杭州迪普科技有限公司

2011年07月

目  录

DPtech IPS2000开局指导    1

第1章 前期调研    1

1.1 调研内容    1

1.2 确定部署方案    2

第2章 实施步骤    3

2.1 准备工作    3

2.2 部署条件    3

2.3 安装断掉保护PFP（如需安装）    3

2.4 实施方案    4

2.4.1 基本配置方案1-旁路部署    4

2.4.2 基本配置方案2-透明部署    8

2.4.3 基本配置方案3-混合部署    11

2.4.4 扩展配置    12

2.4.5 高级配置    13

2.4.6 其他配置    14

第3章 实施注意事项    18

第1章  前期调研

1.1  调研内容

根据调研及交流的结果，确定物理部署位置、逻辑部署位置、开启功能策略等

第2章  实施步骤

2.1  准备工作

向用户介绍入侵防御系统实施内容、产品

与用户沟通入侵防御系统实际部署时间

2.2  部署条件

设备正常启动

连接线（双绞线、光纤等）正常可用

部署机柜满足部署条件（机柜空间、插座数、功率载荷）

管理地址已分配，且满足互通等要求

确定部署方式（组网模式、部署链路数）

2.3  安装断掉保护PFP（如需安装）

将PFP插卡板安装在PFP主机上

将内网连接线（如SW引出）连接至PFP“1”口，连接线（如FW引出）连接至PFP“4”口，流量于1——4间物理透传，此时验证网络畅通性

PFP插板“2、3”口平行连接IPS主机“A、B”口 ，即实施后的流量流向应为：局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网，链路上下行连接错误，会导致日志分析异常

此时切忌连接PFP主机与IPS主机的“USB”连接线，需完成全部功能配置后，再连接“USB”连接线

2.4  实施方案

2.4.1  基本配置方案1-旁路部署

组网拓扑图

注意：此模式下只做检测，不做控制

PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：admin

在【网络管理】->【组网模式】中，修改某一接口对组网模式为“旁路模式”

注意：如上图所示，eth1/0与eth1/1接口对组网模式改为旁路模式后，此接口将无接口对概念，eth1/0与eth1/1存在，且均可作为旁路检测接口

在【网络管理】->【网络用户组】中，添加IP用户组 

如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由 

在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口 

在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514） 

在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9502） 

在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator 

在【设备管理】->【设备列表】中，添加IPS设备 

在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计） 

在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看） 

2.4.2  基本配置方案2-透明部署

PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：admin

在【网络管理】->【网络用户组】中，添加IP用户组 

如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由 

在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口 

在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514） 

在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9502） 

在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator 

在【设备管理】->【设备列表】中，添加IPS设备 

在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计） 

在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看） 

2.4.3  基本配置方案3-混合部署

如上图所示，eth1/0与eth1/1为旁路模式，可做旁路检测（IDS）；eth1/2与eth1/3，eth1/4与eth1/5为在线模式，存在接口对概念，可做在线检测（IPS）；即实现了同时在线检测与旁路检测的混合模式

2.4.4  扩展配置

【防病毒】，在【常用功能】->【防病毒】中，添加防病毒策略；下图策略为：从eth1/0与eth1/1接口流入的流量，进行防病毒策略的安全匹配（流行度概念，请参见用户手册）

【带宽限速】，在【扩展功能】->【应用防火墙】->【网络应用带宽限速】中，添加带宽限速策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，P2P限速5000kbps（注意单位）；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，P2P限速5000kbps（注意单位）

【访问控制】，在【扩展功能】->【应用防火墙】->【网络应用访问控制】中，添加访问控制策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，阻断网络应用-即时通讯；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，阻断网络应用-即时通讯

【URL】，在【扩展功能】->【应用防火墙】->【URL过滤】中，添加URL过滤策略；下图策略为：从eth1/0接口流入，且源IP组为test的流量，对主机名为www.baidu.com的URL进行过滤

2.4.5  高级配置

端口捆绑（注意：虚接口绑定遵循上下行，即上行口不能与下行口绑定）

自定义IPS特征（根据报文参数，自定义设置IPS特征，并引入到IPS策略）

带宽限速/访问控制自定义应用组（创建自定义网络应用组后，可应用到带宽限速/访问控制策略中）

URL分类库及推送配置（注意：此功能在有URL License，且已经导入URL特征库的情况下，方可使用）

2.4.6  其他配置

添加管理员，并设置管理权限

设置Web访问协议参数

导入/出配置文件，需重启（推荐在同一软件版本下使用）

修改接口同步状态（注意：当开启接口同步状态下，当接口对中的eth1/0口down后，在数秒种后，eth1/1口的管理状态会dwon，如恢复管理状态需在console口下操作，重新no shutdown该接口状态）

创建IP用户组，IP用户群，IP用户簇（IP可实现分级管理，并应用到策略）

Web页面修改管理口地址

软件bypass，开启后流量不做安全检测（VIP流量概念，请参见用户手册）

黑名单

基础DDos配置（添加防护网段配置后，根据网络情况，下发DDos防护策略）

基本攻击防护策略

第3章  

实施注意事项

管理服务器的安全性 

管理服务器安装Windows2003 Server或者Windows2008操作系统后，管理员一定要确保对Windows进行重要安全补丁修补，规范操作系统口令和密码设置，保证正常启动运行。

管理员应定期对服务器杀毒系统进行升级并进行全机扫描以确保本服务器无病毒。

在安装集中管理软件时，需要增加自启动选项，部分杀毒软件会给出提示信息，需要手动确认。

网络中防火墙的设置注意事项 

集中管理服务器与入侵防御系统之间存在的防火墙，要求开启9502、9514、9516、69、9503、9030、9504、9505、9501端口。

入侵防御系统接口配置 

初次上线需观察接口参数（接口管理状态、接口链路状态、速率、双工）是否正常，入侵防御系统与上下行设备端口的工作模式需要保持一致。下载本文