冰之眼网络入侵保护系统培训课件

2019/4/18冰之眼网络入侵保护系统冰之眼网络入侵保护系统NIPS简介1冰之眼NIPS安装和初始化3冰之眼NIPS使用4冰之眼NIPS维护5冰之眼NIPS简介2安全事件类型统计-2019病毒事件非授权访问私有信息窃取拒绝服务攻击内部网络的滥用电脑盗窃电信欺诈公共web应用的滥用无线网络的滥用金融欺诈系统渗透怠工、蓄意破坏Web页面替换燃眉之急有哪些？

周末去郊游，没想到周一早晨一来，网络瘫痪了，原来是没及时安装周末刚发布的一个安全补丁，真是个“黑色星期一”；

蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮件收不了，网页打不开；

有员工使用BT、电驴等P2P下载电影或MP3，造成上网速度奇慢无比；

有员工沉迷在QQ或MSN上聊天，或者玩传奇、魔兽等网络游戏，或者看在线视频，不专心工作，无法有效控制；

电脑被人破坏，公司机密资料被人放在网上，原来都是间谍软件搞的鬼；一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的局限IDS的缺陷IDSIDS如何防御攻击？防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码IDS由于旁路部署，无法阻断攻击，亡羊补牢，侧重安全状态监控IPSIPSIPS在线部署，主动防御，实时阻断攻击IPS与相关产品的区别IPS与IDSIDS侧重网络监控，注重安全审计IPS侧重访问控制，注重主动防御配合使用，优势互补冰之眼NIPS完全兼容IDS部署方式NIPS防火墙模块是原有防火墙的一个补充两级过滤，防火墙负责静态规则，NIPS负责动态规则，相互配合，灵活方便不能完全替代单独的防火墙产品传统防火墙功能更为强大，访问控制力度细，NAT，IPSec，认证…NIPS与防火墙IPS与IDSIPS与相关产品的区别NIPS与流量管理产品NIPS定位在入侵保护，“流量净化”，过滤网络中的恶意攻击流量、垃圾流量（如蠕虫、网络病毒、P2P下载、网络游戏、在线视频等），NIPS不对流量进行带宽限制流量管理定位在控制带宽资源，保证关键业务应用或用户的带宽需要，但它无法识别流量中的攻击代码NIPS能够识别接近100种应用层协议，而病毒网关一般只支持HTTP、FTP、SMTP、POP3四种协议的病毒过滤NIPS只检测和阻断以网络为传播途径的病毒类型，如蠕虫、网络病毒等，而病毒网关可以检测更多的病毒类型NIPS性能优异，线速处理，而病毒网关HTTP扫描百兆下仅10MbpsNIPS与病毒网关冰之眼网络入侵保护系统冰之眼NIPS简介2冰之眼NIPS安装和初始化3冰之眼NIPS使用4冰之眼NIPS维护5NIPS简介1冰之眼NIPS简介产品型号产品架构产品功能部署方式产品线一览吞吐量(双向)产品规格产品型号细分ICEYE-200P200Mbps最多支持3个百兆工作口，1U硬件ICEYE-200P-02ICEYE-200P-03ICEYE-600P600Mbps最多支持3个百兆工作口，1U硬件ICEYE-600P-02ICEYE-600P-03ICEYE-1200P1200Mbps最多支持4个千兆工作口，2U硬件ICEYE-1200P-02ICEYE-1200P-03ICEYE-1200P-04ICEYE-1600P2000Mbps最多支持4个千兆工作口，2U硬件ICEYE-1600P-02ICEYE-1600P-03ICEYE-1600P-04冰之眼产品架构网络引擎控制台升级站点三大组件控制台网络引擎升级站点产品功能攻击防护防御黑客攻击防御蠕虫、网络病毒防御拒绝服务攻击防御间谍软件管理控制控制IM即时通讯控制P2P下载控制网络在线游戏控制在线视频部署方式支持五种工作模式：联合（Unite）、保护（NIPS）、检测（NIDS）、分接（TAP）、直通（Bypass），能够快速部署在几乎所有的网络环境中5.5版本部署方式冰之眼网络入侵保护系统冰之眼NIPS安装和初始化3冰之眼NIPS使用4冰之眼NIPS维护5冰之眼NIPS简介2NIPS简介1冰之眼NIPS的安装探测器的安装用串口进行初始配置用浏览器进行初始配置控制台的安装探测器的安装串口网络接口通讯口电源插口电源开关PC或者笔记本安装串口驱动用串口线连接探测器用超级终端，SecureCRT或其他终端仿真程序登录步骤探测器的安装conadmin/nsfocus默认密码探测器的安装探测器的安装探测器的安装冰之眼NIPS的安装探测器的安装用串口进行初始配置用浏览器进行初始配置控制台的安装探测器的安装登录IP：webadmin/nsfocus交叉线连接笔记本和探测器注意探测器的安装探测器的安装1探测器的安装2探测器的安装3探测器的安装冰之眼NIPS的安装探测器的安装用串口进行初始配置用浏览器进行初始配置控制台的安装控制台的安装1、确认安装权限以系统管理员的身份登录系统。2、插入安装光盘将安装光盘放入光驱，运行光盘ICEYEConsoleInstall目录下的安装程序，请按提示单击【下一步】进行安装。开始安装控制台的安装3、安装数据库在安装过程中，需要选择要使用的数据库实例。安装数据库控制台的安装4、导入证书

