啟明星辰P系列防火墻產(chǎn)品安裝調(diào)試

P系列防火墻產(chǎn)品安裝調(diào)試啟明星辰網(wǎng)關(guān)本部2014.6目錄12345防火墻基礎(chǔ)功能操作防火墻接入模式簡(jiǎn)介防火墻路由功能配置簡(jiǎn)介防火墻高可用性功能原理及配置簡(jiǎn)介入侵防護(hù)，病毒防護(hù)，反垃圾郵件配置簡(jiǎn)介第一章防火墻基礎(chǔ)功能操作登陸管理日志管理配置導(dǎo)入導(dǎo)出批處理的使用登陸管理console口管理設(shè)置CRT或者超級(jí)終端屬性：—設(shè)置serialport連接工具(e.g.微軟超級(jí)終端)—ConnectRS-232—波特率9600,8bits,Noparity,1stopbit如圖：登陸管理SSH管理和Telnet管理防火墻默認(rèn)關(guān)閉該功能，需要通過(guò)WEB管理方式或者命令行方式手動(dòng)開啟。一旦開啟以后，該登陸方式適用于防火墻上的所有的三層接口一、WEB管理方式開啟系統(tǒng)管理——管理員設(shè)置——設(shè)置——開啟SSH或者Telnet二、命令行管理方式開啟登陸管理啟用GUI管理設(shè)備出廠時(shí)默認(rèn)只允許IP地址為00/49、00的PC對(duì)防火墻過(guò)街GUI管理。出廠時(shí)eth0接口的默認(rèn)IP為54。一、WEB方式添加管理主機(jī)系統(tǒng)管理——管理員設(shè)置——管理主機(jī)二、命令行方式添加管理主機(jī)登陸管理GUI管理P系統(tǒng)防火墻使用HTTPS方式登陸，使用8889端口。同時(shí)需要使用證書認(rèn)證。一、安裝管理員證書二、登陸防火墻URL：https://IPv4地址：8889user:administratorpass:bane@7766三、特殊情況應(yīng)對(duì)當(dāng)遇到?jīng)]有安裝證書，但又需要通過(guò)GUI方式管理防火墻時(shí)，可以通過(guò)在后臺(tái)輸入命令（命令可以咨詢400或者專家支持）然后直接通過(guò)8888接口管理防火墻，但這種方式在重啟設(shè)備后會(huì)失效URL：https://IPv4地址：8888日志管理日志查看防火墻日志包括系統(tǒng)日志及功能模塊日志。系統(tǒng)日志是防火墻自身產(chǎn)生的信息，如管理員管理日志和設(shè)備狀態(tài)日志（如接口up/down）；功能模塊日志是防火墻功能模塊啟用后產(chǎn)生的信息，如HA日志、IPS日志、包過(guò)濾日志，這類日志需要防火墻對(duì)應(yīng)的功能模塊啟動(dòng)日志記錄功能。日志——日志訪問(wèn)——日志查看日志管理日志服務(wù)器配置由于防火墻本身的存儲(chǔ)空間有限，最多只能提供10M的大小空間（10M空間用完后可以選擇停止存儲(chǔ)日志或者覆蓋日志），當(dāng)需要保存更多的日志信息時(shí)，需要將防火墻連接日志服務(wù)器，將日志傳輸給日志服務(wù)器（如syslog服務(wù)器或者安管服務(wù)器）。日志——日志配置——日志服務(wù)器配置導(dǎo)入導(dǎo)出配置導(dǎo)出在導(dǎo)出配置前，對(duì)防火墻的配置進(jìn)行保存，即可以通過(guò)WEB頁(yè)面保存，也可以通過(guò)newconfigsave保存，如圖：配置導(dǎo)入導(dǎo)出配置導(dǎo)出系統(tǒng)管理——維護(hù)——備份與恢復(fù)——導(dǎo)出全部配置配置導(dǎo)入導(dǎo)出配置導(dǎo)入配置導(dǎo)入功能在很多場(chǎng)景下可以為操作提供便捷，比如更換或者升級(jí)設(shè)備后，可以很快的使新設(shè)備恢復(fù)配置。系統(tǒng)管理——維護(hù)——備份與恢復(fù)——導(dǎo)入全部配置注意：導(dǎo)入配置后需要重啟網(wǎng)關(guān)，配置才可以生效。版本的配置導(dǎo)入時(shí)，需要為防火墻打上前14個(gè)升級(jí)包，否則只能導(dǎo)入關(guān)鍵配置（NAT配置無(wú)法導(dǎo)入）批處理的使用在好多情況下，我們的配置工作都是重復(fù)操作過(guò)程，如果能將這些操作寫在一個(gè)文件下執(zhí)行，那么對(duì)我們的執(zhí)行效率將大大提高。第一步：獲取命令行格式系統(tǒng)管理——維護(hù)——批處理——?dú)v史記錄最新操作對(duì)應(yīng)的命令行在歷史記錄的最底層顯示批處理的使用第二步：提交批處理命令并執(zhí)行系統(tǒng)管理——維護(hù)——批處理——命令批處理A、獲取相關(guān)命令行以后，可以對(duì)命令行進(jìn)行增量修改（使用excel或者批處理工具）B、將新生成的命令行復(fù)制粘貼到命令批處理文本框內(nèi)，點(diǎn)提交；C、提交完成后，點(diǎn)擊執(zhí)行批處理第二章防火墻接入模式簡(jiǎn)介接口設(shè)備相關(guān)介紹路由&NAT方式接入透明方式接入冗余方式接入Trunk方式接入接口設(shè)備相關(guān)介紹物理設(shè)備對(duì)應(yīng)防火墻外觀上的接口，通過(guò)ethx來(lái)表示。物理設(shè)備可以提供路由模式、透明模式、冗余模式、trunk模式注意：以下介紹的設(shè)備都是代表接口的含義，只是各安全廠商叫法不同接口設(shè)備相關(guān)介紹vlan設(shè)備邏輯接口，與對(duì)應(yīng)的物理接口共享MAC，為數(shù)據(jù)提供doltq封裝，可以提供路由模式和透明模式。配置了vlan設(shè)備后，數(shù)據(jù)在離開防火墻時(shí)會(huì)被封裝對(duì)應(yīng)的vlanID接口設(shè)備相關(guān)介紹vlan設(shè)備src:00dst:54vlan100src:0000.0000.0001dst:0000.0000.0002src:00dst:54vlan100src:0000.0000.0001dst:0000.0000.0002接口設(shè)備相關(guān)介紹橋設(shè)備邏輯接口，可以將多個(gè)透明模式的設(shè)備劃到同一個(gè)區(qū)域內(nèi)，除了透明模式的物理設(shè)備可以被劃到橋設(shè)備以外，透明的vlan設(shè)備也可以被劃到橋設(shè)備內(nèi)。