DPtech IPS2000系列入侵防御系统维护手册

1、DPtechDPtech IPS2000IPS2000 维护手册维护手册杭州迪普科技有限公司杭州迪普科技有限公司2011 年年 07 月月杭州迪普科技有限公司目目 录录DPtechDPtech IPS2000IPS2000 维护手册维护手册.1第第 1 章章 常见维护事项常见维护事项.11.1 系统基本维护.11.2 日常故障维护.11.3 数据备份管理.11.4 补丁升级管理.2第第 2 章章 应急处理方案应急处理方案.42.1 运输导致设备无法启动.42.2 互联网访问异常.42.3 集中管理平台无相关日志.42.4 设备工作不正常.42.5 应急步骤.5第第 3 章章 功能项功能项.63

2、.1 用户名/密码.63.2 管理员.63.3 WEB 访问.63.4 接口状态.73.5 数据互通.73.6 日志信息.7第第 4 章章 其他其他.94.1 注册与申请.94.2 升级与状态.9第第 5 章章 FAQ.125.1 入门篇.125.2 进阶篇.13杭州迪普科技有限公司第第 1 章章 常见维护事项常见维护事项1.1 系统基本维护入侵防御系统应该指派专人管理、维护，管理员的口令要严格保密，不得泄露入侵防御系统管理员应定期查看统一管理中心（UMC）和入侵防御系统（IPS）的系统资源(包括内存/CPU/外存)，确认运行状况是否正常入侵防御系统管理员应定期检查“严重错误”以上级别的系统日

3、志，发现入侵防御系统的异常运行情况入侵防御系统管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删除策略，删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对此应立即上报并修改密码入侵防御系统管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告入侵防御系统管理帐号用户名：admin，初始口令 admin，首次使用需修改，并备份统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护统一管理中心服务器无法登录，请检查能否 PING 通统一管理中心服务器，其相关服务（UMC 数据库服务

4、、UMC Web 服务、UMC 后台服务）是否启动，管理端口80 是否一致统一管理中心服务器上网络流量快照或 IPS 攻击日志无法生成，先检查端口9502、9516、9514 是否开放，入侵防御系统的日志发送配置是否正确，再用抓包工具检查入侵防御系统是否发送日志入侵防御系统无法登录，请检查入侵防御系统的 IP 是否可以 Ping 通，同时检测端口 80 是否开放1.3 数据备份管理统一管理中心服务器系统安装后要先进行完全备份杭州迪普科技有限公司统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储统一管理中心服务器的磁盘告警阀值默认为 2G，当系统可用磁盘空间小于 2G 时，会

5、进行自动告警，这时需要进行数据库压缩和数据备份1.4 补丁升级管理迪普将不定期在迪普官方网站（）发布设备最新的软件版本，可自行下载，并升级协议库升级，在设备已存在该特征库的 License 的情况下，可采用手动升级（迪普官方网站下载）或自动升级（前提是设备可访问迪普官方网站的链接，若不具备此条件，则需采用手动升级）【软件版本】升级操作说明：（1）首先从迪普官方网站或迪普技术支持人员获取最新的软件版本。（2）通过 WEB 界面登录设备，选择【基本】=【系统管理】=【软件版本】，如图所示：点击文件路径后的【浏览】按钮，本地选中要下载的软件版本，点击【下载软件版本】按钮 下载的配置文件出现在列表中，

6、鼠标移动到下次启动的软件版本后的软件版本时会变成铅笔图标 点击鼠标左键，出现软件版本的下拉列表 选择下次启动时需要的版本，即下载的软件版本 修改完毕后，点击确认按钮 （3）登录设备在设备在【设备管理】=【设备信息】界面查看软件版本升级成功。【协议库】手动升级操作说明：杭州迪普科技有限公司（1）在设备协议库授权未过期的前提下，从迪普官方网站获取最新的协议库。（2）通过 WEB 界面登录设备，选择【基本】=【系统管理】=【特征库】=【XXX 特征库】，如下图所示：点击浏览按钮； 选择下载升级包的路径；设置完毕，点击右方的确定按钮。 （3）协议库在升级过程中将显示进度信息，如下图所示：最后，系统将提

7、示升级完成。杭州迪普科技有限公司第第 2 章章 应急处理方案应急处理方案2.1 运输导致设备无法启动设备加电一段时间后，系统无法正常启动（包括电源指示灯灭，电源指示灯亮/其他指示灯灭，RUN 灯常亮或者快闪） 。更换电源线确保其正常，若仍存在同样问题，则需更换硬件设备。2.2 互联网访问异常互联网访问异常接口指示灯是否正常闪烁若接口指示灯不亮，检查连接线是否松动，且通过 Web 页面查看接口管理状态与链路状态是否正常若接口指示灯闪烁，通过 Web 页面查看接口收发数量是否正常若不存在上述问题时，在【网络管理】-【软件 bypass】中，启用 bypass（此状态下，流量不匹配安全策略，直接转发

8、） ，判断是否是安全策略导致在有内置断电保护，或有外置断电保护 PFP 情况下，可直接切换到保护状态，排查网络异常是否产生于本设备2.3 集中管理平台无相关日志集中管理平台无相关日志安装集中管理平台客户端后，双击任务栏的集中管理平台图标，查看数据库服务、web 服务、后台服务是否正常，若不正常则重新启动 PC 或卸载重新安装（注意：设置本地安全控件允许集中管理平台安装的各个细节，如 360 安全卫士等）检查集中管理平台的 License 是否正常导入、运行状态是否正常（正常登录 web 网管） 、本地防火墙是否关闭、入侵防御设备与集中管理平台间是否有防火墙未开启相应端口（9502、9514 等

