售后培训-天融信入侵防御产品配置与维护(V5)-20121010

中国信息安全领导企业天融信IPS产品配置与维护February7,2023北京天融信科技有限公司目录IPS系统安装配置TP系统安装配置典型实验案例

网络卫士入侵防御系统是集访问控制、应用识别、漏洞攻击防御、蠕虫检测、报文完整性分析为一体的网络安全设备，为用户提供整体的立体式网络安全防护。与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向。五合一防护DoS/DDoS入侵防御应用管控URL过滤卡巴斯基流病毒查杀特色功能万兆网络支持WAF增值IPv6环境产品介绍设备部署拓扑设备界面介绍Console配置接口MGMT管理接口IP：Mask：HA连接接口设备运行指示灯指示灯名称指示灯状态描述工作灯（Run）当入侵防御系统进入工作状态时，工作灯闪烁。主从灯（M/S）主从灯亮的时候，代表这台设备是工作设备；反之，如果主从灯处于熄灭状态，则该入侵防御系统工作在备份模式。管理灯（MGMT）当网络管理员，如安全审计管理员，登录入侵防御系统时，管理灯点亮。日志灯（Log）当有日志记录动作发生时，且前后两次日志记录发生的时间间隔超过1秒钟时，日志灯会点亮。扩展模块插槽

参考《TOPSEC扩展模块安装手册》上线流程环境了解

线下配置空载上线加载需求功能验证防御效果设备安装部署位置依据设备的使用目的选择相应的安装位置根据安装位置环境对设备进行软硬件配置接口类型根据网络设备部署位置配置不同的接口模块安装环境PC一台拥有COM连接口具有超级终端等远程操作程序Console线缆随机附赠相应的网络线缆/接口卡/模块系统升级补丁升级签名库准备工具Console登录ID：supermanPWD:talentConsole端操作虽然Console端可以对设备进行完整配置，但是我们建议操作在WebUI下完成。在设备上线前，对设备管理配置可在console端完成：管理接口配置

命令行语法如下：networkinterface<string>

ipadd<ipaddress>mask<netmask>参数说明：string：网络卫士入侵防御系统物理接口名称，字符串，例如eth0。管理范围配置命令行语法如下：定义IP：definehostaddname

<string>ipaddr

<ipaddress>定义子网：definesubnetaddname<string>ipaddr<ipaddress>mask<netmask>定义地址范围：definerangeaddname<string>ip1<ipaddress>ip2<ipaddress>参数说明：string：资源名称，字符串。WebUI管理ID：supermanPWD:talent默认管理：54系统监视系统管理网络管理流量管理资源管理入侵防御网站防护日志与报表配置培训

系统监视模块对整个系统的基本状态进行实时监控，支持对系统总体及某一特定对象（如基于接口、协议、内容或其他规则）通信量、连接数、网络攻击、应用流量、带宽等数据的采集、统计和显示，用以满足用户对各种数据统计以及应用层流量管理的需求。

这个模块有9个子模块：基本信息版本信息攻击统计病毒统计应用统计URL统计当前连接接口流量统计自定义统计系统监视2基本信息注意事项：由于刷新频率不同步会出现同一参数在不同页面数据不一致的情况，系统资源和检测统计数据差距不大，网络接口瞬时速率会出现差别比较大的情况。基本信息版本信息攻击统计单击事件号能够查看规则的详细信息点击主机IP可以查看该主机所受攻击的详细信息。攻击统计注意事项：将内网监控的监控级别设置为详细，才能显示主机排名。另外，如果主机监控数达到最大值后，则不会显示主机排名。因为受攻击主机排名列表中的数据取自实时内存，详细信息的统计信息取自日志，所以会出现两者数据不一致的情况。病毒统计页面点击病毒名称查看病毒攻击源点击受病毒攻击主机地址能够查看到攻击的病毒名称病毒统计应用统计点击某应用可以查看是哪些主机占用了该应用协议的上下行流量。点击主机IP可以查看该主机所占用应用协议流量的详细信息注意事项

若监控范围设为any时，IP记录了客户端和服务器两个IP，每个IP记录了上下行流量，这样记录了两次，而应用协议只记录了一次上下行流量，因此所有IP上下行流量总和约为应用协议上下行流量总和的2倍。当内网监控指定IP时，应用排名中流量统计与详细信息中主机流量基本相符。应用统计URL统计点击URL名称可以查看哪些主机访问了该类网站以及具体的访问次数。点击主机IP可以查看该主机访问了哪类网站以及具体的访问次数当前连接接口流量统计点击具体接口，显示该接口的详细流量信息。自定义统计对设备接口流量状况、安全区域内的受攻击状况、病毒感染状况、对应用流量的使用状况及内主机访问URL的状况进行自定义查询。系统管理双机热备---基本设置进入系统管理—>双机热备，进入双机热备的设置页面身份：选择主机时，默认的优先级为254,；选择从属机时，默认的优先级为100，当然优先级可以手动更改地址：分为本地与对端，需要注意的是，这两个地址必须在同一个网段心跳间隔：两台网络卫士设备互发通信报文的时间间隔。抢占：是指主网关宕机后，重新恢复正常工作时，是否重新夺回主网关的地位。优先级相同的两设备中不存在抢占，并且只有优先级高设备抢占优先级低的设备的主身份对端同步：从对端机同步配置到本机上本地同步：从本地机同步配置到对端上双机热备---基本设置