接口設(shè)備相關(guān)介紹別名設(shè)備邏輯接口，與對(duì)應(yīng)的物理設(shè)備共享MAC，相當(dāng)于cisco的secondryIP。目的是給三層設(shè)備接口（包括物理接口和邏輯接口）配置多個(gè)IP地址。接口設(shè)備相關(guān)介紹冗余設(shè)備邏輯接口，將多個(gè)物理設(shè)備綁定起來(lái)，組成一個(gè)邏輯接口。冗余的方式有輪循方式、熱備方式及802.3ad（LACP），其中輪循和熱備方式都為靜態(tài)方式，802.3ad為動(dòng)態(tài)方式。接口設(shè)備相關(guān)介紹接口引用關(guān)系1、物理設(shè)備可以被所有其它設(shè)備調(diào)用；2、橋接設(shè)備只能被別名設(shè)備調(diào)用；3、冗余設(shè)備可以被橋設(shè)備、別名設(shè)備、撥號(hào)設(shè)備、VLAN設(shè)備調(diào)用；4、VLAN設(shè)備可以被別名設(shè)備和橋設(shè)備調(diào)用；5、撥號(hào)設(shè)備和別名設(shè)備不能被任何設(shè)備調(diào)用；路由&NAT方式接入C:00eth1：192.168.1.1eth2：eth1eth2一、配置防火墻接口模式及IP路由&NAT方式接入C:00eth1：192.168.1.1eth2：eth1eth2二、配置NAT路由&NAT方式接入C:00eth1：192.168.1.1eth2：eth1eth2三、配置安全策略，允許流量通過(guò)路由&NAT方式配置完成！?。⊥该鞣绞浇尤隒:00brg1：eth1eth2eth1eth2一、設(shè)置接口工作模式，將eth1和eth2劃到brg1下透明方式接入C:0000brg1：eth1eth2eth1eth2二、配置安全策略，放通流量透明方式配置完成?。?！冗余方式接入eth1eth2eth1eth2bond1：bond1：一、設(shè)置接口模式冗余方式接入eth1eth2eth1eth2bond1：bond1：二、創(chuàng)建冗余設(shè)備，并為冗余設(shè)備配IP冗余方式配置完成?。?！Trunk方式接入vlan100---200vlan100---200trunktrunketh1eth2方式一：防火墻的eth1、eth2配置為trunk模式，并將他們劃到同一個(gè)透明橋內(nèi)Trunk方式接入vlan100---200vlan100---200trunktrunketh1eth2方式二：將eth1和eth2劃入透明橋，再放通帶vlan的流量防火墻——安全選項(xiàng)——二層協(xié)議包過(guò)濾策略Trunk方式配置完成?。?！第三章防火墻路由功能配置簡(jiǎn)介靜態(tài)路由OSPF策略路由&ISP路由靜態(tài)路由默認(rèn)路由支持多默認(rèn)路由負(fù)載均衡支持基于狀態(tài)回包支持默認(rèn)網(wǎng)關(guān)探測(cè)機(jī)制靜態(tài)路由默認(rèn)路由——負(fù)載均衡注釋：這個(gè)功能主要適用于內(nèi)網(wǎng)向外網(wǎng)發(fā)起的訪問(wèn)靜態(tài)路由默認(rèn)路由——基于狀態(tài)回包注釋：這個(gè)功能主要適用于外網(wǎng)向內(nèi)網(wǎng)發(fā)起的訪問(wèn)，原因在于不同運(yùn)營(yíng)商之間可能存在路由不可達(dá)問(wèn)題，基于狀態(tài)回包可以將風(fēng)險(xiǎn)降到最低。即使回包時(shí)能被策略路由匹配，也不會(huì)選擇策略路由轉(zhuǎn)發(fā)。靜態(tài)路由默認(rèn)路由——網(wǎng)關(guān)探測(cè)注釋：默認(rèn)路由網(wǎng)關(guān)探測(cè)可以使防火墻以最快的速度感知到故障的鏈路，使對(duì)應(yīng)的默認(rèn)路由失效，從而保證多出口網(wǎng)絡(luò)的穩(wěn)定性。探測(cè)方式為ICMP和ARP探測(cè)。靜態(tài)路由默認(rèn)路由——網(wǎng)關(guān)探測(cè)注釋：默認(rèn)路由網(wǎng)關(guān)探測(cè)可以使防火墻以最快的速度感知到故障的鏈路，使對(duì)應(yīng)的默認(rèn)路由失效，從而保證多出口網(wǎng)絡(luò)的穩(wěn)定性。探測(cè)方式為ICMP和ARP探測(cè)。靜態(tài)路由默認(rèn)路由——配置路由管理——基本路由——默認(rèn)路由監(jiān)測(cè)頻率：防火墻向網(wǎng)關(guān)發(fā)送ICMP或者ARP報(bào)文的頻率metric：相同路由之間區(qū)分優(yōu)先級(jí)，越小越優(yōu)先權(quán)重值：兩條路由相同且metic也相同的情況下，分擔(dān)流量的比重靜態(tài)路由靜態(tài)路由路由管理——基本路由——靜態(tài)路由表OSPFOSPF介紹OSPF（開放最短路徑優(yōu)先），像所有鏈路狀態(tài)協(xié)議一樣，OSPF協(xié)議和距離矢量協(xié)議相比，主要的改善在于它的快速收斂，這使得OSPF協(xié)議可以支持更大型的網(wǎng)絡(luò)。OSPF通過(guò)各類LSA信息學(xué)習(xí)全網(wǎng)的路由，然后每臺(tái)運(yùn)行OSPF的路由器再根據(jù)SPF算法計(jì)算自己去往其它節(jié)點(diǎn)的最短路徑。防火墻目前使用的OSPF是采用zebra軟件實(shí)現(xiàn)，zebra是一種標(biāo)準(zhǔn)的開源軟件。因此我們的OSPF可以滿足一般企業(yè)網(wǎng)的使用需要，保存的路由條目不受限制，只與各型號(hào)設(shè)備的內(nèi)存有關(guān)。除了支持骨干區(qū)域、普通區(qū)域、stub區(qū)域之外，還支持接口認(rèn)證、區(qū)域認(rèn)證和路由重發(fā)布。同時(shí)也支持OSPFv3。注意：防火墻廠商對(duì)于OSPF的支持度不如路由器廠商，在雙機(jī)情況下不建議使用OSPFOSPFOSPF配置

