趋势科技TDA_NVWE联动测试方案模版.docxVIP

TDA+NVW CC server block联动测试TDA配置1NVWe配置1使用FakeIWSS工具测试联动4TDA配置由于此测试是由软件来模拟一个虚拟的TDA设备注册到NVWe来进行，所以无需在用户环境里的TDA设备进行相关设置。不过即使是真实环境下，只要保证TDA可以抓取到触发规则的数据包，做Migitation的是NVWe。NVWe配置解压Hotifx文件到你的web服务器(en是英文版补丁，sc是简体中文版补丁) 点击 Administration Backup Configuration. 备份你当前的NVW配置设置NVWe更新源为http://Web Server IP/au并保存点击Update Manual并选择Program更新 更新HF1009后重启NVWE，验证“Help--About”内是否已经有了Hotfix1009的信息（中文版则是1002）： 确认Policy Enforcement—TDA Blocked/Approved list里的Block command and control（CC）servers detected by TDA已经打勾进入Policy Enforcement—Network Zones，确认测试的Client IP已经在Network Zones的列表内进入Policy Enforcement—Policies—Default--Threat Mitigation Rules 确认Enable this policy和Enable Threat Mitigation已经打勾（这里的Quarantine动作是针对Network Zones里所定义的Client端的，而联动里的block动作是针对CC Server的，所以这里无论是Monitor还是Quarantine.只要有CC server的信息，就能Block CC Server）使用FakeIWSS工具测试联动Client端（该Client端必须位于Policy的endpoints network zones）访问外网，流量依次经过NVWE。将附件FakeIWSS下载Client端本地并解压。向NVWE发送mitigation 请求。修改Registration.ini，RequestReceiver=字段的IP修改成实际测试环境中NVW的IP地址。修改完成后，运行Registration.bat，完成注册。修改FakeIWSS.ini，RequestReceiver=字段的IP修改成实际测试环境中NVW的IP地址。LocalAddr=字段的IP修改成实际测试环境中Client端的IP地址。修改RuleID=210。保存退出后运行Mitigation.bat，完成mitigation请求。NVWE对首先判断client的ip是否位于endpoints network zones,如果位于，接收该请求，对其id进行判定（实例中定义的ID210可以触发），如果在CC rule id list里面，将会将CC server的IP添加到blocked list里面。NVWE将会阻挡所有的在Blocked list但不在Approved list里面的IP的所有的流量。修改Unregistration.ini，RequestReceiver=字段的IP修改成实际测试环境中NVW的IP地址。保存后运行Unregistration.bat取消测试TDA在NVWe上的注册。