配置HA接口时，一定要将“ha-static”勾选，不然配置同步时会将该接口的信息覆盖

配置物理接口其实VRID组就是用来选主备的，默认的情况下，所有的接口都是属于VRID0的，我们可以创建一个VRID组（组号在1到255之间），组优先级高的会优先成为主，同时设备上也只能创建一个VRID组，后创建的VRID组会将前面创建的覆盖掉fw36#haas-vrid1，在设备上创建vrid1，然后将通信接口加入到该组配置物理接口注意：目前我们的设备只支持AS模式。创建VRID组后，我们可以将接口加入到该组，如果加入到该组的某个接口down后，该组的优先级就会变为0最好用设备上专用的HA口做双机热备设备处于standy时，接口不回复、转发报文，所以不能用WEBUI登录设备只有在配置正确完成后才能上架，不然在直连、交换模式下容易造成环路配置物理接口网络管理链路聚合模块的作用是使多个接口的流量汇聚到单条链路上，也能使单个接口收到的流量均衡的从多个接口发出，可以起到扩充链路带宽和链路备份的作用。这个功能是topidpv5上新加的功能，设备上总共可以配置4条聚合链路，每条聚合链路上可以添加8个物理成员接口。负载均衡算法一共支持11个，分别根据不同的目标进行负载均衡，例如：根据源mac地址进行负载均衡，那么同一mac的流量只走聚合链路中的一个接口，不同mac的流量按照接口顺序进行轮询。其余算法的原理一样链路聚合注：建立起来一个聚合链路，那么这个聚合链路就当作一个逻辑接口来看待，加入聚合链路的物理口，其本身的属性都不生效了。目前聚合链路只支持交换和路由两种模式，不支持直连，不能强制设定其双工和速率，不能对其接口设定区域进行访问控制链路聚合流量管理流量管理分为两个部分：带宽控制流量异常分布带宽控制QOS策略属性出厂时，是没有任何QOS策略的，单击添加，出现如上的页面添加策略的名称QOS策略可以同时控制上、下行带宽，根据需要填写在上、下行中可以选择QOS的类型：1.策略独享：当多条ACL引用同一策略独享策略时，不同ACL之间的连接独享限制带宽与保证带宽，同一ACL中的不同连接限制共享限制带宽与保证带宽2.独享：当多条ACL引用同一独享策略时，不同ACL之间的连接独享限制带宽与保证带宽，同一ACL中的不同连接独享限制带宽与保证带宽3.共享：匹配ACL的所有连接共享限制带宽与保证带宽4.受控：每个连接的带宽不超过每主机限制带宽，所有连接的带宽之和不超过总限制带宽优先级：优先级只在同种策略中才起效，接口的剩余带宽优先分配给优先级高的链接。但前提是不高于限制带宽优先级有四个等级：特权、高、中、低

QOS策略属性注意：1.当配置的QOS策略中有保证带宽时，默认的优先级为中，可以手动选择特权或高；当只有限制带宽时，优先级只能为低，不可更改。同时受控类型的策略的优先级也只能时低。2.只要上、下行中选的不是共享策略，那么其他三种策略可以互相搭配QOS策略属性以下是关于优先级实验的截图这是区域area_eth3中主机的下载速度。这是区域area_eth2中主机的下载速度（图片中的两个数据不是同时的）从上图可以看出，接口剩余带宽优先分配给优先级高的连接QOS策略创建好之后，必须在ACL中引用才能起作用如果ACL引用的策略带有保证带宽，那么我们必须要选择区域，并且区域只包含一个接口，同时这个接口设置了有效带宽同一QOS策略被不同ACL引用时，保证带宽之和不能超过接口的有效带宽其他的选项同ACL，这里不详细详述打开ACL的“选项”，点击“高级”就可以看到创建的QOS策略。我们可以看到上面还有一个QOS选项，其实他和受控差不多，只不过他只能控制下载的速率，而不能控制上传的速率对接口或协议相关的指标设制相应的阀值并制定相应的报警机制，档统计值大于定值时报警流量异常检测入侵防御在入侵防御策略的配置方面，策略的源和目的的配置与以前的v1版本相同，可以配置地址对象和区域对象。