此時(shí)的防火墻被部署在骨干區(qū)域內(nèi)，充當(dāng)骨干router，需要維護(hù)整個(gè)Area0區(qū)域的LSA。防火墻需要分別在3個(gè)接口上啟用OSPF，因此將/24、/24、/24發(fā)布出去OSPFOSPF后臺(tái)配置一、后臺(tái)輸入advrouteterminalospf二、通過(guò)cisco路由器的命令行方式進(jìn)行調(diào)試策略路由&ISP路由策略路由介紹和其它路由協(xié)議一樣，策略路由也需要查找路由表，只不過(guò)策略路由的優(yōu)先級(jí)比其它路由（靜態(tài)路由、動(dòng)態(tài)路由）更優(yōu)先。ISP路由是策略路由的一種，是基于運(yùn)營(yíng)商維護(hù)的地址段進(jìn)行維護(hù)的。防火墻中各種路由協(xié)議的優(yōu)先級(jí)排序如下：ISP路由>策略路由>靜態(tài)路由>動(dòng)態(tài)路由>默認(rèn)路由注釋：只有在防火墻運(yùn)行默認(rèn)路由的基于狀態(tài)回包功能后，策略路由才不會(huì)被優(yōu)先匹配策略路由&ISP路由策略路由介紹防火墻后臺(tái)一共維護(hù)著256張路由表：table254維護(hù)著一些基礎(chǔ)路由（如靜態(tài)路由、默認(rèn)路由、動(dòng)態(tài)路由等）；

