設備安全–IPS部署與維護

IPS—網絡入侵防護系統

1.入侵檢測技術

攻擊手段最多的是應用層，而IPS就是一款防御應用層攻擊的系統。
1.產生該技術的背景：
（1）外部攻擊眾多—外部黑客會不停進行攻擊
（2）內部威脅增多—內部人員的不正當操作
（3）防火墻的局限—防火墻工作在網絡層并不能對應用層的攻擊進行有效的防護
（4）各種應用紛雜—各種小公司的一些應用的安全并不能保證安全
2.入侵檢測技術的工作流程
數據經由主機與網絡經過的時候，先進行數據采集采集完成后進行數據的檢測與分析，倘若檢測時，檢測出數據中攜帶庫中的原型，則會進行報警與響應。
3.NIPS的體系架構–內置庫需要經常進行升級更新
具體可以達到的功能：
入侵防護、抗D.o.s攻擊、數據泄露防護、高級威脅防御、信譽、URL過濾、防病毒、用戶管理、應用管理、流量控制（系統規則（攻擊特征庫）、信譽庫（惡意網站）、URL分類（URL分類庫））
分為五個大的模塊：
（1）高性能多核硬件平臺
（2）數通引擎（1-4層）—負責轉發流量
功能：IP碎片重組、流匯聚、TCP狀態跟蹤、數據捕獲
（3）安全引擎（4-7層）—應用層的防護
功能：協議的識別、分析、檢測
（4）安全響應模塊
功能：包丟棄、會話阻斷、記錄日志、報警顯示、郵件報警、協議回放、互動接口、自定義命令
（5）管理模塊
功能：賬號管理、配置管理、策略管理、事件管理、日志管理、系統監控
.4.匹配方式
（1）基于特征
[50363] windows SMB協議用戶認證失敗（如果一段時間內錯誤次數達到設定最大值）則進行（2）
（2）基于統計（ddos、暴力猜測–猜測在猜測密碼）
[20384] windows SMB暴力猜測用戶口令
5.產品實施流程
調研階段：
客戶拓撲、部署方式
客戶環境，例如是否有MTU大于2048的流量穿過設備
實施步驟
基本參數配置：系統時間、賬號、DNS、安全中心、接口配置
設備上架
設備連線
功能調試：測試網絡連通性、測試阻斷/告警等
6.默認用戶

用戶名稱	web操作員	web審計員	console口管理員
用戶名	admin	auditor	conadmin
密碼	admin	auditor	conadmin

注意：
1.admin即為設備管理員，具有最高權限
2.實施完畢請告知客戶admin和auditor的用戶名和密碼，并及時修改默認密碼。
3.conadmin密碼修改視情況而定，一般不修改。（如果修改后忘記，找回這個密碼比較麻煩）
conadmin（串口）：端口：COM4、波特率115200
可以實現的功能為：查看系統信息、診斷工具、維護工具、系統初始化、重新啟動系統、關閉系統、退出配置界面
7.web登陸
https：//IP地址
默認管理口IP：
M：192.168.1.1/24
H1：192.168.2.1/24
注意：M口和H1口不能配置為同一網段，否則兩個接口都無法ping通
8.NIPS基本參數配置
(1)修改系統時間
1.web界面支持NTP服務器自動同步，也可以手動修改系統時間。
2.系統時間直接關系著告警和入侵事件的日志記錄時間，請力求設置準確。
(2)導入證書
以證書到期的日期為準，到期之前發布的升級都能升級但是到期之后就不能進行升級了
1.初級登錄設備會自動提示導入證書
2.及時核查證書有效期、功能模塊等是否與客戶購買合同一致
3.正式銷售證書請及時備份，拷貝給客戶存檔，如果證書遺失，可以從web頁面導出一份
(3)賬號管理
1.默認只啟用admin賬號，auditor需要手動啟動
2.如果忘記密碼，請到串口下重置
（4）管理口配置
EU的設備只有M口，沒有H口
可管理要選是，之后就能管理該接口了
1.M，H1口為帶外管理口，也可做HA心跳口
2.盡量給管理口配置網關，用作跨網段管理，自動升級等
（5）DNS配置
必須配置
1.自動升級，連接云安全中心必須配置DNS
2.云端獲取信譽庫也會用到DNS
（6）升級配置
升級時要提前和客戶商量好
升級時要查詢升級里面的說明，看看固件是否支持以及軟件版本信息是否滿足
引擎和規則的關系：
（1）當發現不能檢測某種攻擊或某種應用時，不光要升級規則庫，還要同時升級引擎，才能保證檢測的準確性
（2）從V5.6.6版本開始，規則庫的升級對引擎版本有依賴性（依賴：引擎版本不升級到最新及時規則庫卻升級到最新，依然無法檢測出規則）
校驗：在系統命令行（cmd）里面輸入：certutil -hashfile 文件路徑 md5------所產生的結果和網頁上一致則可以進行升級，之后在離線升級里面選擇文件上傳（不要因為卡住而直接關閉，用其余瀏覽器登錄查看是否是頁面卡住了）
1.上線前請先升級至最新版本
2.引擎升級會導致設備引擎重啟，導致少量丟包，在線升級盡量不要自動升級引擎
3.自動升級時間可以選擇其他時間，避免周一–00：00的升級高峰
（7）連接安全中心
一共只能有一萬條日志
一次只能查看一千條日志
1.連接安全中心需配置本地IP地址
2.NIPS可以聯動ESPC，云安全中心和BSA
3.連接安全中心并非必須，單獨的NIPS也可以正常工作，但因為單機內部存儲很小，所以日志不能保存很長時間
4.ESPC的安裝方法和設備添加方法見ESPC培訓
9.NIPS典型拓撲
（1）直通部署
數據準備：帶外管理口地址和網關地址
配置思路：
1.安全區配置
設備配置
5610F01版本接口配置
（1）安全區配置（選擇“網絡>安全區”）
（2）接口配置（選擇Direct-A，接口可配可不配（G3/4口），M口要配置地址和網關）
5610F02版本接口配置
（1）安全區配置（選擇"網絡>安全區"類型選擇為vwire且有虛擬線）
（2）接口配置（接口類型選擇虛擬線，安全區也選擇虛擬線）
（3）添加虛擬線（記住選擇接口鏈路狀態同步，MTU=1500）記著要點應用
監聽配置
（1）安全區配置（選擇“網絡>安全區”）類型選擇monitor
（2）接口配置（選擇“網絡>接口”）M口配置地址
2.虛擬線配置
3.應用配置，使配置生效
10.NIPS的首頁組成
系統狀態
引擎狀態：綠色代表是啟動的，黃色代表停止或調試（此狀態下是不會進行防護的）
證書：查看是否過期
版本信息
一定要把版本升級到最新
接口信息
接口如果是綠色代表正常運行，如果為紅色代表不能正常運行
流量監控