9、） ；入侵防御设备与集中管理平台之间网络是否正常，入侵防御设备是否配置了各种审计策略，入侵防御设备配置是否正常通知到集中管理平台上检查流量是否流经设备，查看设备接口统计数据2.4 设备设备工作不正常工作不正常双机热备工作不正常，主机设备宕机之后，备机设备无法正常工作，需要查看备机杭州迪普科技有限公司是否加电，备机电源指示灯是否亮，备机接口状态是否正常（接口指示灯是否亮、闪烁），是否可以正常登录备机设备断电保护工作不正常，先将连接线切换到之前状态，将断电保护模块旁路，若网络正常，则说明断电保护模块损坏，需更换断电保护模块；若网络仍不正常，需进行网络排查冗余电源工作不正常，查看电源指示灯是否亮，若

10、不亮，则需更换硬件设备2.5 应急步骤应急步骤若网络无法无法短期恢复，则应优先保障用户网络，确保用户正常上网不受影响在有内置断电保护或外置断电保护 PFP 情况下，手动启动断电保护（内置-设备断电启动，外置-手动断开 PFP 与设备的 USB 连接线） 。若网络恢复正常，则为设备故障，需优先保障流量，线下定位排查；若网络未恢复正常，则非设备故障设备发生故障后并在内/外置保护流量情况下，拨打公司售后电话，联系相关人员进行定位和解决故障解决后，设备重新上线，并观察杭州迪普科技有限公司第第 3 章章 功能项功能项3.1 用户名/密码IPS 设备，初始 IP 地址为 ，用户名 a

11、dmin，密码 adminUMC 软件：初始用户名 admin，密码 UMCAdministrator首次使用请更改，并定期维护3.2 管理员管理员设置，添加管理员；防止“admin”管理员被恶意尝试而锁定3.3 WEB 访问访问协议设置，配置 HTTP 及 HTTPS 参数（注意：重启后生效）杭州迪普科技有限公司3.4 接口状态注意接口协商状态，及转发数据是否正常。当上下行设备发生变化时，必须查看3.5 数据互通在【网络管理】-【诊断工具】中，验证网络畅通性（如：IPSUMC 可达）3.6 日志信息如：流量分析杭州迪普科技有限公司杭州迪普科技有限公司第第 4 章章 其他其他4.1 注册与申请

12、查看设备包装箱内 License 授权序列号，或在 WEB 首页中查看设备序列号打开 UMC 的 WEB 页面，进入“License 管理-申请 License”，输入相关信息，并保存此文件登陆迪普官方网站，输入相关信息，申请相应 License4.2 升级与状态查看设备状态杭州迪普科技有限公司导入 License 文件导入相应特征库升级软件版本，导入后，选为“下次启动使用的软件版本”后，重启设备即可查看系统、操作日志，查询告警及可疑日志杭州迪普科技有限公司查看 UMC 本地信息杭州迪普科技有限公司第第 5 章章 FAQ5.1 入门篇1、 为什么配置了管理地址 IP，PC 却 Ping 不通？

13、在同网段中，PC 的 IP 地址与配置管理 IP 地址必须同属这一网段；在不同网段中，需要在IPS 设备上添加相应的路由，确保与 PC 连通。2、 在 WEB 界面上直接对管理口的设置修改，会有什么结果？会导致当前 WEB 界面 down 掉，无法继续进行任何操作。需要访问改后的 IP 地址，或者可通过 console 口，进入到相应的管理口下，以命令的方式对管理口，重新配置合理的参数。3、 需要升级软件版本情况下，下载完软件版本并指定后，是否需要重启？ 需要重启。4、 当设备异常断电时，之前在 WEB 界面上的配置是否保存？保存，设备开启的情况下，对于操作与配置都是时时保存的。5、 设备上的

14、 USB 接口做什么用的？外置断电保护 PFP，以及 3G 扩展。6、 我有特征库文件，为什么不能升级？需事先导入相应 License。7、 已将软件版本导入设备的 CF 卡中，为什么重启后不能加载该版本？须将该版本状态选为“使用中”才可。8、 设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么？在无手动删除的情况下，查看是否超过了保存该日志的时间。9、 输出到 UMC 的业务日志和流量分析的端口号是什么？业务日志是 9514，流量分析是 9502。10、为什么配置策略的时候，优先使用指定用户组，而不用 All users？做到对业务的细化，同时过滤多余信息。杭州迪普科技有限公司5.

15、2 进阶篇1、 接入设备后，发现接口协商成半双工产生丢包，怎么办？需要双方都强制相应的速率和双工状态。2、 如果 IPS 与 UMC 系统时间间隔过大，有何影响？UMC 产生的日志会有相应的滞后，建议安装 UMC 后，立即开启时间同步功能 。3、 如何跨网段对设备进行管理？添加默认路由，或指定路由。4、 我开启了特征库自动升级，为什么没有生效？在 License 有效的情况下，确定设备可以直接连入网络。 （使用诊断工具 Ping 外网 IP 地址，当路由不通、需要认证、各种访问控制限制下，均不可自动升级）5、 如何使得限速效果更明显（P2P 和多媒体）？双向均配置策略。细化被限速的应用。6、 如何快速诊断 UMC 的运行状态？在设备已配置了流量分析、业务日志发送到 UMC，且