TopIDP产品操作培训.ppt

网络卫士入侵防御系统产品操作培训 产品管理部 TopIDP的产品简介TopIDP的安装TopIDP配置TopIDP的常见问题 内容 TopIDP2000 22051U机型 配备硬件加速卡 标配5个10 100BASE TX端口 4个作两路IDP转发 1个管理端口 性能 200MbBypass Inline切换开关 切换IDP转发端口Bypass Inline状态USB口 USBkey恢复口RST 重启设备 IDP转发端口 指示灯 管理端口 USB口 Bypass Inline切换开关 TopIDP产品简介 RST 系列号 2000系列 产品类型 低端产品 扩展口数量 无扩展口 端口数量 5个端口 TopIDP2000 23081U机型 标配8个10 100BASE TX端口 4个作IDP转发 3个作通讯转发 1个管理端口 性能 400Mb线速Bypass Inline切换开关 切换IDP转发端口Bypass Inline状态USB口 USBkey恢复口RST 重启设备 IDP转发端口 指示灯 防火墙端口 管理端口 USB口 Bypass Inline切换开关 TopIDP产品简介 RST TopIDP3000 32234U机型 标配2个千兆GBIC插槽 3个10 100BASE TX端口 2个作IDP转发 1个管理端口 性能 2000Mb线速Bypass Inline切换开关 切换IDP转发端口Bypass Inline状态USB口 USBkey恢复口RST 重启设备 IDP转发端口 LCD 管理端口 USB口 Bypass Inline切换开关 AUX TopIDP产品简介 RST TopIDP的产品简介TopIDP的安装TopIDP配置TopIDP的常见问题 内容 直通线 注 管理口必须接入网络才能进行邮件病毒过滤和在线升级 Swich Hub 管理机 硬件安装 TopIDP系统连线 TopIDP的安装 直通线 交叉线 路由器 防火墙 直通线 直通线 注 管理口必须接入网络才能进行邮件病毒过滤和在线升级 Swich Hub 管理机 硬件安装 TopIDP系统连线 TopIDP的安装 光纤跳线 直通线 路由器 防火墙 光纤跳线 安装须知 加电启动时 系统检测硬件pwr err log chk灯会闪烁几次 启动完成后pwr灯常亮 系统有问题err灯常亮 系统出厂ip为192 168 1 254 出厂用户名 superman 出厂密码 talent11系统默认开放8 80端口 如果连接不正常 请尝试ping192 168 1 254或telnet192 168 1 25480首次安装使用时 要将所有策略都配置上 响应方式设为检测并记录日志 试运行一周 每天观察并判断哪些是真正的攻击 哪些是误报 将误报的策略从策略组删除或进行调整 TopIDP的安装 TopIDP的安装 软件安装 此时安装程序会检测是否已经安装过低版本的TopIDP客户端软件 如果安装过 安装程序会自动将其卸载 软件安装后须重新启动计算机 TopIDP的安装 软件界面 项目区 向用户提供类似资源管理器的树型列表 实时运行记录 当TopIDP系统截获与设置的安全策略相匹配的数据报文时 将在此窗口显示相应的信息 系统配置区 用户在导航菜单选择不同的菜单时 在右侧界面显示相应模块的配置信息 用户可以在此对配置信息进行查看 添加 修改 删除以及其他的管理工作 显示区 实时显示网络 端口 系统 邮件运行状况 开启实时记录查看功能 关闭实时记录查看功能 将窗口当前的记录全部清空 TopIDP的产品简介TopIDP的安装TopIDP配置TopIDP的常见问题 内容 基本配置 网络 网络组对象管理时间对象管理用户 用户组对象管理 用户名 报警对象管理路由 NAT 端口转换设置接口地址设置检测 阻断策略设置查看综合报表查看详细日志 系统日志查看配置日志 认证日志 完整性检查日志 网络 网络组对象管理 网络 网络组对象管理 掩码方式可以对独立网段的每个分段 特定主机进行限定 掩码方式下ip地址数量由子网掩码值决定 图中所示设定确定后将自动变更为192 168 1 0网段 而不是192 168 1 100的IP 或特定网段的每个组 掩码方式可以对特定网段的每个组进行限定 时间对象管理 时间对象管理 星期选项条目与日期选项相对应 用户 用户组对象管理 用户 用户组对象管理 用户密码前两位必须为字母 且密码至少要包含两位数字 新建用户密码可以为空 但是空密码用户不能使用 新建用户必须添加用户权限后才能登录 用户的ID名称 可以使用最多20个大写或小写字母来命名 不能含有 字符 含有这些字符时无法完成输入 对用户按照属性进行分类管理时需要输入 否则无法在系统管理处查看该用户相关属性及策略 为了密码的安全有必要周期性的进行修改密码 指定期限后 如过了期限将不能再使用该ID 选择 终止 时可以设定该用户的有效期 无效 A 是指该用户不能使用 锁定 L 是当用户的识别出现问题时 只有管理员解除锁定才能再次使用 如果想用电子邮件接收报警信息 就要在 E mail E 里输入电子邮件的地址 报警对象管理 报警对象管理 TopIDP目前支持声音报警 屏幕报警及邮件报警三种报警方式 硬盘空间不足报警 数据完整性破坏报警 用户登录异常报警 HA时备机切换成主机时报警 HA时主机切换成备机时报警 自动备份报警 Bypass inline状态切换报警 路由设置 路由设置 