2.上線配置

1.對于一般用戶
（1）NIPS/NIDS上線時，僅需修改管理口地址及網關，并應用配置，不需要進行額外配置
（2）NIPS/NIDS默認出廠時接口安全區為direct或者monitor，以及一條入侵防護策略
（3）NIPS/NIDS默認沒有硬盤，日志存儲在內存中（最多存儲10000條，界面顯示1000條），重啟后日志會被清空，建議上線時聯動ESPC
2.對于高級用戶
除對一般用戶的配置外，還可以根據需要配置其他策略模塊
3.策略模塊的分類
IPS/IDS–綠盟入侵防護/檢測系統
數據泄露防護
入侵防御檢測
信譽
URL分類
應用管理
流量管理
防病毒
用戶管理
高級威脅防護
4.策略-入侵檢測防護的作用
（1）有效識別并阻斷網絡攻擊，蠕蟲和病毒傳播
（2）靈活的策略配置：基于安全區，源目的IP/MAC，時間等
5.系統規則庫模板
Defauit：適用于大多環境（一般都使用這個）告警>阻斷>隔離（關到小黑屋–禁閉時間30min）
DMZ區服務器：所有攻擊類型規則，使用TFTP/RIP/NETBIOS/NFS和WINS的利用漏洞攻擊規則除外
內網客戶端：所有攻擊規則，使用RIP和路由協議的利用漏洞攻擊規則除外
web服務器：所有偵測和DOS攻擊規則/一般后門程序以及使用DNS/HTTP/FTP協議的利用漏洞攻擊規則
windows服務器：受影響的操作系統包括windows的所有攻擊規則
通用服務器：所有偵測和DOS攻擊規則，一般后門程序以及使用DNS/SMTP/POP3/IMAP/DNS和NFS/RPC和NETBIOS/SMB協議的利用漏洞攻擊規則
UNIX類服務器:受影響的操作系統包括UNIX、Linux、Solaris的所有攻擊規則
系統規則模板
內置模板：按防護的對象進行劃分
內置模板的使用場景：一般用戶采用系統內置模板即可，根據可靠度已經選擇好需要阻斷的規則；并可根據防護的對象選擇對應的分類
派生模板：由內置模板派生
派生模板的使用場景：想要額外阻斷或者不阻斷某條具體規則時，可以派生出一個新的模板，并進行阻斷動作的修改
用戶規則模板： 由用戶自己選擇規則
**用戶規則模板的使用場景：**可以增加或者減少規則，以及添加自定義規則，適用于更高級的用戶
6.策略–入侵檢測/防護
主要配置步驟
1.選擇安全區
2.選擇源目的對象
3.選擇規則模板
4.選擇是否啟用阻斷功能
5.應用配置，使配置生效
隔離功能：
（1）啟動防護，在一段時間內丟棄觸發規則的攻擊源IP到目的IP的數據包
（2）dynamic_isolation_time隔離時間，一般默認為30min（是可以進行人為修改的）
（3）觸發隔離后，在日志中的圖標會顯示為隔離，而非阻斷
（4）首頁入侵防護告警事件中可以取消隔離
例外規則
（1）針對某個地址對象的某個規則白名單
（2）例外規則是全局規劃，針對所有鏈路，所有IP生效
入侵防護–DOS防護
參數含義：
檢測閾值：設定的報文閾值
檢測周期：設定的時間閾值
復位時間：每隔設定時間將統計告警的表項清零，一般不改
保護時間：防護的時間，即限流的時間
限制流量：開啟防護后，允許通過的每秒包的數量。不包括正常通信流中所占的pps，只限制符合告警條件的包
注意事項：（1）默認的閾值較大，在進行測試時要適當調整閾值（2）一般不建議開啟自動保護功能，可能會有誤阻斷（3）告警在入侵防護日志中進行查詢
數據泄露防護
概念：數據泄露防護功能對內網進行有效的安全防護，可以防止內網敏感數據的泄露、防止某些文件的外發，可以監控服務器的非法外聯行為，以防止攻擊者通過服務器進行跳轉攻擊
包含三個部分：
敏感數據保護
敏感數據保護可以防止內部敏感數據（電話、身份證、銀行卡）的外泄，在網絡流中（HTTP、FTP、EMAIL）發現大量的敏感數據外傳時（全局閾值超過時），NGIPS會阻斷外傳行為，并產生告警日志，啟示用戶內網存在敏感資源外泄行為
文件識別
文件識別可以防止內部特定格式的文件的外發，例如在專利局部門中，為了防止專利文檔被惡意獲取并傳到外部，需要監控PDF格式或圖片格式文件的外發
文件識別配置
（1）新建網絡對象
（2）新建時間對象
（3）新建文件識別策略，選擇文件類型
路徑：策略–數據泄露防護–文件識別—新建
服務器異常防護
軟件BYPASS
作用：即調試模式，安全引擎不再工作，但數通引擎仍舊正常工作（DDOS策略依然生效）
硬件BYPASS可用條件必須在串口關閉
（1）硬件BYPASS：bypass的兩個端口物理連通，變成一根網線，用戶的數據流量可以直接通過設備，不受設備自身當前狀態的影響
（2）設備帶BYPASS板卡：1.板載電口支持bypass 2.部分版本和型號支持光板卡bypass，V567及以前版本光口bypass必須使用外置光bypass交換機
（3）經過IPS一路流量經過一對板卡標識的bypass口
硬件bypass啟動條件
（1）人工在web頁面設置開啟bypass—重啟設備生效，bypass燈亮起，網卡燈不亮
（2）IPS處于掉電狀態----bypass燈熄滅，網卡燈熄滅
（3）IPS系統啟動過程—bypass燈亮，網卡燈熄滅
（4）數通引擎異常-----bypass燈亮起，網卡燈熄滅