入侵防御策略配置在规则集引用部分，和v3保持一致，依然采用单选的方式，而动作的执行在规则集里进行单独配置。

入侵防御策略配置入侵防御策略里引擎动作包括防火墙联动、阻断时禁止连接、阻断时加入黑名单、输出应用识别所有日志、输出url所有日志。防火墙联动功能：仅在ids监听模式下有效，当配置好防火墙联动的配置以后，需要在引擎里打开这个开关后才能正常向防火墙下发策略阻断时禁止连接：当判断出连接上存在攻击时向客户端/服务器双方向发rst来关闭连接，不勾选时仅为丢包阻断时加入黑名单：勾选时会将识别为攻击特征的连接其中的源地址自动添加到黑名单，并启用一个定时器，在这个定时器时间范围内此源地址无法穿过idp建立任何连接注：黑名单也可以手动设置，入侵防御策略后新加的选项就是添加黑名单，这种方式添加的黑名单是永久生效的，除非手动删除输出应用识别和url日志：默认是只在判断为阻断的情况下进行记录，如果勾选则只要匹配规则的都会进行记录，因为记录大量的日志会消耗大量的系统资源。

入侵防御策略配置--检测引擎参数设置

入侵防御策略配置--检测引擎参数设置引擎工作模式包括：检测模式和优先模式。检测模式分为智能检测和深度检测：智能检测：只检测每个连接的前n个报文（n可以用户指定），能够起到很好的性能优化作用。深度检测：连接的所有通信报文都进行检测，性能会有很大降低。

入侵防御策略配置--检测模式优先模式分为应用优先和安全优先：应用优先：启动软件bypass功能，如果流量增大到检测引擎无法处理的情况，则软件bypass功能发挥作用，超出的流量不再上送引擎处理，直接转发，当引擎能够处理后，流量又上送引擎检测。在性能优化方面起到作用。保证了客户的正常应用，避免因处理能力导致的断网。安全优先：不启动软件bypass功能，如果流量超过检测引擎处理能力，那么会出现丢包现象。

入侵防御策略配置--优先模式协议支持协议支持的作用是针对用户可能使用的非标准协议端口而起作用。如：HTTP8080或者FTP2121等。对应的配置在WEBUI上“资源管理→协议”页面中。本页面中已经预定义了绝大多数的应用层协议及其标准服务端口。已经预定义好的协议包括：ftp、ssh、telnet、smtp、dns、finger、http、pop2、pop3、sunrpc、auth、nntp、smb、imap、snmp、https、rlogin、rsh、mssql、oracle、mysql、oicp、irc。协议支持举例说明：某用户使用的HTTP服务器的服务端口为8080。那么，就需要在http协议对应的修改页面中的端口部分修改为8080这个端口号，当然也可以不删除原有的80端口，而是写入8080端口与原有的80端口同时存在，使用“,”分隔开就可以了。协议支持对某协议端口的配置还可以通过使用一些符号来达到灵活配置的目的。例如上面说到的如果同时存在HTTP80和HTTP8080的服务器的话，那么http协议端口中可以写入“80,8080”来表示80和8080端口。同样的还有另外两个符号：“!”和“:”。“!”表示非，例如：“!80”表示除80端口以外的其余端口。“:”表示范围，例如：“80:8000”表示从80到8000端口范围内所有端口号。协议支持注：协议支持页面中不能增加新的协议，而只能通过修改系统预定义好的协议的端口号来实现该目的。修改完协议的端口号后，系统需要很短的一段时间来加载新的端口，一般时间为1、2秒钟。协议支持和服务没有任何关系，协议支持只对ips检测起作用协议支持设备第一次上线建议使用智能检测和应用优先模式入侵防御策略也是按照从上向下后的顺序进行匹配的，而且是按照源地址、源区域、目的地址、目的区域、时间五元组来进行匹配，按照最先匹配上的策略的规则和动作进行处理，不会再向下进行策略的匹配了。

例如：配置两条入侵防御策略，地址部分相同，但策略1引用的规则集为木马攻击，策略2引用的规则集为HTTP类攻击。

当有一个符合这两条策略地址部分的HTTP类攻击经过设备检测的时候，会先匹配策略1，地址部分匹配上以后，就不会再向后匹配了，直接按照策略1的木马攻击类进行检测，当然无法检测到该攻击。