table1——200維護(hù)著策略路由；table201——205維護(hù)著ISP路由（201代表聯(lián)通、202代表電信、203代表教育網(wǎng)、204代表移動(dòng)、205代表自定義）策略路由&ISP路由策略路由配置一、新建高級(jí)路由表（定義下一跳）路由管理——策略路由——高級(jí)路由表策略路由&ISP路由策略路由配置二、新建高級(jí)路由策略路由管理——策略路由——高級(jí)路由策略策略路由配置完成！??！策略路由&ISP路由ISP路由配置一、添加ISP地址路由管理——ISP路由——ISP地址——操作——更新運(yùn)營(yíng)商地址可以從互聯(lián)網(wǎng)上下載，同時(shí)也可以自己編輯。如果是自己編輯的話則可以先創(chuàng)建一個(gè)txt文檔，然后在txt文檔內(nèi)編輯上運(yùn)營(yíng)商網(wǎng)段，格式如下：/。策略路由&ISP路由ISP路由配置二、配置ISP路由表路由管理——ISP路由——ISP路由表——新建第四章防火墻高可用性雙機(jī)熱備會(huì)話保護(hù)端口聯(lián)動(dòng)VRRP雙機(jī)熱備雙機(jī)熱備介紹防火墻雙機(jī)熱備功能（HA），可以提高防火墻的可靠性，保證網(wǎng)絡(luò)更加穩(wěn)定。雙機(jī)熱備的原理是讓兩臺(tái)防火墻時(shí)刻保持配置一致，會(huì)話一致，以便于在緊急情況下備墻可以接管網(wǎng)絡(luò)。主墻和備墻之間通過(guò)心跳線連接，用于同步配置、同步會(huì)話，以及判斷是否實(shí)施搶占。注意：做HA的兩臺(tái)設(shè)備必須保證同型號(hào)且同版本雙機(jī)熱備雙機(jī)熱備介紹防火墻雙機(jī)熱備功能（HA），可以提高防火墻的可靠性，保證網(wǎng)絡(luò)更加穩(wěn)定。雙機(jī)熱備的原理是讓兩臺(tái)防火墻時(shí)刻保持配置一致，會(huì)話一致，以便于在緊急情況下備墻可以接管網(wǎng)絡(luò)。主墻和備墻之間通過(guò)心跳線連接，用于同步配置、同步會(huì)話，以及判斷是否實(shí)施搶占。注意：做HA的兩臺(tái)設(shè)備必須保證同型號(hào)且同版本雙機(jī)熱備雙機(jī)熱備示意圖心跳線主備雙機(jī)熱備雙機(jī)熱備配置第一步：配置主備墻的HA網(wǎng)口網(wǎng)絡(luò)管理——高可用性——HA網(wǎng)口雙機(jī)熱備雙機(jī)熱備配置第二步：配置雙機(jī)熱備配置網(wǎng)絡(luò)管理——高可用性——雙機(jī)熱備設(shè)置HA標(biāo)識(shí)符：HA集群的標(biāo)識(shí)節(jié)點(diǎn)：區(qū)分集群內(nèi)的防火墻，越小越優(yōu)先開啟搶占：開啟該功能之后，當(dāng)主墻故障恢復(fù)，會(huì)重新?lián)屨?，再次接管網(wǎng)絡(luò)；如果該功能未開啟，則直到備墻出現(xiàn)故障，才會(huì)接管網(wǎng)絡(luò)探測(cè)網(wǎng)口：判斷故障的條件雙機(jī)熱備雙機(jī)熱備配置第三步：保存并重啟備墻，連接心跳線注意：