NIPS产品证书是通过Email的形式发送给客户的，导入前务必确认并比较您所管理的引擎硬件特征值。导入证书控制台的安装5、设置通信参数通常在系统不具备多网卡的情况下，系统都会自动检测到通信参数，冰之眼控制台使用该IP地址与引擎通信。设置通信参数控制台的安装6、填写管理员信息

NIPS支持将告警日志或日志分析报表通过电子邮件发送给管理员，因此推荐在此填写管理员信息。填写管理员信息控制台的安装7、自动化任务通过制订任务计划，可以减轻管理员的工作强度，提高产品的持续运行时间。自动化任务控制台的安装8、在线升级规则库配置完毕，强烈建议使用NIPS在线升级系统，以获取最新的规则库，只有始终保持规则库为最新状态，我们的NIPS才可以更加有效的工作。在线升级规则库控制台的安装运行光盘，安装MSDEnsfocus下载最新控制台程序只有IDS安装光盘安装后所起的服务IDSToidMSSQL$NSFOCUS所起服务冰之眼网络入侵保护系统冰之眼NIPS使用4冰之眼NIPS安装和初始化3冰之眼NIPS维护5冰之眼NIPS简介2NIPS简介1冰之眼NIPS的使用串口SSHWindows控制台控制台主界面冰之眼管理日志分析WEB控制台windows控制台开始-〉所有程序-〉冰之眼网络入侵保护系统-〉控制台控制台显示界面冰之眼配置界面日志分析Windows控制台windows控制台菜单快捷工具条日志信息区综合信息区显示分类区当前状态条控制台主界面windows控制台设备状态窗口BPS协议分布图PPS协议分布图BPS窗口PPS窗口TCPSessionCPU状态内存状态综合信息区主控台windows控制台获得归并的日志导入规则库，需要先编辑规则库经常进行的操作windows控制台统计窗口技术手段窗口攻击效果窗口危险程度窗口攻击方式窗口流行程度窗口服务窗口告警日志Iwindows控制台源地址归并窗口目的地址归并窗口事件归并窗口引擎归并窗口时间排序窗口告警日志IIwindows控制台保护规则集检测规则集合规则库windows控制台蠕虫攻击IM/P2P事件网络病毒攻击事件事件监控规则集编辑windows控制台显示记录转发不显示不记录不转发不转发到上级控制台不显示不记录冰之眼管理-〉参数设置-〉事件过滤事件过滤规则集冰之眼NIPS的使用串口SSHWindows控制台控制台主界面冰之眼管理日志分析WEB控制台windows控制台从开始-〉所有程序进入从冰之眼控制台进入冰之眼管理12windows控制台参数设置审计管理地址簿冰之眼管理windows控制台参数设置审计管理地址簿冰之眼管理二者只能设置一个！！windows控制台参数设置审计管理地址簿冰之眼管理windows控制台参数设置审计管理地址簿冰之眼管理windows控制台参数设置审计管理地址簿冰之眼管理windows控制台参数设置审计管理地址簿冰之眼管理冰之眼NIPS的使用串口SSHWindows控制台控制台主界面冰之眼管理日志分析WEB控制台windows控制台从开始-〉所有程序进入从冰之眼控制台进入日志分析12windows控制台日志查询报表日志维护日志分析windows控制台日志查询报表日志维护日志分析windows控制台日志查询报表日志维护日志分析冰之眼NIPS的使用串口SSHWindows控制台控制台主界面冰之眼管理日志分析WEB控制台登录IP：配置的ipwebadmin/nsfocus直连线探测器的通讯口到网络注意WEB控制台WEB控制台WEB控制台WEB控制台WEB控制台WEB控制台WEB控制台（防火墙）WEB控制台WEB控制台（入侵保护）WEB控制台WEB控制台（对象）WEB控制台WEB控制台WEB控制台WEB控制台WEB控制台Windows控制台与WEB控制台Windows控制台多台探测器的管理Windows控制台用户管理地址簿事件过滤规则库TCPsession纪录日志分析规则文件编辑WEB控制台Web用户管理防火墙设置保护例外工作模式导入流媒体服务器列表文件网络设置

两者都可状态察看升级文件升级证书冰之眼网络入侵保护系统冰之眼NIPS维护5冰之眼NIPS安装和初始化3冰之眼NIPS使用4冰之眼NIPS简介2NIPS简介1Q：控制台对引擎状态多久刷新?为什么物理网络断开后,netstat-na查看控制台和引擎连接实际无,但控制台仍看到连接正常状态?A：1分钟刷新一次.但如果是物理网络断开可能需要等待几分钟才能刷新.控制台刷新的原理是判断引擎发过来的状态确认(心跳),如果没有接收到就视为断开。Q：引擎设置了某控制台是主控台,但控制台查看引擎状态信息没有主控标识,为什么?A：确认主控制台是否绑定了多个IP,如果是,到冰之眼管理查看本地数据通信地址是否采用引擎设置的主控台IP地址.两者必须一致才对。冰之眼NIPS维