所以，要检测同样地址部分的两类攻击，上述的两条策略的配置是无法实现的，正确的方法应该只配置一条策略，在规则集中引用两类攻击的规则集。注意事项DDoS防御DDoS防御包括DDoS防御、CC攻击防护、连接数限制、主机防护（syn_cookie）4个模块。DDoS配置选择需要防御的DDoS类型选择阀值优先级添加受保护对象阀值优先级阀值优先级分为服务器优先和单机优先（只对统计型攻击和DNS,DHCP-FLOOD和CC攻击生效）。服务器优先时：设备将对每秒攻击目标主机数统计，若大于服务器阀值，设备将会进行单机阀值统计（统计源和目标地址），若大于单机阀值则阻断后续为该源地址的攻击。单机优先时：服务器阀值无效，设备直接进入单机阀值统计（统计源和目标地址），当源地址的攻击数超过单机阀值，则阻断后续为该源地址的攻击。无论是服务器优先，还是单机优先，当每秒钟连接数超过服务器高压阀值，后续攻击都将被阻断。DDoS防御DDoS自学习开启自学习功能，系统能根据当前网络环境流量在设置的时间范围内进行分析从而自动调整阈值至符合当前网络状况的值，并以“自学习结果”的形式显示。DDoS防御CC攻击CC攻击是模拟多个用户不停的访问Web服务器上那些需要大量数据操作（即需要CPU长时间处理)的页面，进而导致Web服务器CPU长时间高负荷运转直至宕机，以达到攻击目的。CC特性：CC目前支持IPV4和V6下的攻击，目前支持的请求方法为get,post,head,且TCP标志位PUSH需置位。CC配置DDoS防御连接数限制连接数限制分为主机、子网、范围连接数限制，除了保护对象范围不一样外，三者都是针对源地址进行并发连接数限制的，其中主机连接数限制比子网、范围多了一个并发半连接数限制。并发连接数：同一时刻，允许其它主机与该主机建立的最大连接数。并发半连接数：同一时刻，允许其它主机与该主机建立的最大半连接数。连接数限制配置。DDoS防御主机防护（syn_cookie）Syn_cookie主要功能保护主机免受SYN_flood攻击，与阀值防护SYN _flood攻击区别在于syn_cookie可以保证正常访问的同时阻断syn_flood攻击。说明：主机防护目前不支持IPV6。主机防护配置DDoS防御DDoS模块注意事项DDoS模块支持IPV6攻击检测有：SYN_FLOOD,UDP_FLOOD,ICMP_FLOOD,DNS_FLOOD,DHCP_FLOOD和CC攻击。DDoS模块支持的隧道封装有：MPLS,GRE,QINQ,802.1Q，其中MPLS需要在系统管理->配置->高级属性中开启MPLS检测开关。DDoS防御攻击检测规则配置目前设备出厂配置中会有预定义的一个攻击检测规则集，名称是：精选规则(默认动作)。规则条数为328条，其中警告215条，阻断113条。其中收集的是一些经常碰到的攻击类型攻击检测规则配置如果上面系统预定义的规则集不符合使用需求的话，用户可以根据自己的需要自定义规则集，在攻击检测规则页面中点击“添加”按钮，就会进入添加页面，输入自定义规则集的名称，选择对应的分类方式、动作、是否记录报文选项，点击确定方可生成规则。攻击检测规则配置在基本配置中可以按照攻击类型、风险等级、流行程度、操作系统、精选这几种分类方式进行选择。每个库中都是按组进行划分，选定一个组后可以选择其动作、记录报文的选项。同时如果在实际环境中产生了误报，可以根据误报的事件号在规则集里进行排除。如果对每个组内的规则进行详细定制需要在进入页面时输入规则名并点击高级配置如果想要根据某条规则的编号或者名称查找该规则，则可以直接在搜索框中输入待查找规则的编号，也可以输入该规则的名称的全部或部分内容。注：如果要根据规则名称进行查找的话，则要注意输入的内容包含空格的话，则设备会按照空格将输入的内容分成多部分进行查找。例如：输入搜索内容为“CVE-1999-1511”，则搜索后会将名称中包含“CVE-1999-1511”的所有策略都列出来攻击检测规则配置病毒检测策略配置第一步，配置病毒检测规则选择需要检测的服务类型选择处理动作病毒检测策略配置举例第二步，在入侵防御策略中引用病毒检测规则选择之前添加的病毒检测规则病毒检测策略配置举例病毒检测规则各类服务下阻断动作和警告动作处理方式说明阻断动作警告动作HTTP服务