備墻在配置完后，需要重啟，并在重啟過(guò)程中連接心跳線，否則會(huì)出現(xiàn)數(shù)據(jù)庫(kù)與linux后臺(tái)配置不一致的現(xiàn)象。因此當(dāng)出現(xiàn)數(shù)據(jù)庫(kù)與linux后臺(tái)不一置時(shí)，應(yīng)當(dāng)考慮是否這一步?jīng)]有進(jìn)行。

成為備墻后，防火墻不能通過(guò)WEB進(jìn)行管理，為了保存同步過(guò)來(lái)的配置，建議從console口通過(guò)newconfigsave保存?zhèn)鋲ε渲?。雙機(jī)熱備雙機(jī)熱備配置第四步：同步配置目前，當(dāng)主墻修改配置后，備墻不能自動(dòng)同步配置，需要通過(guò)HA界面手動(dòng)同步。網(wǎng)絡(luò)管理——高可用性——雙機(jī)熱備狀態(tài)——節(jié)點(diǎn)配置同步雙機(jī)熱備雙機(jī)熱備配置第五步：后臺(tái)調(diào)試后臺(tái)通過(guò)hashowstatus命令可以查看HA狀態(tài)id：節(jié)點(diǎn)id號(hào)，雙機(jī)熱備配置中的節(jié)點(diǎn)號(hào)prio：代表優(yōu)先級(jí)，小的代表主墻sync：表示是否同步配置，0代表未同步，1代表已同步會(huì)話保護(hù)會(huì)話保護(hù)介紹

透明模式部署下，理論上防火墻就相當(dāng)于網(wǎng)線的作用，不需要對(duì)數(shù)據(jù)包進(jìn)行路由查找，只需要對(duì)數(shù)據(jù)包進(jìn)行二層轉(zhuǎn)發(fā)。但防火墻會(huì)對(duì)數(shù)據(jù)包做相應(yīng)的檢查工作，比如包過(guò)濾、AV檢測(cè)、IPS檢測(cè)、應(yīng)用檢測(cè)等?；谏鲜鲞@些功能，兩臺(tái)防火墻必須保持狀態(tài)一致（也就是會(huì)話同步），因此通過(guò)心跳線來(lái)同步會(huì)話。會(huì)話保護(hù)會(huì)話保護(hù)應(yīng)用場(chǎng)景心跳線VRRPVRRP會(huì)話保護(hù)會(huì)話保護(hù)配置

會(huì)話保護(hù)的配置很簡(jiǎn)單，只需要配置HA網(wǎng)口，注意要勾選“啟用同步”，如圖:端口聯(lián)動(dòng)端口聯(lián)動(dòng)介紹

端口聯(lián)動(dòng)的意思是指，當(dāng)防火墻某個(gè)接口出現(xiàn)故障，它會(huì)主動(dòng)將防火墻上對(duì)應(yīng)的接口也關(guān)閉，從而保證數(shù)據(jù)轉(zhuǎn)發(fā)可以順利的切換到備鏈路上，從而保證可靠性。端口聯(lián)動(dòng)對(duì)應(yīng)的是防火墻后臺(tái)一個(gè)進(jìn)程，是通過(guò)軟件來(lái)實(shí)現(xiàn)的。與硬件Bypass有所區(qū)別。端口聯(lián)動(dòng)的配置只能通過(guò)后臺(tái)進(jìn)行。端口聯(lián)動(dòng)端口聯(lián)動(dòng)場(chǎng)景心跳線心跳線主備主備端口聯(lián)動(dòng)端口聯(lián)動(dòng)配置eth1eth2將防火墻的eth1和eth2進(jìn)行端口聯(lián)動(dòng)①Psynsetgroup1porteth1actionondecisionon②Psynsetgroup2porteth2actionondecisionon③Psynsetrungroup1group1,2activeonstartupon

