统定义服务对象,策略管理-全局对象管理,防火墙策略对象 自定义服务对象,策略管理-全局对象管理,防火墙策略对象 服务组对象,策略管理-全局对象管理,防火墙策略对象 过滤对象,策略管理-全局对象管理,公共策略对象 地址对象,策略管理-全局对象管理,公共策略对象 地址

14、对象,策略管理-全局对象管理,公共策略对象 区域对象,策略管理-全局对象管理,公共策略对象 时间对象,策略管理-全局对象管理,策略管理-FW策略,目前支持的FW策略 包过滤 访问控制 NAT 内容过滤 应用端口绑定 应用程序识别 DPI策略:http、smtp、pop3、imap、telnet、ftp 防病毒策略 反垃圾邮件策略 防火墙参数,前三项支持V3.2.100、V3.3.001及后续版本 内容过滤、FW参数仅支持V3.3.001及后续版本 系统自动保存下发历史记录,入侵防御策略以及攻击检测规则和应用识别对象 Ddos策略 带宽控制策略 过滤帐号策略、自定义应用策略,策略管理-IPS策略

15、,策略管理-IPS策略,策略包添加 全局策略IPS策略右键菜单“添加IPS策略包” 选择策略包，编辑相关的IPS策略,策略管理-IPS策略,IPS策略组成 源地址对象 目的地址对象 攻击检测对象 应用识别对象 时间对象 规则启用开关,策略管理-策略获取,“设备管理”“设备首页”“策略管理”功能可以从设备上获取设备已有的配置，并把获取到的策略生成TP策略包，这样就可以在把这个策略下发给其他的设备了。,策略管理-策略获取现有问题,理论上只要TP可以下发的策略是都可以从设备砂上获取的。但还存在一些问题： 从设备上获取IPS入侵防御策略时，获取不到攻击检测对象 QOS策略获取不到,从设备列表中选择设备

16、下发策略 在左侧树的设备域上下发策略 在拓扑图中给域或设备下发策略 在左侧树的策略包节点上下发策略 配置计划任务下发策略,策略管理-策略下发管理,策略管理-策略下发管理,特定策略包下发： 选中策略包-右键菜单-下发策略包-选择需要下发的域或是设备(可以多选),策略管理-策略下发管理,特定设备进行下发： 打开设备列表选择下发设备-右键菜单设备配置-策略包下发(设备和策略包都可以多选) (注:只有在线设备才可以下发),策略管理-策略下发,域和拓朴图上也可以进行策略下发,策略管理-策略下发,添加计划任务下发策略,策略管理-策略下发注意事项,TP的策略和对象的命名和容错和网关设备基本相同，但也有少量不

17、一致的地方，可能导致下发失败 TP在下发策略时会先清除以前下发的命令，但只有TOS3.3.005以前的版本，有部分配置无法清除成功，是因为TP无法区分设备上的那些对象和策略是由TP下发导致，TOS3.3.005以上的版本不存在此问题(指定ID大于500000) ips策略只能下发给IPS设备即：网络卫士入侵防御系统II；但防火墙策略却可以下发给所有的TOS类型的（网络卫士VPN，网络卫士防火墙系统，网络卫士防火墙系统（自动注册）设备和IPS设备 防火墙参数的设置页是在防火墙策略包的最后第二个页面中。如果要下发防火墙参数设置，一定要把下发防火墙参数的选项打勾，并点确定按钮，下发防火墙参数选项在防

18、火墙参数设置页的下面，一般要特别注意,要下发设备的设备版本信息中对应的操作列表是否和设备的license保持一致 必须在设备获取了设备版本号信息后，才能下发策略，否则设备不可选 ,策略管理-策略下发注意事项,隧道管理-VPN策略管理,VPN策略集中管理功能 为VPN设备批量建立隧道，方便星型VPN网络的布署 集中配置VPN策略 集中下发及同步VPN策略 支持灵活的接入方式，如动态地址、NAT/MAP拓扑、背靠背隧道等 隧道状态监控 根据隧道连通、断开设置报警规则,隧道管理-VPN策略管理,隧道管理-VPN策略管理,1、添加VPN策略 配置VPN隧道所需要的公共参数集合,隧道管理-VPN策略管理