断开访问连接并且给WEB客户端返回病毒提示允许访问，没有病毒提示FTP服务

断开FTP传输连接，FTP客户端没有病毒提示允许传输，没有病毒提示SMTP服务

发送的邮件中病毒文件被清除，给接收邮件客户端插入病毒提示附件。允许发送，给接收邮件的客户端插入病毒提示附件。POP3服务

接收到的邮件中病毒文件被清除，给接收邮件客户端插入病毒提示附件。允许接收，给接收邮件的客户端插入病毒提示附件。病毒检测策略配置举例在FTP服务病毒阻断的动作下，上传或下载压缩包文件中如果包含两个以上病毒文件只能检测出一个病毒。在POP3/SMTP服务下，如果邮件客户端接收的压缩文件中含有两个以上病毒文件，提示附件只有一个。在HTTP服务病毒阻断的动作下，如果HTTP服务器共享压缩包文件中含有多个病毒，只能检测出一个病毒。在FTP服务下，阻断动作和警告动作检测出来的病毒相差四倍，因为在阻断动作下FTP客户端会尝试下载或上传连接三次，就是说同一个病毒文件上传或下载会被连续阻断4次，所以在在FTP服务下，阻断动作和警告动作检测出来的病毒相差四倍。注意事项应用识别规则应用识别规则配置用户根据需要添加应用识别规则，在应用识别规则页面中点击“添加”按钮，就会进入添加页面。输入规则集的名称，选择需要的协议、动作，点击确定即可生成规则。在入侵防御策略中引用应用识别规则后，规则生效。应用识别规则配置进行配置时需要注意的事项。应用识别规则配置支持对即时通讯软件QQ和MSN进行帐号过滤。首先要在应用识别规则中选择QQ登录/MSN登录，并且设置动作为帐号过滤，这样添加的帐号过滤规则才能生效。系统对经过过滤配置的账号执行相应设置的操作；对于未经过过滤配置的账号则执行应用识别规则中账号过滤的配置操作。应用识别规则配置除了系统自带的应用识别规则库，用户可以根据自己的需要自行定义应用协议。设置好的自定义应用协议会自动添加到系统规则库，供用户在设置应用识别规则时引用。用户在添加应用识别规则时，选择自定义协议即可进行引用。应用识别规则配置疑似P2P功能作为应用识别规则下的P2P下载的补充，通过设置自定义参数，来判定主机是否发生疑似P2P事件。URL过滤策略配置URL白名单配置输入白名单地址URL过滤策略配置举例URL黑名单配置定义黑名单地址URL过滤策略配置举例黑白名单配置注意事项：匹配顺序是黑名单、白名单、URL规则库黑白名单可以模糊匹配，例如黑名单中添加后，就无法访问和这些包含地址了黑白名单也支持精确匹配，如果输入,只匹配，不会匹配黑名单输入

象或这些包含都会被匹配。白名单同样支持模糊匹配选择精确匹配选择精确匹配后，只会匹配不会匹配。白名单同理。URL过滤策略配置举例第一步，添加URL过滤规则引用白名单定义URL过滤规则中URL大分类动作引用黑名单设置阻断动作处理方式URL过滤策略配置举例第二步，在入侵防御策略中引用URL过滤规则选择URL过滤规则URL过滤策略配置举例URL过滤统计URL过滤统计点击URL类型名称能够查看到访问源IP地址点击访问源主机IP可以查看到该主机访问哪些类型URL网站网站防护WEB扫描配置输入扫描网站地址，格式为URL格式，输入域名或IP地址选择扫描速度输入并发连接数（1-10）输入扫描深度（1-15），最多支持15级目录扫描选择扫描文件类型扫描主机输入的是URL,内容包括协议http、服务器的IP地址或域名，例如

或，需要注意的是无法指定扫描服务器子目录资源，例如/view或/view，如果输入该URL扫描依然会从服务器的根目录进行扫描。WEB扫描配置注意事项WEB扫描统计点击WEB扫描结果查看按钮进行扫描结果查看点击保存按钮，将web扫描结果从设备上导出网页防篡改网页防篡改策略分为两种防御方式，在线监控和离线监控。可以生成10条网页防篡改策略，每条策略中可以保护最大5000个网页，每个网页最大10M，最多可以保护5级目录深度，单条策略保护网站总大小不超过1G。数字水印：idp从ftp服务器上下载网站的所有文件在本地生成指纹库（其实是将下载下来的文件记录一个文件总长度并算出一个md5值存放在本地）离线监控：按照配置里的根路径检查间隔和非根路径检查间隔对后台网页进行轮询比对数字水印，如果发现网页被篡改，则根据设置的动作进行执行。勾选离线监控后复选框里还有一个参数为不监控文件类型，因为在社交式的网络环境当中某些文件总是在改变的，例如数据库文件，后台图片文件等等。当启用离线监控时必须排除这些总在变化的文件，只需填入后缀名并以逗号分开即可。在线监控：只支持部分文件的监控操作，需要在复选框内填写在线文件监控类型。和离线监控一样，只需填写文件后缀并以逗号分割。在线监控可以实现多个域名对应于单个实际网站节点的防篡改控制，例如：和两个域名都指向同一个服务器路径上的情况。网页防篡改