③中的startupon是指開機(jī)時(shí)自動(dòng)啟動(dòng)該功能。如果配置順利的話，在敲完第3條命令后會(huì)感覺(jué)有明顯的停頓感，表明配置成功；如果沒(méi)有停頓感，則可能配置上出現(xiàn)了問(wèn)題。VRRPVRRP介紹

虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的VRRP路由器中的一臺(tái)?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬IP地址。VRRP控制報(bào)文只有一種：VRRP通告(advertisement)?它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為8，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)?備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級(jí)為0的通告后啟動(dòng)新的一輪VRRP選舉?我們防火墻使用的VRRP是標(biāo)準(zhǔn)協(xié)議。但由于VRRP只是實(shí)現(xiàn)網(wǎng)關(guān)冗余，因此有的部署場(chǎng)景并不十分適合。VRRPVRRP應(yīng)用場(chǎng)景主備eth1:eth1:eth2:eth2:VirIP：VirIP：配置思路：保證上下游網(wǎng)關(guān)的VirIP都在同一臺(tái)墻上，否則會(huì)出現(xiàn)孤島現(xiàn)象VRRPVRRP配置第一步：新建VRRP組網(wǎng)絡(luò)管理——高可用性——VRRP——新建VRRP組ID：相同集群下使用相同ID優(yōu)先級(jí)：區(qū)分由誰(shuí)來(lái)承擔(dān)虛IP，默認(rèn)為100，越大越優(yōu)先通行報(bào)文間隔：VRRP協(xié)議探測(cè)報(bào)文頻率VRRPVRRP配置第二步：創(chuàng)建別名設(shè)備，對(duì)應(yīng)虛IP網(wǎng)絡(luò)管理——網(wǎng)絡(luò)接口——?jiǎng)e名設(shè)備——新建這里創(chuàng)建的別名設(shè)備即對(duì)應(yīng)虛IPVRRPVRRP配置第三步：?jiǎn)?dòng)VRRP功能網(wǎng)絡(luò)管理——高可用性——VRRP——啟動(dòng)VRRP查看VRRP運(yùn)行狀態(tài)

HA主備HA（會(huì)話保護(hù)）VRRP路由模式部署支持NA支持透明模式部署支持支持NA

鏈路聚合方式部署支持支持

NA

VLAN子接口部署支持支持NATRUNK方式部署支持支持NA配置同步支持NANA會(huì)話同步支持支持NA切換時(shí)延中低中負(fù)載分擔(dān)NA支持支持VPNDB同步NANANAVPNSA同步NANANA本地管理員帳號(hào)同步NA

NA

NA

統(tǒng)一認(rèn)證用戶名同步支持NA

NA

穩(wěn)定性midhighlow2023/11/27第五章應(yīng)用管控簡(jiǎn)介及配置入侵防護(hù)病毒防護(hù)反垃圾郵件入侵防護(hù)入侵防護(hù)介紹

入侵防護(hù)是計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)施，是對(duì)防病毒軟件（AntivirusPrograms）和防火墻的補(bǔ)充。入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。

應(yīng)用入侵防護(hù)功能，首先需要定義入侵防護(hù)策略，然后將此策略在包過(guò)濾中引用并生效。入侵防護(hù)入侵防護(hù)應(yīng)用場(chǎng)景攻擊機(jī):00被攻擊服務(wù)器:00Brg：54eth1eth2攻擊流量從防火墻經(jīng)過(guò)，防火對(duì)該流量進(jìn)行攔截、或者發(fā)出警告入侵防護(hù)入侵防護(hù)配置第一步：定義入侵防護(hù)模板應(yīng)用防護(hù)——入侵防護(hù)——入侵防護(hù)策略——新建不同的模板對(duì)應(yīng)不同的處理級(jí)別，有的對(duì)入侵事件做阻斷，有的只是對(duì)入侵事件發(fā)出日志告警入侵防護(hù)入侵防護(hù)配置第二步：在安全策略中調(diào)用模板防火墻——策略——安全策略——新建入侵防護(hù)入侵防護(hù)——自定義特征庫(kù)應(yīng)用防護(hù)——入侵防護(hù)——自定義特征庫(kù)——新建針對(duì)特殊情況，用戶也可以自定義攻擊特征，應(yīng)用之后該特征會(huì)自動(dòng)加載在所有的策略模板中入侵防護(hù)入侵防護(hù)——入侵場(chǎng)景保留應(yīng)用防護(hù)——入侵防護(hù)——場(chǎng)景和模式設(shè)置

