H3C安全考试-IPS知识点(直击题库)

第一局部重点学问点：SecCenter：1、SecCenter共两款产品：SecCenterA1000安全治理中心和H3CSecCenter安全治理平台。2SecCenterA1000〔SIEM〕解决方案，能够对全网海量的安全大事、日志进展集中收集与统一分析，SecCenterA1000不同用户的需求自动供给丰富的报告和具有说服力的网络安全状况评估与政策符合性审计。同时SecCenterA1000是一个盒式设备。〔本章重点讲SecCenterA1000〕3、H3CSecCenter安全治理平台是不同于SecCentera1000的另一款产品，其下有很多组件：H3CSecCenter应用掌握与审计治理系统(ACGmanager)用于治理ACG；H3CSecCenterIPSmanager用于治理IPS设备；H3CSecCenterUTMmanager用于治理UTM设备；H3CSecCenter智能流量分析系统〔iTAS〕NTC网络流量清洗治理FirewallManager4SecCenter能够供给如下主要法规服从性报告：Sarbanes-Oxley萨班斯法案GLBA格雷姆-里奇-比利雷法HIPAA安康保险可携性和可纠责性法案FISMA联邦信息安全治理法案同时SecCenter供给了敏捷的报告定制功能。Syslog、netstream、netflow、cflow、SecPathbinaryflow等多种日志格式.100多主流厂商的日志，可以定制日志。6、缺省seccenter开启的是syslog日志，SECENTERA1000接收SYSLOG日志开启的端口是UDP514。7、Seccenter缺省WEB页面治理帐号和口令是://:9216密码：sca1000@〔百兆以太网口〕8SecCenterA1000的Web客户端的软件需求操作系统为Windows2022、WindowsXP、WindowsServer2022扫瞄器为InternetExplorer6.0以上版本Java运行环境〔JRE〕1.6以上9LICENSE12个可用〔30天〕，5LICENSE7个设LICENSELICENSE的设备删除后，LICENSE不会自动释放出来。10、SecCenter对主机的监控需要手动添加主机主机〔H3CSecPath防火墙、VPN网关、路由器、交换机SyslogServerIP地址为SecCenterA1000IP地址，这样这些设备发出的Syslog就可以被SecCenterA1000〕infocenterloghostname。11、SecCenter日志收集：在处理网络设备日志方面，SecCenter作，不是去主动采集。在处理主机和一些数据库效劳器安全大事日志方面，SecCenter是一个日志采集者，完成的是日志主动采集的工作，不是被动接收12、 SecCenter分析日志〔策略的主要功能〕报警方式大事类别13、报警方式有几种：可以报警中看到报警，并且可以看到攻击拓扑。电子邮件Snmptrap仪表盘监控报警〔屏幕报警〕14、15、16、

大事类别有几种：紧急、报警、严峻、错误、警告、通知、信息、调试。共8种。表选择正确。17、 仪表盘监控界面假设看不到任何日志排错方法：a、物理连接；b、主机和设备有没添加上〔主要看有没有LICENSE〕；c、有是有设置主机和设备采集日志；d、有没有发送日志；e、缺省的syslog效劳器是否启动正常；f：可能会有其他缘由认真观看。18、 单项报告〔安全中心〕，假设已经收集到日志安全中心没有报告信息主要有两大缘由：时间缘由〔是否选择了正确的日期〕；一般安全中心产生报表要30分钟以上。19、20、

单项报告〔安全中心〕输出报表可以依据：html和pdf。总结性报告〔报表〕报告风格：txt、pdf、word、excel、html、mhtml。报告保存方式：本地保存；e-mail发给治理员保存；上传到ftp效劳器。21、22、23、