后台网站的根目录必须处在一个ftp目录下，并且要为idp在ftp上设置一个用户，可以对该目录上的所有文件都有上传、下载、覆盖原文件的权限。设备是通过管理口地址和后台ftp服务器进行指纹库获取的。这里就涉及到一个权限分配的问题，我们建立客户可以将ftp用户和web管理员用户划到同一个组里，并且将网站根目录所在文件夹的所属组规定为这个组。而将访问用户设置为其它人权限。网页防篡改网页防篡改配置好所有参数后，设备会自动去ftp上下载所有文件，由于是异步方式，下载时间会很长，在这段时间内，是不会进行防篡改保护的。只有当所有文件全部下好之后才会启动防篡改控制。所以在客户的环境下演示时一定要保证后台已经完全下载完全部的网页文件再开始验证其功能。在指纹库里可以随时对单个文件进行恢复，删除，更新的操作网页防篡改注：现在只是简单的实现对静态页面的防篡改，对于动态页面的网站，例如：新闻网、论坛、带web-cgi脚本的网页无法进行有效的防篡改。并且对网站主页例如访问/时，无法进行在线防篡改，必须在url里输入指纹库里有的文件名路径才能生效，例如同样访问主/index.asp时，index.asp在指纹库里存在才能够对这个页面施行保护。在网络状况出现异常时，网络状态的颜色卡会变红。大致状况分为两种。后台ftp服务器无法连接或者超时（这时是无法生成指纹库的）指纹库过大导致不能对所有文件进行保护（虽然不能对所有文件进行保护，但是只要是指纹库里有的文件，该策略依然生效）在线防护时，如果动作选择为恢复和记录日志。而后台网页被篡改时，第一次访问被篡改网页会看到被篡改后的网页，第二次进行访问时才能够看到恢复后的页面。如果要达到真正的禁止用户访问被篡改网页并且要做到及时恢复的话，一定要同时选择禁止和恢复。网页防篡改日志与报表日志设置设置服务器地址，端口后，通过Syslog协议将日志传送到已设定的日志服务器上。记录方式选择自动方式时，如果服务器断线，被存储的日志在检测到服务器在线的情况下将重新发送至日志服务器。记录方式选择自动方式+存储硬盘方式时，如果服务器断线后再上线，对于服务器不在线情况下记录的日志不再重新发送至日志服务器。

系统日志系统日志存储在缓存中，最多存储2048条，设备重启后就消失了。可以通过关键字进行查找。

安全日志用户可以自定义查询条件，查找符合要求的日志。

安全日志注意事项：设备无硬盘时，安全日志和应用流量日志每种类型最多存储10000条。重启设备，原来记录的安全日志还存在，缓存中的系统日志被清空。设备有硬盘时，安全日志和应用流量日志每种类型最多可记录30万条，满30万条后清除早期的10%日志并整理硬盘（大约剩余27万条），然后记录新的日志。

攻击报文取证首先在添加攻击检测规则时，选择记录报文。系统对匹配到规则的报文记录其详细内容，将检测到IPS攻击、CC攻击以及病毒攻击事件的相关报文记录下来保存到一个.pcap文件中。每条规则只产生一个攻击报文文件，日期取最后一次攻击发生的时间。报表手动生成手动生成日、周、月报表，假设系统时间为2012-02-08，则日报统计的是前一天24小时，即7日00:00:00至23:59:59；周报统计的是上一个自然周，即1月30日00:00:00至2月5日23:59:59；月报统计的是上一个自然月，即1月1日00:00:00至1月31日23:59:59。报表自动生成管理员可以选择自动报表的类型、统计内容，配置报表自动发送的时间。系统会在指定的时间自动生成报表，通过邮件的方式发送给收件人。报表以附件形式存在。报警报警有三种方式：邮件报警，声音报警，SNMP报警。在网络管理->SNMP，设置陷阱主机，一定要重启服务后，设置才能生效，SNMP报警才会触发。为了节省系统资源，相同攻击多次只有一次报警，以达到限制报警频率的目的。目录IPS系统安装配置TP系统安装配置典型实验案例TP概述TopPolicy是一套安全设备集中管理、策略集中管理、监控系统和审计系统。使企业和服务提供商集中高效的管理多达数千台安全设备。集中进行设备配置避免网络中因设备策略不一致造成的潜在安全漏洞。可以最大程度的降低配置，管理，监控及维护设备的投入成本。是天融信公司网络卫士安全管理系统（TSM）的重要组成部分。

TP系统构成TP服务器端和TP管理的设备需要开放的服务端口如下图所示TP安装部署TP安装部署TPv8版本运行的系统环境TPv8版本服务器安装TPv8版本服务器证书配置NAT环境下的TPv8版本客户端配置TPv8版本服务器初始化TPv8版本配置备份恢复TPv8版本服务器卸载TPv8版本客户端端证书配置TPv8版本服务器运行进程TPv8版本服务器无法正常启动原因TP安装部署--TPv8系统环境TPv8服务器的运行系统环境1、win2003server2、win2008server3、win7TPv8支持的客户端浏览器