仅适用于TopIDP2308 添加WAN LAN DMZ口IP后相关路由自动生成无需设置 NAT设置 NAT设置 仅适用于TopIDP2308 LAN访问外网必须设置NAT 端口转换设置 端口转换设置 仅适用于TopIDP2308 WAN访问 必须设置端口转换 接口地址设置 接口地址设置 设置防火墙WAN LAN DMZ口时需设置网口MAC地址 否则无法使用 MAC地址前6位为0 后6位自己定义 防火墙WAN LAN DMZ最多可以设置4个IP地址 管理口必须设好默认网关 DNS服务器并能连通internet才能够进行在线升级 注册 邮件病毒过滤 管理口只能设置一个IP地址 添加新的IP地址须删除原IP地址 检测 阻断设置 检测 阻断设置 界面 选择策略生效的模块和端口 可以选择某个特定的端口或几个端口的组合 设置检测数据的源与目的网络 可以选择网络对象或网络组 无效的网络组无法应用 设置应用的策略对象 可以选择策略对象或策略组对象 无效的策略组无法应用 响应方式可以选择检测 阻断 检测并记录日志 阻断并记录日志 检测并记录数据 阻断并记录数据 其中检测 阻断不记录日志也不记录数据包 检测并记录日志与阻断并记录日志仅记录日志 不记录数据包 检测并记录数据与阻断并记录数据不仅记录日志 而且记录数据包 设置策略的生效时段 新策略添加后必须保存 应用后才能生效 系统调试信息 设置某条策略的颜色 查看综合报表 综合报表分类标准报表时间段报表日报表周报表月报表 综合报表的分类 查看综合报表 标准报表分为以下几种 网络使用情况 Mbps 网络使用情况 帧 字节分类报表允许帧和阻断帧变化报表病毒报表 标准报表 查看综合报表 时间段报表分为以下几种 Top10攻击类型Top10受攻击主机Top10攻击者Top10病毒类型Top10接收病毒邮件地址Top10发送邮件病毒地址 时间段报表 查看综合报表 日报表分为以下几种 攻击事件 流量Top10攻击类型Top10受攻击主机Top10攻击者Top10病毒类型Top10接收病毒邮件地址Top10发送病毒邮件地址事件数量和上一天相比 日报表 查看综合报表 周报表分为以下几种 攻击事件 流量事件数量和上周相比 周报表 查看综合报表 月报表分为以下几种 所有检测 阻断列表按照类型阻断 检测个数按照类型阻断 检测流量 月报表 查看详细日志 系统日志 详细日志 是在检测 阻断的响应方式中选择了记录所有数据时 流经IPS的数据在符合条件时记录的数据 邮件日志 病毒邮件记录 详细日志 邮件日志 查看详细日志 系统日志 系统日志包含以下几种 邮件日志 正常邮件日志引擎管理 硬件加速卡启动 停止日志日志信息 系统启动 关闭日志自动备份 详细日志 邮件日志自动备份时的日志报警信息 报警日志 系统日志 查看配置日志 认证日志 完整性检查日志 配置日志包含配置记录及自动更新日志两种 其中配置记录包含配置菜单中的操作及工具菜单中选项菜单中的操作 实时更新日志记录系统升级信息 认证日志包含用户登录 注销的记录信息完整性日志包含手动完整性检查的日志和自动完整性检查的日志 配置日志 认证日志 完整性检查日志 高级配置 自定义策略恢复出厂配置异常配置Syslog配置 自定义策略 转向代理服务器 仅邮件病毒过滤时需要 目前仅支持TCP UDP ICMP协议 内容过滤 7层过滤时需设置 偏移 54 深度 0 内容 攻击特征 5F75702E657865 长度7 自定义策略 目的端口 5554 源端口使用默认1024 65635即可 长度 默认0 65535 恢复出厂配置 USBkey恢复内容 1 出厂IP地址 192 168 1 2542 superman密码3 inbound outbound设置注意事项 启动后第一次恢复时 插入USBkey即可 第二次恢复时需重新启动系统 待系统启动完成后插入USBkey即可 配置中所有选项工具菜单中内容变更 管理口IP地址 日志 异常配置 异常配置 1 针对源主机 目的主机及TCP UDP ICMP协议配置Dos DDos检测策略以及处理方式2 设置针对某台主机或某个网络的某个策略的异常例外处理 阻断 检测 限制流量 Summarylog 在日志中仅记录流量统计信息 Detaillog 在日志中记录流量详细信息 PacketDump 对流量数据包进行转储到详细日志 syslog配置 配置Syslog服务器设置 配置完成后点击确定系统即可发送syslog日志 TopIDP的产品简介TopIDP的安装TopIDP详细配置TopIDP的常见问题 内容 Q 设备无法ping通 且telnet也无法连接时怎么办 A 首先检查系统的网络连线是否正确 如果连接正确 请尝试使用USBkey恢复系统出厂IP 恢复方法参考 恢复出厂设置项 如果恢复出厂IP后仍然无法ping通 请将问题设备返厂维修 Q TopIDP能不能拦截未知攻击 A 可以 我们的产品对未知攻击的防御是采用异常设置 设置之后 正常的数据包可以通行 非正常数据包则被拦截 TopIDP的常见问题 Q 为什么不能在线升级 A 1 检查工具 选项 实时更新选项中的策略是否打勾 升级服务器设置是否正确 2 检查工具 选项 系统选项的出站连接的TCP80端口和TCP3939端口是否打开 Q 为什么新添加策略后无法应用到系统 A 应该是新添加的策略有无效项导致的 解决方法 1 检查源 目的网络或网络组是否有效 2 检测策略组是否有效 TopIDP的常见问题 谢谢