产业链安全云市场合作产品操作手册.docVIP

产业链平安云市场合作产品操作手册山石网科虚拟化网络入侵防备系统

名目

1平安防护策略 4

2NAT功能 6

2.1配置源NAT 6

启用/禁用NAT规则 7

复制/粘贴源NAT规则 7

调整优先级 7

命中数 8

命中数清零 8

命中数检测 9

2.2配置目的NAT 9

配置IP映射类型的目的NAT 9

配置端口映射类型的目的NAT 10

配置NAT规章的高级配置 11

启用/禁用NAT规则 12

复制/粘贴目的NAT规则 13

调整优先级 13

命中数 14

命中数清零 14

命中数检测 15

3平安防护配置 15

3.1入侵防备配置 17

入侵防备全局配置 17

配置入侵防备模板 18

3.2病毒过滤配置 21

3.3僵尸网络CC防御配置 23

3.4边界流量过滤配置 24

IP黑名单 24

Service黑名单 27

MAC黑名单 28

IP信誉过滤 29

例外白名单 30

全局检索 30

配置 30

3.5沙箱防护配置 31

沙箱全局配置 33

威逼列表 34

信任列表 35

4系统配置 35

4.1管理设备 35

管理员 35

管理员角色 38

可信主机 39

管理接口 40

系统时间 41

设置及操作 41

4.2升级管理 42

升级版本 42

升级特征库 43

1平安防护策略

平安防护策略是vNIPS系统的基本功能，把握平安域间/不同地址段间的流量转发及平安防护检测。平安防护策略包括两种模式：平安防护模式和防火墙模式。默认状况下

设备处于平安防护模式。

●在平安防护模式下，全部新建策略的默认防护动作均为“允许”且不允许修改，此时NIPS设备首先对全部平安域/地址段之间的流量进行放行，然后通过用户所设置的入侵防备规章、病毒过滤规章、僵尸网络防备规章等平安防护规章进行过滤检测，对于匹配到上述平安防护规章的威逼流量，再通过规章的防护动作进行处理，如阻断或记录日志等。

●在防火墙模式下，新建策略时，用户可按需设置防护动作为“允许”或“拒

绝”,常用于一个平安域到另一个平安域，以及从一个地址段到另一个地址段的流量的访问把握。用户也可按需开启入侵防备规章、病毒过滤规章等平安防护配

置。

猛烈推举用户使用平安防护模式，以获得vNIPS设备全面的入侵防备效果。

一般来讲，平安防护策略规章分为两部分：过滤条件和行为。平安域间流量的源安全域/源地址、目的平安域/目的地址、服务、应用以及用户构成策略规章的过滤条件。策略的行为主要包括：允许、拒绝或平安防护(不同的策略模式存在差异，以实际界面为准)。平安防护包括入侵防备防护、高级防护(病毒过滤、僵尸网络防备、URL过滤、

沙箱防护)和数据平安防护(上网行为审计和网友关键字过滤)。

同时，策略规章都有其独有的ID号。策略规章ID会在定义规章时自动生成，同时用户也可以按自己的需求为策略规章指定ID。整个系统的全部策略规章有特定的排列顺序。在流量进入系统时，系统会对流量依据从上到下的匹配挨次进行匹配，然后查找到

的第一条与过滤条件相匹配的策略规章进行处理。

对未匹配到任何已配置策略规章的流量，系统将依据指定的默认动作对此类流量进行处理。在平安防护策略模式下，推举将默认防护动作设置为“允许”;在防火墙模式

下，推举将默认防护动作设置为“拒绝”。

同时，平安防护策略支持指定IPv4和IPv6格式的地址条目。如接口开启了IPv6功

能，用户可依据需要配置IPv6地址的策略规章。

配置策略规章，请依据如下步骤进行操作：

1.点击“配置管理策略平安防护策略”。

2.点击左上角的“新建”按钮，点击“策略”,进入策略配置页面。

平安防护策略配置

挫示：新建平安防护策期时，正常的流留默认放行

类型

谦平安城

源用户

目的平安城

目的地址

应用

入侵防备模板

高级防护→数据平安选项

P?IPv6

Any

Any

Any

Any

+

+

在策略配置页面，填写基本配置信息。

点击“高级防护”,开放高级防护页面，填写