1、IE6.02、IE7.03、IE8.0在第一次安装TPv8之前先要安装以下两个软件dotNetFx40_Full_x86_x64.exe和dotNetFx40LP_Full_x86_x64zh-Hans.exe；如果在在win2003server下安装需先安装如下3个文件：WindowsServer2003-KB942288-v4-x86.exeWindowsServer2003-KB958655-v2-x86-ENU.exewic_x86_chs.exeTP安装部署—TPv8版本服务器安装TP安装部署—TPv8版本服务器安装TPv8安装注意事项在win2008server和win7系统下要以管理员身份运行TPv8安装程序进行安装。在win2008server和win7系统下要以管理员身份运行TopPolicy服务器和TopPolicy配置工具。

TP安装部署—TPv8版本服务器安装TP安装部署—TP服务器证书配置输入服务器端真实IP地址输入服务器端真实IP地址非NAT环境下TP服务器证书配置TP安装部署—TP服务器证书配置输入域名输入服务器端真实IP地址NAT环境下TP服务器证书配置TP安装部署—NAT环境下的客户端配置TP服务器在NAT环境下部署示意图在C:\Windows\System32\drivers\etc找到hosts文件,用记事本或者写字板打开输入TP服务器公网IP地址和TP服务器域名NAT环境下TP客户端配置(客户端通过公网访问)TP安装部署—NAT环境下的客户端配置在C:\Windows\System32\drivers\etc找到hosts文件,用记事本或者写字板打开输入TP服务器内网IP地址和TP服务器域名NAT环境下TP客户端配置(客户端通过内网访问)TP安装部署—NAT环境下的客户端配置TP安装部署—TP服务器初始化输入备份文件密码TP安装部署—TP配置备份输入备份文件密码TP安装部署—TP配置恢复TP安装部署—TP服务器卸载TP安装部署—TP浏览器端Silverlight安装运行客户端证书安装程序点击辅助工具运行客户端证书安装程序选择查看CA证书选择是TP安装部署—TP浏览器端证书配置TP安装部署—TP服务器运行进程TP服务器后台运行进程分别是httpd.exeTPserver.exenserver.exemysql.exe设备管理---添加设备添加设备时，针对不同的产品，选择相对应的设备类型设备管理---设备上线检测TP提供了两种检测设备在线的方式。TP主动探测。对于不使用VPN模块的产品，添加设备时应该选择主动探测设备在线。设备主动注册。对于要使用vpn功能模块的产品，添加设备时应该选择主动注册。主动注册的设备，设备上需要设置TP的注册地址。设备管理---日志解析不同的产品类型，如果选择的日志类型有误，那设备日志的查询功能将查询不到设备的日志记录。因为日志类型错误，解析日志失败，导致日志无法入库。注意：更改日志解析方式后，TPserver需要重启才能生效。设备管理---配置获取和恢复不同的产品类型，配置获取和恢复的方式不同，设备支持命令行连接协议（telnet，ssh，xdoc）；设备管理---获取版本号开启获取版本功能开启命令行连接协议设备管理---TOS证书此功能项主要是针对TOS3.3.005版本（含）以后设备，在TP中添加包含此功能项类型设备后，如果设备IP、用户名、密码设置正确，且在设备上开启了GUI服务，则TP会将设备证书自动更新到设备的本机证书中，并将设备的TP主、从服务器注册地址分别修改为TP服务器设置中IP地址和IP地址2，从而使设备在TP中自动注册上线。设备配置管理手动获取设备配置自动获取设备配置首先需要明白的是通过什么方式获取设备的配置