19、,2、在VPN策略下添加VPN隧道 VPN隧道所需要具体细节 支持批量添加一对多的隧道,隧道管理-VPN策略管理,FW+VPN网关设备的VPN相关配置 开放PF SERVICE的服务端口 tos3.2中开放VRCD、VDCD、PLUTO Tos3.3中开放ipsecvpn 绑定IPSEC接口 Tos3.2绑定在默认网关 Tos3.3手动绑定,隧道管理-VPN策略管理,FW+VPN网关设备的VPN相关配置,隧道管理-VPN策略管理,VPN网关设备的VPN相关配置,隧道管理- VRC管理,VPN远程移动（VRC）用户的集中管理功能 VRC软件的自动分发功能 VRC用户信息的集中维护功能，可以使用模

20、版导入或者导入证书的方式实现批量创建VRC VRC用户的集中认证功能本地认证、第三方认证 VRC用户的集中授权功能（分发给VRC） VRC状态监控、同步客户端,隧道管理- VRC管理,隧道管理- VRC管理,VRC上下线可以设置报警规则； 三种认证方式供选择口令、证书、证书+口令； VRC可以选择是否需要特征码、访问时间段限制，可以指定虚拟IP、本地证书有效期； VRC组分级管理，最大层次为10层； 最多30000VRC，每组最多1000； VRC软件分发支持断点续传；,设置VRC组角色以及设置角色访问权限,隧道管理- VRC管理,添加VRC组 必须元素：组名、地址段、认证方式 可选元素：上/

21、下线邮件通知人以及提示信息 VRC组形式上分层次，但是在功能方面是相互独立的,隧道管理- VRC管理,添加VRC手动添加。,隧道管理- VRC管理,添加VRCEXCEL模版导入。有中、英文区别。,隧道管理- VRC管理,系统参数邮件参数设置； VRC升级节点导入VRC安装文件； 服务器IIS设置；,隧道管理- VRC管理,对VRC进行软件分发； 邮件附件中压缩包中有VRC用户证书、私钥、安装配置以及tpdownload下载工具 解压缩，运行tpdownload.exe下载vrc.exe，支持断点续传,隧道管理- VRC管理,注意：必须对vrc的相关配置完成后才能进行软件分发（包括地址池、用户角

22、色分配、证书生成）,隧道管理- VRC管理,隧道管理隧道信息监控,VRC监控 VRC在线状态 VRC上下线报警 隧道监控 隧道运行状态 隧道连通、断开报警,监控管理,设备监控 拓扑图直观显示设备部署情况、运行情况 列表、图表实时监控设备性能、流量信息 监控数据（性能）Top N排序 设备历史监控数据查询 NETFLOW流量监控 IPS事件及流量监控 IPS应用程序识别监控 系统监控,在设备上开放snmp服务 系统管理配置开放服务,监控管理-设备配置,监控管理-设备配置,在设备上启动snmp服务 网络管理SNMPSNMP服务控制,监控管理-设备配置,在设备上添加SNMP管理主机 网络管理SNMP

23、管理主机,监控管理-设备配置,在添加SNMP管理主机时需要注意Community处应为public,监控管理-TP配置,启用监控-在设备列表中可以通过右键菜单“设备监控加入设备监控列表”把设备加入到设备监控列表中去，从而开始对设备的监控 停止监控-把设备从设备监控列表中移出，对设备的监控就会停止,性能监控页面,监控管理-TP配置,NETFLOW监控页面,监控管理-TP配置,NETFLOW监控页面,监控管理-TP配置,使用NETFLOW需要开启设备的NETFLOW流量发送功能，并把发送地址指向TP服务器 TopsecOS# system netflow show netflow server i

