天清入侵防御系统_项目实施配置手册

1、配置手册启明星辰 IPS 入侵防御系统配置手册山西同之益科技有限公司2020 年 4 月山西同之益科技有限公司技术支持服务热线 400-607-1189配置手册目录 HYPERLINK l _bookmark0 一、功能介绍1 HYPERLINK l _bookmark1 二、配置流程1 HYPERLINK l _bookmark2 三、配置内容1 HYPERLINK l _bookmark3 第一部分 管理信息配置1 HYPERLINK l _bookmark4 第二部分 对象配置6 HYPERLINK l _bookmark5 第三部分 事件配置8 HYPERLINK l _bookmar

2、k6 第四部分 策略配置13 HYPERLINK l _bookmark7 第五部分 日志查看17配置手册一、 功能介绍入侵防御系统围绕深层防御、精确阻断的核心理念，通过对网络流量的深层次分析，可及时准确发现各类入侵攻击行为，可以对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行防御，并执行实时精确阻断，主动而高效的保护用户网络安全，有效弥补网络层防护产品深层防御效果的不足。二、 配置流程权限管理：通过三权分立用户，实现不同用户对设备权限的管理；admin，管理员用户，实现日常业务配置需求；useradmin， 用于用户管理，账号密码等

3、策略配置；audit，审计管理员，实现日志信息审计功能；对象定义：定义 IP 地址对象，服务对象，可通过安全策略引用地址及服务；事件定义：定义事件、事件集，通过事件集引用事件；安全防护表定义：通过安全防护表引用事件集；安全策略配置：调用安全防护表，实现对入侵、攻击等事件的记录；日志查看：通过日志记录信息查看入侵、防护等安全事件，通过报表进行统计、分析、展示；三、配置内容第一部分 管理信息配置运行状态信息查看：通过系统防护状态可查看目前设备的运行状态， 入侵、攻击防护统计信息。1配置手册图 1授权信息查看：查看当前系统特征库授权信息，top10 攻击防护信息； 如下图 2 红色标注部分。图 2升

4、级管理：定期通过启明星辰官网（https: HYPERLINK / /） 下载中心，统一升级中心（图 3）进行特征库更新升级，升级结果如下（图 4）2配置手册图 3图 4SNMP 配置信息修改： 网络管理基本配置-SNMP 路径下进行SNMP 版本，团体名称修改3配置手册图 5账号密码策略：修改系统默认账号密码策略，符合国网公司针对账号密码的安全策略远程管理：配置限制远程登录账号 IP 地址、账户在线数量、超时时间、账号修改密码期限4配置手册5配置手册第二部分 对象配置对象定义：通过对象管理可进行时间对象、服务对象、地址对象的重新定义或系统预先定义服务、端口等信息查看配置自定义服务：进入对象管

5、理服务对象自定义服务，点击新建，名称：为新建自定义服务设置名称描述：对新建自定义服务做描述协议： 可以自定义的服务协议（TCP,UDP,ICMP,IP）源端口： 协议源端口号目的端口：协议目标端口号配置地址节点：地址对象可以对主机地址，子网，地址范围做定义。进入对象管理地址对象地址节点，点击新建6配置手册名称：为新建地址节点设置名称描述：对新建地址节点做描述地址节点： 地址节点的内容可以是：主机 ip 地址；子网 ip 网段地址； IP 地址池范围7配置手册第三部分 事件配置事件定义：通过预先定义事件或自定义事件确定攻击防御事件采取的防护措施（通过、丢弃、阻断等动作）事件集定义：IPS 中引入

6、了入侵防御事件集。事件集是一个或多个事件的集合。根据当前实际的网络情况，系统默认提供了 5 个事件集。进入入侵防御特征事件集，可查看当前预定义事件集，图 10，默认事件集作为系统提供的资源，不能被删除，只能做有限的配置操作。创建事件集：进入入侵防御特征事件集，点击新建。参数说明：8配置手册名称：事件集的名称描述：事件集描述信息防护等级：通过设置事件集的防护等级可以调整本事件集中所有事件的动作查看事件集内容：进入入侵防御特征事件集，点击详细图标，或者点击事件名称，即可查看该事件集的详细内容参数说明：分类：该事件集的分类方式，可按照协议类型、系统、安全类型、来源、事件级别来分类，默认是按照安全类型

7、来分类的。名称：输入事件名称，可检索出该条事件。启用：按照启用方式检索事件。级别：按照级别来检索事件。日志：按照是否发送日志来检索事件动作：按照事件动作来检索事件。通过：放行触发该 IPS 事件的数据包丢弃：对触发该 IPS 事件的数据包所在连接的客户端和服务器发送RESET9配置手册包，使连接结束（针对 TCP 协议），并丢弃当前数据包阻断：在一段时间内丢弃触发该 IPS 事件的数据包的源 IP 产生的所有数据包说明：建议用户采用厂商推荐默认值，自行调整 IPS 入侵事件级别及阻断方式，可能导致用户网络中断。添加事件集中事件：进入入侵防御特征事件集，选择一个自定义事件集，点击详细图标，添加事

8、件配置事件集中事件：IPS 系统可以配置某一事件集中事件的级别、是否启用、是否记录日志、匹配事件后执行的动作，对该事件日志是否合并等操作。进入入侵防御特征事件集，选择自定义事件集的详细按钮图标， 点击展开事件组10配置手册选择某个事件，点击编辑，进行事件修改11配置手册参数说明：名称：事件名称级别：事件级别，根据事件的危害性可以配置成高级事件、中级事件、低级事件、连接事件动作：配置对匹配该事件的数据报或流执行的通过、丢弃或阻断等动作12配置手册第四部分 策略配置配置安全防护表：进入入侵防御安全策略安全防护表，点击新建名称：安全防护表名称，支持中文名称描述：安全防护表的简单描述信息入侵防御：配置

9、是否启用入侵防御防病毒：配置是否启用防病毒及相关协议配置Web 过滤：配置是否启用 Web 过滤邮件过滤：配置是否启用邮件过滤敏感信息防护：配置是否启用敏感信息防护Anti-Flood Attack：配置是否启用防 Flood 攻击上网行为管理：配置是否启用 IM/P2P/股票软件/网络游戏/流媒体及相关协议配置调用事件集，在新建安全防护表中调用系统预定义事件集或自定义事件集13配置手册配置安全策略：进入入侵防御安全策略安全策略，点击新建14配置手册参数说明：源接口/安全域：数据流的流入方向，可以指定某个接口或者安全域，any 表示所有接口地址名：数据流的源地址，可以引用已定义的某个地址对象或

10、地址对象组， any 表示源地址为任意目的接口/安全域：数据流的流出方向，可以指定某个接口或者安全域，any 表示所有接口地址名：数据流的目的地址，可以引用已定义的某个地址对象或地址对象组， any 表示目的地址为任意服务：数据流的服务属性，包括协议、源端口和目的端口，可以引用系统预定义服务、已定义的服务对象或服务对象组，any 表示服务为任意时间表：策略生效的时间，可以引用已配置的时间对象，always 表示所有时间动作：对符合匹配条件的数据流执行的动作，PERMIT 为允许，DENY 为拒绝描述：安全策略的描述，长度限制为 127 个字符调用安全防护表：在安全策略的 PERMIT 选项下，勾选安全防护，选择系统预