深度查询：可以查询肯定时间区间的具体的报告信息。其他用户治理可以设置用户等等。SecCenter功能模块：Syslog采集器〔BuiltinSyslogCollector〕模块大事分析〔EventAnalysis〕模块实时大事监视〔RealTimeEventMonitoring〕模块可视化安全视图〔ThreatVisualization〕模块深度分析〔ForensicAnalysis〕模块告警关联〔CorrelatedAlerting〕模块Web治理界面〔ReportsEngine&ReportingPortal〕模块治理模块〔Management〕模块IPS：1H3CSecPathIPS的产品系列包括：T200、T200E、T1000S、T1000M、T1000A、SecBladeIPST5000-A3〔H3CSecBladeIPS可应用于H3CS5800/S7500E/S9500E系列交换机〕2、IPS产品日志：系统日志、操作日志、效劳日志、攻击日志、病毒日志。3Ips组网部署：串联：H3C的IPS一般承受在线接入方式，承受透亮方式，可随时随地接入网络的关键路径上旁路：H3C的IPS同时还支持旁路接入方式旁路接入时相当于IDS 觉察攻击发送一个，干扰报文。(TCPRESET重连接，用在TCP半连接上，侧面防范，让黑客断开,主防TCP攻击〕4PFC是无源连接设备〔PowerFreeConnector〕的缩写。作用：PFCSecPathTIPS的掉电保护设备〔T200/T200E〕。PFC的作用是增加SecPathT系列IPS的冗余性：当IPS消灭断电时，不至于消灭网络完全中断的状况。5、设备的三种治理方法及组网：基于串口命令行治理方法基于/S的Web治理方法基于Telnet/SSH的命令行治理方法〔缺省为未开启，需要手工开启〕6、串口登陆参数设定：点击“复原为默认值”96008，奇偶校验1，数据流掌握为无。7、串口登陆界面密码：大写H3C8WEB登陆治理：默认状况下，设备上没有预先配置治理口IP地址〔治理接口支持ip路由，假设不在同一网段可以配置路由〕治理接口m-gigabit0/0/0为100M接口，缺省为shutdown，需要手工开启登陆的用户名口令缺省：用户名：admin口令：admin9telnetssh登陆密码缺省为大写H3CT200/T200E设备目前版本不支持ssh登陆，T1000系列支持。10、 T200/T200E硬件：从左往右依次是1个为治理串口，两个USB口，四个业务口，一个治理网口左边上、下两个业务口为一个段，右边上、下两个业务口为一个段。11、 IPS设备支持的安全策略有：攻击防护策略带宽治理策略URL过滤策略DDoS策略病毒防护策略12、 IPS设备的几个根本概念：安全区域和段安全区域是一个物理/网络上的概念〔特定的物理端口+VLANID〕段可以看作是连接两个安全的区域的一个透亮网桥策略被应用在特定的段上。段+策略+网络配置(IP地址、方向)特征、规章和策略特征定义了一组检测因子来打算如何对当前网络中的流量进展检测规章的范畴比特征要广。规章=特征+启用状态+动作集策略是一个包含了多条规章的集合13、IPS的安全策略应用到：段15、ips设备对于配置是自动保存的，ips支持web界面下配置文件的导入和导出。16、ips设备安全策略配置生效的话需要：激活。17、ips的主要响应动作是：允许、阻断、通知、限流。18、ips设备web3次，该用户帐号会被锁定；因密码连续输入错误导致的帐号锁定的超时时长为30分钟，在这30分钟内，该用户帐号无法登录。出厂缺省状况下，密码强度为强密码；Web界面同时登录5。这些值均可进展更改。19、ips维护：需要查看IPS的攻击日志攻击报表，依据日志可以调整网络的安全策略；准时升级ips库和AV库。20、ips支持的过滤方式：教材中：主机名、ip地址、正则表达式。试验设备：固定字符、正则表达式。21、ips设备的升级：设备通过TFTP进展软件版本升级。软件版本下载到设备后，升级成功需要指定启动版本。Ips特征库升级和AV库升级可以通过TFTP，但升级特征库需要有license支持。22、ips自动升级特征库需要满足，在H3C网站上注册license；配置DNS；治理口可以上license。病毒AV特征库升级不需要重启设备，IPS漏洞库和软件版本升级需要重启设备。23、ipsav病毒库是和卡巴斯基合作，配置防病毒功能可以有效deny病毒威逼。24、IPS漏洞库中病毒相关特征与AV病毒库特征区分：IPS漏洞库中病毒相关特征主要检测病毒、蠕虫间的通讯等特征AV病毒库特征检测传输层中数据的特定内容，如文件PE头，特定的二进制代码25、带宽治理：段、策略、应用。假设对某一具体效劳如限制QQ、迅雷等，最好用应用带宽治理。Bwc的功能：设置段、策略、应用限流的具体带宽值；段带宽是在段治理应用；策略是在带宽治理应用；应用带宽在动作集中创立限速动作，之后再带宽治理里和具体效劳关联。26、例外ip地址：不设置“例外IP地址列表”，则会对全部流量进展检测在“IP地址列表”指定了地址，则IPS不会对访地址进展检测同时指定了“IP地址列表”和“IP地址列表”，则会排解“IP地址列表”后对“IP地址列表”的报文进展检测27、SecPathIPS5种类型的用户(LEVEL