從發(fā)現(xiàn)攻擊的一瞬間開始，記錄一定長(zhǎng)度的數(shù)據(jù)包，以便于事后審計(jì)，在插入U(xiǎn)盤的時(shí)才可配置啟用，F(xiàn)TP只用于U盤存儲(chǔ)滿后才開始上傳。入侵防護(hù)入侵防護(hù)——IPS防護(hù)云應(yīng)用防護(hù)——入侵防護(hù)——IPS云防護(hù)代理

將設(shè)備產(chǎn)生的攻擊信息上傳至啟明星辰集團(tuán)云防護(hù)中心，供安全人員分析補(bǔ)充。入侵防護(hù)入侵防護(hù)——規(guī)避亂序檢測(cè)應(yīng)用防護(hù)——入侵防護(hù)——規(guī)避亂序檢測(cè)

逃避IPS檢測(cè)的手段有：數(shù)據(jù)包分片、數(shù)據(jù)流分隔、RPC分片、URL混淆，以及攻擊負(fù)載的多態(tài)和混淆等規(guī)避亂序檢測(cè)功能，可以防止這些特別調(diào)整的攻擊包漏過(guò)掃描入侵防護(hù)入侵防護(hù)——維護(hù)

入侵防護(hù)（IPS）模塊是通過(guò)匹配特征庫(kù)來(lái)實(shí)現(xiàn)的，為了保證該模塊的有效性，及時(shí)的更新特征庫(kù)很有必要。前提是購(gòu)買了在線升級(jí)服務(wù)。系統(tǒng)管理——維護(hù)——系統(tǒng)升級(jí)——自動(dòng)升級(jí)病毒防護(hù)病毒防護(hù)介紹

病毒防護(hù)，英文即Anti-virus（簡(jiǎn)稱AV），是UTM系統(tǒng)的重要功能之一；病毒防護(hù)策略用于組織各種協(xié)議進(jìn)行病毒防護(hù)，其中包括：HTTP、FTP、SMTP、POP、IMAP以及兩種典型應(yīng)用MSN和Webmail；病毒檢查分為內(nèi)核掃毒(快速模式)、代理掃毒(全面掃毒)病毒防護(hù)病毒防護(hù)應(yīng)用場(chǎng)景病毒機(jī):00被攻擊服務(wù)器:00Brg：54eth1eth2攜帶病毒的流量從防火墻經(jīng)過(guò)，防火對(duì)該流量進(jìn)行攔截、或者發(fā)出警告病毒防護(hù)病毒防護(hù)配置第一步：定義病毒防護(hù)模板應(yīng)用防護(hù)——病毒防護(hù)——病毒防護(hù)策略——新建不同的模板對(duì)應(yīng)不同的處理級(jí)別，有的對(duì)病毒事件做阻斷，有的只是對(duì)病毒事件發(fā)出日志告警病毒防護(hù)病毒防護(hù)配置第二步：在安全策略中調(diào)用模板防火墻——策略——安全策略——新建病毒防護(hù)病毒防護(hù)——文件過(guò)濾器應(yīng)用防護(hù)——病毒防護(hù)——文件過(guò)濾器

啟用壓縮文件掃毒只針對(duì)內(nèi)核掃毒功能生效；

緩存大小、病毒文件白名單后綴、病毒文件黑名單后綴針對(duì)代理掃毒功能設(shè)置；說(shuō)明：1、緩存文件大小上限：表示代理掃毒處理數(shù)據(jù)包的大小(小于此大小的文件可以正常處理,如果大于此大小，則會(huì)進(jìn)行文件末尾破壞)；2、病毒文件白名單后綴名：表示需要檢測(cè)后綴類型(any表示所有的后綴都都進(jìn)行檢測(cè))3、病毒文件黑名單后