24、paddr 63 netflow server port 9991 netflow transfer protocol UDP netflow transfer option enable,IPS监控页面,监控管理-TP配置,IPS监控页面,监控管理-TP配置,使用IPS监控需要使用日志功能，需要把设备的IPS日志功能开启，同时把日志发送地址指向TP服务器 日志功能以及相关部分在日志审计部分说明,VPN监控页面,监控管理-TP配置,系统监控页面,监控管理-TP配置,监控管理注意事项,设备已经加入监控列表但是没有监控数据 检查一下设备是否获取到版本号，TOS设备必须获取到

25、相关版本号才能正常监控 设备的SNMP是否正常开启，服务器是否可以正常访问此服务,日志审计,日志管理 如何判断设备日志是否入库 收集设备日志的注意事项 日志查询 日志导出 报表管理 IPS监控,日志审计-日志管理,日志审计-日志管理,支持日志格式：SYSLOG格式 设置查询条件，对系统日志和设备日志进行查询 列表方式显示查询的日志信息 查询到的日志可根据列名进行排序 查询结果可以批量导出，文件格式为txt、CSV 系统日志可转发,（1）在设备日志设置中需要配置：,日志审计-设备日志接收,（2）将所要接收的日志设备加入到接收日志设备列表。 需要特别注意的是：设备上的时间要与TP服务器端的时间同步

26、。如果不同步会影响到日志查询的准确性和报表数据的准确性。,日志审计-设备日志接收,收集IPS超长报文日志(IPSPACKET)需要在攻击检测规则中将记录报文开关打开,日志审计-设备日志接收,日志审计如何判断设备日志是否入库,首先判断设备日志是否从设备上发送到TP服务器端，可以用抓包工具在TP服务器端来检查！端口号是514。,日志审计如何判断设备日志是否入库,在保证设备日志已发送到TP服务器端前提下判断设备日志是否入库的方法： 方法一、在TP设备日志管理界面中查询设备日志，查询的时间范围要包含到设备日志的时间，看看是否能够查询到设备日志,日志审计如何判断设备日志是否入库,方法二、在数据库安装目录

27、下找到runtime_db文件夹，进入该文件夹找到dev_log_table1.MYD，看该文件的大小是否有变化，看该文件的修改时间是否是最近时刻。,日志审计如何判断设备日志是否入库,方法三、 在DOS模式下进入mysql数据库 命令：E:Program FilesTopsecTopPolicyMysqlbinmysql -uroot -ptalent -port 33060 进入runtime_db文件夹 命令：use runtime_db 查看dev_log_table1中的设备日志 命令：select * from dev_log_table1 limit 10;,日志审计 收集设备日志

28、的注意事项,TP服务器时间一定要与所管理设备上的时间同步。 在TP服务器中添加设备时，该设备的设备类型一定选择正确。 在接收日志设备列表中，添加需要进行日志收集的设备。 在设备上配置正确的日志服务器地址，服务器端口为514，传输类型为syslog，在是否传输上钩选，是否加密千万不要钩选，日志级别推荐选用7，然后选择要接收的设备日志类型,日志审计-设备日志和系统日志查询,日志审计-IPS日志查询,IPS事件日志（IPSEVENT)查询 IPS应用程序识别日志（IPSAR)查询 IPS应用程序识别流量日志（IPSFLOW_AR)查询 IPS基于IP的应用程序识别流量日志（IPSFLOW_IP)查询

29、 IPS超长报文日志（IPSPACKET)查询,日志审计-IPS事件日志查询,id=tos time=2009-08-05 11:32:15 fw=TopsecOS pri=6 type=ips recorder=IPSEVENT proto=udp src=59 sport=4020 dst= dport=8000 rule=12400 repeat=1 msg=即时通讯软件 QQ UDP协议操作 application=(null) op=permit,日志审计-IPS事件日志查询,日志审计-IPS应用程序识别日志查询,id=tos time