串口功能
登錄串口后常用的功能：
1.查看/修改接口IP地址
2.修改設備時間
3.恢復系統
4.初始化配置
5.重置web管理員賬戶（不能解除已經被鎖定的IP）
說明：
鎖定IP：換IP登錄或等待鎖定時間結束
鎖定賬號：重啟系統
為什么要做策略優化
1.大量的低風險事件、不關注事件、誤報事件掩蓋了真正的攻擊事件
2.日志分析時，用戶無法從大量的告警信息中找出真正的攻擊事件，處理低風險事件浪費大量時間
緊急情況—網絡中斷
如果客戶網絡十分重要，對斷網時間有嚴格的要求，一定要以恢復客戶網絡為優先！！
如果是直通部署，將設備進入調試模式或直接跳過
如果是三層部署，將配置文件和設備運行狀態文件導出后，重啟設備
診斷工具
（1）回放測試
回放測試功能—檢驗策略有沒有生效
注意：回放接口只能是monitor口
（2）專家診斷
用于映射設備后臺
前提：遠程協助已開啟
證書常見的問題
1.導入時提示無效
（1）檢查序列號和hash值是否一致
（2）設備系統時間和當前是否一致
（3）申請的證書起始或者截至時間錯誤
（4）證書申請錯誤
V5.6.8以后零配置–默認接口
除M口（千兆設備還包括H1口）外，NIPS的其他接口IP默認為0.0.0.0，安全區默認為direct
除M口（千兆設備還包括H1口）外，NIDS的其他接口IP默認為0.0.0.0，安全區默認為monitor
證書過期
5.6.3~5.6.8
測試/試用證書過期：無法登錄web界面，策略生效
正式證書過期：策略生效，但不可升級
5.6.9及以后
測試/試用證書過期：無法登錄web界面，策略不生效（DOS防護除外）
正式證書過期，策略生效，但不可升級
修改接口生效方式
5.6.6及以前：重啟引擎
5.6.10及以后：應用配置
重啟引擎時是否會斷網
1.如果接口信息沒有更改過，不會斷，網卡不會重協商
2.如果接口信息修改過，會丟一兩個ping包，因為ping對延時較敏感
安全中心
5.6.6及以前：ESPCv6（windows）
5.6.9及以后：ESPCv7（linux）

總結

以上是生活随笔為你收集整理的设备安全--IPS部署与维护的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。