DPtech IPS2000系列入侵防御系统开局指导..docVIP

DPtech IPS2000开局指导 杭州迪普科技有限公司 2011年07月目 录 DPtech IPS2000开局指导 1 第1章 前期调研 1 1.1 调研内容 1 1.2 确定部署方案 2 第2章 实施步骤 3 2.1 准备工作 3 2.2 部署条件 3 2.3 安装断掉保护PFP（如需安装） 3 2.4 实施方案 4 2.4.1 基本配置方案1-旁路部署 4 2.4.2 基本配置方案2-透明部署 8 2.4.3 基本配置方案3-混合部署 11 2.4.4 扩展配置 12 2.4.5 高级配置 13 2.4.6 其他配置 14 第3章 实施注意事项 18 前期调研 调研内容 调研表 单位名称 联系人 联系电话 　 编号 调查项目 子项目 结果 备注 1 网络拓扑层调查 网络拓扑图 附图 设备承载总带宽 峰值 出口NAT设备 设备接入方式 串行、旁路、混合 统一管理中心位置 如安装，则填写 确定网络拓扑位置 上行设备： 我司设备： 下行设备： 　 编号 调查项目 子项目 结果 备注 2 设备接入层调查 上行设备型号 上行设备接口类型及参数 电口/光口，协商/强制、速率、双工状态 下行设备型号 下行设备接口类型及参数 电口/光口，协商/强制、速率、双工状态 链路是否存在Trunk 有则记录交换机上每个VLAN对应的ID、该vlan所处的网络段，掩码 部署链路数 是否需要端口聚合 　 编号 调查项目 子项目 结果 备注 3 功能配置层调查 管理方式 带内、带外（确认IP地址） 所需开启策略 与统一管理中心联动 如安装，则确定IP地址 　 编号 调查项目 子项目 结果 备注 4 硬件部署层调查 设备高度 注明上架数量 设备电源数及满载功率数 断电保护设备高度 如有，则填写 集中管理平台高度 如上架，则填写 集中管理平台电源数及满载功率数 确定部署物理位置 入侵防御设备： 断电保护设备： 统一管理中心： 确定部署方案 根据调研及交流的结果，确定物理部署位置、逻辑部署位置、开启功能策略等实施步骤 准备工作 向用户介绍入侵防御系统实施内容、产品 与用户沟通入侵防御系统实际部署时间 部署条件 设备正常启动 连接线（双绞线、光纤等）正常可用 部署机柜满足部署条件（机柜空间、插座数、功率载荷） 管理地址已分配，且满足互通等要求 确定部署方式（组网模式、部署链路数） 安装断掉保护PFP（如需安装） 将PFP插卡板安装在PFP主机上 将内网连接线（如SW引出）连接至PFP“1”口，外网连接线（如FW引出）连接至PFP“4”口，流量于1——4间物理透传，此时验证网络畅通性 PFP插板“2、3”口平行连接IPS主机“A、B”口 ，即实施后的流量流向应为：局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网，链路上下行连接错误，会导致日志分析异常 此时切忌连接PFP主机与IPS主机的“USB”连接线，需完成全部功能配置后，再连接“USB”连接线 实施方案 基本配置方案1-旁路部署 组网拓扑图 注意：此模式下只做检测，不做控制 PC直连设备管理口，缺省IP地址为；用户名：admin，密码：admin 在【网络管理】-【组网模式】中，修改某一接口对组网模式为“旁路模式” 注意：如上图所示，eth1/0与eth1/1接口对组网模式改为旁路模式后，此接口将无接口对概念，eth1/0与eth1/1独立存在，且均可作为旁路检测接口 在【网络管理】-【网络用户组】中，添加IP用户组 如果设备需要跨网段管理，则需在【网络管理】-【单播IPv4路由】中，添加指定或默认路由 在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口 在【日志管理】-【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514） 在【审计分析】-【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9502） 在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator 在【设备管理】-【设备列表】中，添加IPS设备 在【系统管理】-【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计） 在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在