30、=2009-08-05 11:32:15 fw=TopsecOS pri=6 type=ips recorder=IPSAR proto=udp src=20 sport=2064 dst=59 dport=7190 op=permit application=PPlive,日志审计-IPS应用程序识别日志查询,日志审计-IPS应用识别流量日志查询,id=tos time=2009-08-05 12:00:02 fw=TopsecOS pri=6 type=ips recoder=IPSFLOW_AR application=QQlive sen

31、t=3093993 rcvd=34121345 session=9409 stat_time=1249444802 interface=,日志审计-IPS应用识别流量日志查询,日志审计-基于IP应用程序识别流量日志查询,id=tos time=2009-08-05 12:00:02 fw=TopsecOS pri=6 type=ips recoder=IPSFLOW_IP ip=16 application=迅雷看看 sent=15840 rcvd=728432 session=0 stat_time=1249444802 interface=,日志审计-基于IP应用程序

32、识别流量日志查询,日志审计-IPS流量日志查询,日志审计-IPS超长报文日志查询,日志审计-IPS超长报文日志查询,日志审计-日志导出,文本格式导出 Excel格式导出,日志审计-报表管理,通过创建TP报表任务，根据报表任务中设定的统计参数进行日志统计，继而生成HTML统计报表 可以针对单台或多台防火墙、防火墙+VPN设备、IPS设备进行统计，也可以针对整个域的网络信息进行统计； TP系统也提供了统计报表的浏览、PDF、Word、Excel格式导出和基于浏览器菜单的打印功能 ；,日志审计-报表管理,TPv7 对报表的做了很大的改进，生成报表更加的方便、快捷。报表的的生成性能也有很大的提高。报表

33、的统计内容更加丰富多样。报表模版可以自定义。 TPv7 新增了几类IPS综合报表，这些类型的综合报表通过对事件、流量、事件源和目的进行交叉统计，使得报表内容更加丰富，报表统计信息更加的完整。,日志审计-报表内容,报表内容组成分五个部分：报表标题、统计线图、统计柱图、统计饼图、统计列表。以 TOP10 IPS事件源地址统计报表为例 报表标题：TOP10 IPS事件源地址统计报表 统计线图：,统计柱图：,统计饼图：,日志审计-报表内容,日志审计-报表管理,报表立即生成 报表任务生成 报表分发 报表导出 各类型的报表与日志的对应关系,日志审计-报表立即生成,选中报表模版点击鼠标右键选择生成报表,输入

34、报表名称，设置统计周期。如果不选择设备，直接点击确定，生成报表的统计对象是所有设备！,日志审计-报表立即生成,可以选择域和设备，上级域与下级域没有关联关系。选择域后生的报表的统计对象是该域下的所有设备，不会统计该域下的子域。,日志审计-报表立即生成,日志审计-报表任务生成,在报表参数设置中点击鼠标右键，选择新建。,输入任务名称和描述，点击下一步。,日志审计-报表任务生成,输入报表名称，选择报表模版、样式模版和统计周期,日志审计-报表任务生成,可以选择域和设备，上级域与下级域没有关联关系。选择域后生的报表的统计对象是该域下的所有设备，不会统计该域下的子域。,日志审计-报表任务生成,日志审计-报表

35、分发,选择报表查看链接的邮件接收人，也可以自定义邮件接收地址,日志审计-报表导出,PDF格式导出 Word格式导出 Excel格式导出 RTF格式导出,选中生成报表点击鼠标右键，选择导出格式,日志审计-报表导出,日志审计-报表与日志的对应关系,防火墙各类报表与防火墙日类型的对应关系,日志审计-报表与日志的对应关系,id=tos time=2009-06-19 09:53:24 fw=TopsecOS pri=6 type=conn recorder=session src=1 dst=11 trans_src=55 prot

