趋势科技-IWSA技术培训

TrendMicro use onlyIWSA技术培训技术培训 李国强李国强2TrendMicro use onlyIndex572057991,4842,3973,8816,27910,16016,43826,5982007 2009201120132015每小时每小时预计增加的恶意程序数量预计增加的恶意程序数量病毒指数级增长病毒指数级增长数据来源：数据来源：AV-Test.orgAV-Test.org“大三角大三角”理论：网关防护至关重要理论：网关防护至关重要网关网关1 1个个2 2台台2525个个5050台台50005000台台邮件服务器邮件服务器子网子网应用服务器应用服务器客户端客户端防护更复杂防护更复杂一致性更差一致性更差Web 威胁威胁3年增长了年增长了1731%Web 威胁威胁:2005年来的增长统计年来的增长统计Web威胁：增长最快的威胁形态威胁：增长最快的威胁形态 典型的典型的Web威胁威胁攻击攻击知名知名募捐募捐网站网站重定向重定向恶意恶意网站网站（俄罗斯）（俄罗斯）信息收集信息收集网站网站帐号信息帐号信息帐号信息帐号信息自动下载自动下载（每（每1010秒更新秒更新1 1次）次）黑色产业链：检测更困难黑色产业链：检测更困难 付费订购恶意程序 付费QA，保证不被任何安全厂商检测得到恶意程序类型恶意程序类型订订购价格购价格广告类间谍程序美国$0.3 加拿大$0.2，英国$0.1,其它$0.01恶意程序组合包（基本）$1,000-$2,000恶意程序组合包(升级服务）$20/次漏洞挖掘租赁服务（1小时）$0.99漏洞挖掘租赁服务（2.5小时）$1.60漏洞挖掘租赁服务（5小时）$4不能检测出来的窃取型木马$80DDOS 攻击$100/天10,000台僵尸控制机器$1,000窃取银行帐号类木马$50发送100万封恶意邮件$88TrendMicro use onlyIndex9TrendMicro use onlyIWSA(InterScan Web Security Appliance 2500/5000)IWSA 主要功能HTTP/FTP 恶意代码扫描间谍软件/灰色软件扫描反钓鱼支持ICAP支持LDAPURL过滤支持EPSAAXS支持透明桥模式与DCS联动硬件产品硬件产品IWSA 5000IWSA 5000IWSA 2500IWSA 250010TrendMicro use onlyHTTP/FTP恶意代码扫描恶意代码扫描IWSA 2500 HTTP/FTP扫描在网关透明过滤来自HTTP的病毒；在网关透明处理来自FTP的病毒；采用趋势科技独创的Intelliscan技术；对压缩文件灵活的处理方式；采用独特的Defer Scanning技术，解决网关对大文件处理的瓶颈问题；自带File-Blocking技术。WEB信誉信誉11TrendMicro use only12TrendMicro use only间谍软件间谍软件/灰色软件扫描灰色软件扫描IWSA 间谍软件防护对特定的Spyware进行扫描；对特定的Adware进行扫描；阻止用户下载间谍软件；防止间谍软件“call-home”；13TrendMicro use only反钓鱼网站反钓鱼网站IWSA 反钓鱼网站阻止用户访问钓鱼网站；实时更新Phishing Pattern；采用趋势科技独创的Phishing Trap技术；14TrendMicro use onlyURL过滤库过滤库IWSA URL Filter灵活的基于策略的设置；可以设置不同的时间段；采用趋势科技提供的URL过滤库，目前已达820万条记录；有效控制了用户的上网行为，净化了企业Web访问内容。15TrendMicro use onlyIWSA AAXSActiveX控件及Java小程序过滤灵活的基于策略的设置；针对ActiveX控件的安全策略；针对Java小程序的安全策略；16TrendMicro use only与与DCS联动联动与DCS联动对感染间谍软件的客户端进行远程修复；有效控制了企业网络内部的间谍软件；17TrendMicro use onlyIndex18TrendMicro use onlyIWSA (InterScan Web Security Appliance 2500/5000)IWSA2500产品规格:1 U 机架 能够支持最多5000用户 并发Http连接数2000个IWSA 2500 IWSA5000产品规格:2 U 机架 能够支持最多10000用户 并发Http连接数6000个IWSA 500019TrendMicro use onlyIndex20TrendMicro use onlyIWSA 部署方式部署方式IWSA部署方式；管理员可以根据企业的本身需求，部署部署方式；管理员可以根据企业的本身需求，部署IWSA设备，部署后不会影响现有客户的网络结构。