天清入侵防御系统_项目实施配置手册.docxVIP

配置手册 启明星辰 IPS 入侵防御系统 配置手册 山西同之益科技有限公司2020 年 4 月 山西同之益科技有限公司 技术支持服务热线 400-607-1189 配置手册 目录 一、 功能介绍 1 二、 配置流程 1 三、 配置内容 1 第一部分 管理信息配置 1 第二部分 对象配置 6 第三部分 事件配置 8 第四部分 策略配置 13 第五部分 日志查看 17 配置手册 一、 功能介绍 入侵防御系统围绕深层防御、精确阻断的核心理念，通过对网络流量的深层次分析，可及时准确发现各类入侵攻击行为，可以对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行防御，并执行实时精确阻断，主动而高效的保护用户网络安全，有效弥补网络层防护产品深层防御效果的不足。 二、 配置流程 权限管理：通过三权分立用户，实现不同用户对设备权限的管理； admin，管理员用户，实现日常业务配置需求； useradmin， 用于用户管理，账号密码等策略配置； audit，审计管理员，实现日志信息审计功能； 对象定义：定义 IP 地址对象，服务对象，可通过安全策略引用地址及服务； 事件定义：定义事件、事件集，通过事件集引用事件； 安全防护表定义：通过安全防护表引用事件集； 安全策略配置：调用安全防护表，实现对入侵、攻击等事件的记录； 日志查看：通过日志记录信息查看入侵、防护等安全事件，通过报表进行统计、分析、展示； 三、 配置内容 第一部分 管理信息配置 运行状态信息查看：通过系统防护状态可查看目前设备的运行状态， 入侵、攻击防护统计信息。 1 配置手册 图 1 授权信息查看：查看当前系统特征库授权信息，top10 攻击防护信息； 如下图 2 红色标注部分。 图 2 升级管理：定期通过启明星辰官网（https: //） 下载中心，统一升级中心（图 3）进行特征库更新升级，升级结果如下（图 4） 2 配置手册 图 3 图 4 SNMP 配置信息修改： 网络管理→基本配置-SNMP 路径下进行SNMP 版本，团体名称修改 3 配置手册 图 5 账号密码策略：修改系统默认账号密码策略，符合国网公司针对账号密码的安全策略 远程管理：配置限制远程登录账号 IP 地址、账户在线数量、超时时间、账号修改密码期限 4 配置手册 5 配置手册 第二部分 对象配置 对象定义：通过对象管理可进行时间对象、服务对象、地址对象的重新定义或系统预先定义服务、端口等信息查看 配置自定义服务：进入对象管理服务对象自定义服务，点击新建， 名称：为新建自定义服务设置名称 描述：对新建自定义服务做描述 协议： 可以自定义的服务协议（TCP,UDP,ICMP,IP） 源端口： 协议源端口号 目的端口：协议目标端口号 配置地址节点：地址对象可以对主机地址，子网，地址范围做定义。进入对象管理地址对象地址节点，点击新建 6 配置手册 名称：为新建地址节点设置名称 描述：对新建地址节点做描述 地址节点： 地址节点的内容可以是：主机 ip 地址；子网 ip 网段地址； IP 地址池范围 7 配置手册 第三部分 事件配置 事件定义：通过预先定义事件或自定义事件确定攻击防御事件采取的防护措施（通过、丢弃、阻断等动作） 事件集定义：IPS 中引入了入侵防御事件集。事件集是一个或多个事件的集合。根据当前实际的网络情况，系统默认提供了 5 个事件集。进入入侵防御特征事件集，可查看当前预定义事件集，图 10，默认事件集作为系统提供的资源，不能被删除，只能做有限的配置操作。 创建事件集：进入入侵防御特征事件集，点击新建。 参数说明： 8 配置手册 名称：事件集的名称 描述：事件集描述信息 防护等级：通过设置事件集的防护等级可以调整本事件集中所有事件的动作 查看事件集内容：进入入侵防御特征事件集，点击详细图标，或者点击事件名称，即可查看该事件集的详细内容 参数说明： 分类：该事件集的分类方式，可按照协议类型、系统、安全类型、来源、事件级别来分类，默认是按照安全类型来分类的。 名称：输入事件名称，可检索出该条事件。 启用：按照启用方式检索事件。 级别：按照级别来检索事件。 日志：按照是否发送日志来检索事件 动作：按照事件动作来检索事件。 通过：放行触发该 IPS 事件的数据包 丢弃：对触发该 IPS 事件的数据包所在连接的客户端和服务器发送RESET 9 配置手册 包，使连接结束（针对 TCP 协议），并丢弃当前数据包 阻断：在一段时间内丢弃触发该 IPS 事件的数据包的源 IP 产生的所有数据包 说明：建议用户采用厂商推荐默认值，自行调整 IPS 入侵事件级别及阻断方式，可能导致用户网络中断。 添加事件集中事件：进入入侵防御特征事件集，选