1.命令行

2.xdoc其次就是获取到了配置后，可以在哪看到获取的配置

1.设备首页---管理工具

2.\TopPolicy\TPServer\DevCfg保留最新的配置设备配置管理---流程图设备配置管理---手动获取

设备首页---管理工具---配置管理---获取（命令行连接协议的方式）设备配置管理---自动获取建立计划任务，选择设备，确定调度时间，到了调度时间windows计划任务就会执行，设备配置获取。设备配置管理---查看配置方法一.通过设备首页的管理工具中双击配置文件方法二.在tpserver的安装DevCfg目录下查看最新配置设备配置管理---注意事项明确设备类型中，获取配置的方式明确使用的命令行连接协议，设备上应该对应的开启相应的服务版本、配置的历史记录通过版本和配置的变更提示，使管理人员实时跟踪设备变化首先需要启用升级检测和配置检测功能其次启用获取版本和配置功能，以及方式版本、配置变更---流程图版本、配置变更---系统参数设置在系统参数中启用升级检测和配置检测版本、配置变更---历史记录在设备首页—管理工具---版本历史中查看版本历史记录版本、配置变更---确认在历史记录中，选择确认，取消设备列表中的提示版本、配置变更---确认变更确认前确认后版本、配置变更---注意事项配置检测在TP上的配置与获取配置时的配置一样设备上开启的服务要和版本检测使用的方式一致SNMP监控设备首页---基本信息设备首页---网络设置设备首页---接口监控性能监控接口监控SNMP监控---流程图SNMP监控---监控设置在使用snmp监控设备的相关信息时，一定要有设备的mib节点，并且TP上填写的节点信息要和设备相匹配SNMP监控---基本信息设备相关信息许可证信息系统状态接口状态SNMP监控---网络设置获取设备的ARP表获取设备的路由表SNMP监控---接口监控监控设备接口状态监控设备接口流量SNMP监控---性能监控监控设备的cpu，内存以及连接数等信息SNMP监控---注意事项设备连接数信息，设备CPU信息，设备内存信息，连接数趋势，像这些监控信息，需要选择设备。SNMP监控---接口监控注意：设备接口信息列表，设备接口流量TOPN，设备接口速率，这些信息需要选择设备SNMP监控---注意事项设备类型中的snmp节点信息一定要跟设备上的一致Snmp管理主机要设置，community和TP上设置一致性能监控和接口监控时，确认设备加入到SNMP监控Netflow监控TopPolicy根据接收到的Netflow流量数据，对任何支持Netflow流量数据采集的设备进行Netflow流量监控使用NETFLOW需要开启设备的NETFLOW流量发送功能，并把发送地址指向TP服务器TopsecOS#systemnetflowshownetflowserveripaddr'62'netflowserverport9991netflowtransferprotocolUDPnetflowtransferoptionenableNetflow监控---监控数据列表监控设备连接以及应用协议流量分布情况监控阀值报警监控阀值报警是指TP将被监控设备的性能监控信息与阀值报警规则进行匹配，如果匹配成功就触发报警。所以首先要取得设备的性能监控数据。监控阀值报警---流程图监控阀值报警---报警方式TP现有的报警方式：◆snmp：TP把自己的报警信息trap给其它的第三方◆

Winpop：通过windows的消息服务把报警信息发给指定的PC◆管理器：指定那些管理员可以看到实时报警信息◆手机短信：把TP的报警信息以短信方式发送给指定的管理员或手机号码◆邮件报警：把TP的报警信息以短信方式发送给指定的管理员或邮箱◆上下级服务器：把报警信息发送给级联的上下级服务器◆外部的应用程序：当报警信息被触发时，TP会调用TP服务器上的其它的应用程序去行，这个应用程序是用户可以设定的可执行文件，感觉这种报警方式最为灵活。监控阀值报警---监控列表将设备加入SNMP监控加入SNMP监控前加入SNMP监控后监控阀值报警---添加规则有四个属性值，选择逻辑操作“与”时，设置的条件都要满足才能触发报警；选择逻辑操作“或”时，只要有一个条件满足就可以触发报警。监控阀值报警---注意事项TP是通过snmp获取设备性能数据，存入数据库中，然后匹配报警规则，所以设备需要设置snmp管理主机，并开放snmp服务只有在配置的报警时间内，安全事件满足触发条件时才进行报警日志审计日志管理如何判断设备日志是否入库收集设备日志的注意事项日志查询日志导出报表管理设备日志备份恢复日志审计--日志管理支持日志格式：SYSLOG格式设置查询条件，对系统日志和设备日志进行查询

列表方式显示查询的日志信息查询到的日志可根据列名进行排序查询结果可以批量导出，文件格式为txt、CSV系统日志可转发（1）在设备日志设置中需要配置：日志审计--设备日志接收服务器端口为514输入TP服务器IP地址传输类型选择syslog选择日志级别选择需要收集日志类型（2）将所要接收的日志设备加入到接收日志设备列表。需要特别注意的是：设备上的时间要与TP服务器端的时间同步。如果不同步会影响到日志查询的准确性和报表数据的准确性。日志审计--设备日志接收显示该设备是否正在接收设备日志日志审计—如何判断设备日志是否入库首先判断设备日志是否从设备上发送到TP服务器端，可以用抓包工具在TP服务器端来检查！端口号是514。日志审计—如何判断设备日志是否入库在保证设备日志已发送到TP服务器端前提下判断设备日志是否入库的方法：方法一、在TP设备日志管理界面中查询设备日志，查询的时间范围要包含到设备日志的时间，看看是否能够查询到设备日志日志审计—如何判断设备日志是否入库方法二、在数据库安装目录下找到runtime_db文件夹，进入该文件夹找到dev_log_table1.MYD，看该文件的大小是否有变化，看该文件的修改时间是否是最近时刻。日志审计—如何判断设备日志是否入库方法三、在DOS模式下进入mys