设备，部署后不会影响现有客户的网络结构。代理联动模式代理联动模式 ICAP+IWSA 完全透明桥模式完全透明桥模式 与与L4交换机联动交换机联动 与与Cisco交换机联动交换机联动21TrendMicro use only代理联动模式代理联动模式部署在客户端与代理服务器之间，接管所有来自客户端的HTTP/FTP请求优势说明保护投资，IWSA可以与任何的代理服务器兼容；与DCS联动，有效抵御间谍软件的攻击；注意事项：需要更改客户机的IE代理设置22TrendMicro use onlyICAP+IWSA部署ICAP Client的旁路，对流经ICAP的HTTP及FTP数据流进行扫描优势说明配合Catch，对Web安全扫描有更高的效率；如果客户原来就使用ICAP，则无需更改客户端配置，部署简单；注意事项：需要使用两个以太网口23TrendMicro use only透明桥模式透明桥模式部署客户端与防火墙之间，对流经IWSA的HTTP及FTP数据流进行扫描优势说明透明桥工作模式，无需更改客户端的代理设置；即插即用，部署简单；注意事项：需要使用两个以太网口24TrendMicro use onlyIndex25IWSA开开/关机的特别说明关机的特别说明开关机说明开关机说明:开机：接通电源后按一下开关，松手；开机：接通电源后按一下开关，松手；关机：关机：同样按一下开关，松手同样按一下开关，松手。等待。等待1.5分钟左右，让机器自行关闭。系统在自行关闭时分钟左右，让机器自行关闭。系统在自行关闭时会同步会同步RAID，依次关闭服务。，依次关闭服务。绝对禁止绝对禁止：关机时长按电源开关不松手进行强制关机，此举有可能会造成关机时长按电源开关不松手进行强制关机，此举有可能会造成RAID/硬盘损坏硬盘损坏，系统服务出现问题，系统服务出现问题。26IWSA 2500 RAID状态检查状态检查处理步骤处理步骤:从超级终端中进入从超级终端中进入linux系统，执行如下操作：系统，执行如下操作：1.#cd/etc2.#./raid_setup如果显示的两个设备不全是如果显示的两个设备不全是Active，则代表，则代表RAID在关机过程中损坏；在关机过程中损坏；请依照请依照8、IWSA硬盘损坏的检查与恢复硬盘损坏的检查与恢复200706.doc文档前部分方法进行处理。文档前部分方法进行处理。Proxy Mode 访问网页慢访问网页慢27TrendMicro use only症状 每一次访问的响应时间都很差.What to look for 从IWSA Shell界面中执行nslookup查询已知的响应慢的站点，是不是nslookup的响应也非常慢？If so 这种延迟可能是由DNS的响应比较差造成的。客户将IWSA的DNS指向外网ISP的。ISP的DNS服务响应相比内网DNS，响应会变慢很多。What to do 这种情况可通过在IWSA中部署DNS cache来实现，IWSA 5000将内置，IWSA3.1可采用BIND按文档步骤来实现 查看是否能用透明方式部署，透明方式由浏览器来执行DNS查询28TrendMicro use onlyMIME Skip 大型门户网站视频，图片，Flash不断骚扰，导致IWSA处理延时很大。建议做一下配置:Skip audio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv image/x-icon image/jpeg image/gif image/png application/x-shockwave-flash application/vnd.rn-realmedia控制单用户最大连接数控制单用户最大连接数 1.使用console或者SSH连接到IWSA2.进入Shell Environment3.vi/var/iwss/intscan.ini查找到下面的参数,enable_client_connection_quota=yes,然后在client_connection_quota=中输入您希望每个客户端最大的连接数,默认为50:#Switch for client connection quotaenable_client_connection_quota=no#If enable_client_connection_quota is turned on,this indicates the maximum num#of connections allowed from a single client.client_connection_quota=50 4.修改完毕后保存:wq保存配置.5./var/iwss/S99ISproxy reload 重新启动服务.29TrendMicro use only30TrendMicro use onlyQuestions and Answers