36、o=tcp sport=2506 dport=80 trans_sport=2506 inpkt=8 outpkt=8 sent=4856 rcvd=1731 duration=22 connid=35712258 parent=0 op=delete msg=null,IPS各类型的报表与IPS日志的对应关系,日志审计-报表与日志的对应关系,日志审计-VPN信息统计报表,VPN信息统计报表与其它报表有所不同，它不是根据设备日志进行统计的，而是根据TP系统的运行状态进行统计。 VPN信息统计报表统计某一天或某一小时，设备数量、在线设备数量、隧道数量、活跃隧道数量、|VRC数量、在线VRC数量、

37、活跃VRC数量、在线管理员数量。 VPN信息统计报表最多只能统计一周内的TP系统的运行信息。,日志审计-报表注意事项,TPv7报表统计机制有所改变。今天生成的日报表是统计昨天0:00到24:00的日志信息。周报表，月报表同样是这样不会统计当天的日志信息。如果设备日志是今天接收的，报表的统计周期选择的是日、周、月，生成的报表是没有任何内容的。如果想生成统计当天日志信息的报表，可以设置自定义周期。经常参加外出测试的同事要注意这一点。 TPv7的IPS综合报表如果在数据库存储日志量较大情况下生成会很慢，统计1000万条IPS日志的报表生成需要10分钟左右的时间。推荐在凌晨生成报表。,日志审计-报表浏

38、览,日志审计-IPS监控,全网威胁分析 IPS应用识别统计 IPS应用识别流量统计,日志审计-IPS监控,5.1 全网威胁分析,日志审计-IPS监控,5.2 IPS应用识别统计,日志审计-IPS监控,5.3 IPS应用识别流量统计,日志审计-IPS监控,报警管理,报警事件来源 报警方式 报警对象 报警规则 报警查询浏览 第三方设备SNMP TRAP报警支持,报警管理-报警事件源,系统报警:网关、隧道、vrc； 设备阀值监控报警：CPU、内存、连接数、吞吐率； IPS事件报警 ：通过接收到的IPS事件日志触发报警规则来报警。 Netflow报警：当netflow流量超过报警规则的设置时，发出报警

39、信息。 TA报警：接收TA系统发送过来的报警信息 设备报警：设备发送的snmp trap报警信息,报警管理-报警规则,IPS报警规则(必须设置重复次数才能触发报警),报警管理-报警规则,系统报警规则(必须设置重复次数才能触发报警),报警管理-报警规则,netflow报警规则:,报警管理-报警规则,TA报警规则(必须设置重复次数才能触发报警),报警管理-报警规则,阀值报警规则(只能选择设备监控列表中的设备作为阀值报警设备),报警管理-报警方式,TP现有的报警方式： snmp ：TP把自己的报警信息trap给其它的第三方 Winpop：通过windows的消息服务把报警信息发给指定的PC 管理器：

40、指定那些管理员可以看到实时报警信息 手机短信：把TP的报警信息以短信方式发送给指定的管理员或手机号码 邮件报警：把TP的报警信息以短信方式发送给指定的管理员或邮箱 上下级服务器：把报警信息发送给级联的上下级服务器 外部的应用程序：当报警信息被触发时，TP会调用TP服务器上的其它的应用程序去执行，这个应用程序是用户可以设定的可执行文件，感觉这种报警方式最为灵活。,报警管理-报警方式,报警对象：可以设置具体的报警方式,报警管理-报警方式,报警对象-报警方式-snmp,报警管理-报警方式,报警对象-报警方式-winpop,报警管理-报警方式,报警对象-报警方式-邮件,报警管理-报警方式,报警对象-报警方式-短信,报警管理-报警方式,报警对象-报警方式-向管理员发送报警(特别说明: 此报警方式中,不选择任何管理接收报警时,默认向所有的管理员发送报警信息;如果选择了部分管理员则向已选的部分管理员发送),报警管理-报警方式,报警对象-报警方式-外部应用程序,报警管理-报警方式,报警对象-报警方式-向上下级服务器报警不需要设置报警参数,默认把会给所有的上级或所有的下级发送报警信息,报警管理-报警浏览,报警信息查询,报警管理-报警浏览,报警信息确认 确认后:,报警管理-报警