趋势入侵防御防火墙(IDF)功能介绍与应用测试报告.docxVIP

趋势入侵防御防火墙(IDF)功能介绍与应用测试报告趋势科技（中国）有限公司2013年10月目录IDF产品简述4安装部署：41、officescan10.6服务器插件IDF（入侵防御防火墙）的安装：42、客户端IDF插件安装部署：5防火墙应用与测试案例：9阻止域外非XXX内网外联：9阻止域外文件共享和打印：19小结：23DPI虚拟补丁测试23应用程序控制测试24文档信息：文档属性内容项目/任务名称项目/任务编号文档名称趋势入侵防御防火墙(IDF)功能介绍与应用测试报告文档版本号1.0文档状态正式制作人陈锦永保密级别秘密管理人制作日期2013-10复审人复审日期扩散范围内部使用版本记录：版本编号版本日期创建者/修改者说明1.02013-10-16陈锦永文档说明：IDF产品简述趋势科技IDF产品是一款适用于防毒墙网络版OfficeScan入侵防御防火墙高级入侵防御系统。它为安全防御体系中提供了最后一道且效果极佳的防线，可抵御利用商用和定制软件（包括 Web 应用程序）中的漏洞进行的攻击、可有效的定义给予主机的防火墙规则（包括违规外联控制、阻止域外文件共享和打印）等功能；通过入侵防御防火墙 (IDF)，您可以创建并执行主动式保护敏感数据、应用程序、计算机或网段的各种安全策略。如：通过规则保护漏洞（系统与应用程序）不受已知和未知攻击。每个规则定义预期的应用程序数据并根据其内容阻止恶意数据；通过检查已知应用程序流量，可根据需求进行应用程序限制；持续IDF规则更新，自动提供最新的全面防护，抵御已知、未知的攻击；完善双向状态防火墙对所有网络通讯协议（TCP/UDP/ICMP)全面支持，防火墙可完全配置，以每个接口为基础允许或者拒绝网络通信，限制对允许的IP或者MAC通信；分析通信中上、下文数据包的连接状态的正确性，可以防DDoS、SYN攻击、防御应用层攻击、SQL 脚本注入及Cross-site跨网站程序代码改写的攻击。安装部署：1、officescan10.6服务器插件IDF（入侵防御防火墙）的安装：登陆officescan10.6 WEB控制台，选择左边最下面的“插件管理器”，在“插件管理器”页面中的“入侵防御防火墙”有两按纽：“管理程序”和“下载”，下载安装完成后“下载”按纽将自动变为“卸载”，如下图：2、客户端IDF插件安装部署：服务器下发部署方式：通过IDF控制台，点击相应的OfficeScan客户端进行直接的下发部署登陆officescan10.6 WEB控制台，选择“插件管理器”，在右侧的“入侵防御防火墙”页面中点击“管理程序”，进入IDF插件管理，如下图：注：IDF控制台默认可以自动读取OfficeScan控制台的客户端信息点击计算机选择需要部署的客户端（可以单选或多选）处理措施部署客户端插件；等待片刻后，控制台将会显示客户端已受管理，即部署完成。客户端IDF插件安装完成后“状态”将显示“被管理（联机）”，如下图：客户端离线安装部署方式：IDF客户端离线安装包存放在officescan服务器的C:\Program Files\Trend Micro\OfficeScan\Addon\Intrusion Defense Firewall\Client\product\chs中，有32位系统（IdfClientPlugin_i386.zip）和64位系统（IdfClientPlugin_x86_64.zip）两种安装包，将IDF离线安装包文件复制到需要部署的OfficeScan客户端上；解压后双击安装包程序即可自动完成安装；程序将会自动安装，安装完毕后IDF控制台即可看见该客户端信息。检查IDF客户端是否安装成功：1、在客户端上右击officescan图标中的“插件管理器”可确认IDF（入侵防御防火墙）插件是否安装成功：2、打开网卡本地连接——属性，可以看到新增了一个驱动“Trend Micro DSA Filter Driver”：3、客户端IDF（入侵防御防火墙）插件安装完成后即可通过officescan控制台中的插件管理器对客户端进行管理，点击计算机选择需要部署的客户端（可以单选或多选）处理措施中可进行多项管理操作，如“部署客户端插件”、“移除客户端插件”、“激活/重新激活”、“停用”等，如下图：防火墙应用与测试案例：阻止域外非XXX内网外联：需求：防止行内计算机在域外通过非法违规途径（如3G上网卡、无线网卡等）连接外网，加强管控行内计算机信息安全和病毒感染风险策略部署：先在IDF控制台——组件——IP列表中新建一个IP列表“XXX”，将XXX内网的IP信息添加进去，如下图：在IDF控制台——防火墙——防火墙规则中新建以下6条规则：阻止域外非XXX内网外联传入：设置操作为：拒绝优先级：0-最低数据包流向：传入帧类型：IP 协