DPtechIPS系列入侵防御系統(tǒng)維護手冊

DPtechIPS2023維護手冊杭州迪普科技有限公司2023年07月目錄DPtechIPS2023維護手冊 1第1章常見維護事項 11.1系統(tǒng)基本維護 11.2平常故障維護 11.3數(shù)據(jù)備份管理 11.4補丁升級管理 2第2章應(yīng)急解決方案 42.1運送導(dǎo)致設(shè)備無法啟動 42.2互聯(lián)網(wǎng)訪問異常 42.3集中管理平臺無相關(guān)日記 42.4設(shè)備工作不正常 42.5應(yīng)急環(huán)節(jié) 5第3章功能項 63.1用戶名/密碼 63.2管理員 63.3WEB訪問 63.4接口狀態(tài) 73.5數(shù)據(jù)互通 73.6日記信息 7第4章其他 94.1注冊與申請 94.2升級與狀態(tài) 9第5章FAQ 125.1入門篇 125.2進階篇 13常見維護事項系統(tǒng)基本維護入侵防御系統(tǒng)應(yīng)當(dāng)指派專人管理、維護，管理員的口令要嚴(yán)格保密，不得泄露入侵防御系統(tǒng)管理員應(yīng)定期查看統(tǒng)一管理中心（UMC）和入侵防御系統(tǒng)（IPS）的系統(tǒng)資源(涉及內(nèi)存/CPU/外存)，確認(rèn)運營狀況是否正常入侵防御系統(tǒng)管理員應(yīng)定期檢查“嚴(yán)重錯誤”以上級別的系統(tǒng)日記，發(fā)現(xiàn)入侵防御系統(tǒng)的異常運營情況入侵防御系統(tǒng)管理員應(yīng)定期檢查操作日記，確認(rèn)是否有異常操作（修改、添加、刪除策略，刪除日記等）、異常登錄（非管理員登陸記錄、多次登陸密碼錯誤），對此應(yīng)立即上報并修改密碼入侵防御系統(tǒng)管理員應(yīng)定期檢查和分析自動生成的報表，對報表中的可疑事件進行追蹤(例如部分時間段異常襲擊等),并出具安全運營報告入侵防御系統(tǒng)管理帳號用戶名：admin，初始口令admin，初次使用需修改，并備份統(tǒng)一管理中心服務(wù)器需要準(zhǔn)時進行操作系統(tǒng)的補丁升級和殺毒軟件的病毒庫升級平常故障維護統(tǒng)一管理中心服務(wù)器無法登錄，請檢查能否PING通統(tǒng)一管理中心服務(wù)器，其相關(guān)服務(wù)（UMC數(shù)據(jù)庫服務(wù)、UMCWeb服務(wù)、UMC后臺服務(wù)）是否啟動，管理端口80是否一致統(tǒng)一管理中心服務(wù)器上網(wǎng)絡(luò)流量快照或IPS襲擊日記無法生成，先檢查端口9502、9516、9514是否開放，入侵防御系統(tǒng)的日記發(fā)送配置是否對的，再用抓包工具檢查入侵防御系統(tǒng)是否發(fā)送日記入侵防御系統(tǒng)無法登錄，請檢查入侵防御系統(tǒng)的IP是否可以Ping通，同時檢測端口80是否開放數(shù)據(jù)備份管理統(tǒng)一管理中心服務(wù)器系統(tǒng)安裝后要先進行完全備份統(tǒng)一管理中心服務(wù)器管理員應(yīng)定期將備份的數(shù)據(jù)導(dǎo)入到指定的備份機或刻盤存儲統(tǒng)一管理中心服務(wù)器的磁盤告警閥值默認(rèn)為2G，當(dāng)系統(tǒng)可用磁盤空間小于2G時，會進行自動告警，這時需要進行數(shù)據(jù)庫壓縮和數(shù)據(jù)備份補丁升級管理迪普將不定期在迪普官方網(wǎng)站（.net）發(fā)布設(shè)備最新的軟件版本，可自行下載，并升級協(xié)議庫升級，在設(shè)備已存在該特性庫的License的情況下，可采用手動升級（迪普官方網(wǎng)站下載）或自動升級（前提是設(shè)備可訪問迪普官方網(wǎng)站的鏈接，若不具有此條件，則需采用手動升級）【軟件版本】升級操作說明：（1）一方面從迪普官方網(wǎng)站或迪普技術(shù)支持人員獲取最新的軟件版本。（2）通過WEB界面登錄設(shè)備，選擇【基本】=>【系統(tǒng)管理】=>【軟件版本】，如圖所示：點擊文獻途徑后的【瀏覽】按鈕，本地選中要下載的軟件版本，點擊【下載軟件版本】按鈕下載的配置文獻出現(xiàn)在列表中，鼠標(biāo)移動到下次啟動的軟件版本后的軟件版本時會變成鉛筆圖標(biāo)點擊鼠標(biāo)左鍵，出現(xiàn)軟件版本的下拉列表選擇下次啟動時需要的版本，即下載的軟件版本修改完畢后，點擊確認(rèn)按鈕（3）登錄設(shè)備在設(shè)備在【設(shè)備管理】=>【設(shè)備信息】界面查看軟件版本升級成功?！緟f(xié)議庫】手動升級操作說明：（1）在設(shè)備協(xié)議庫授權(quán)未過期的前提下，從迪普官方網(wǎng)站獲取最新的協(xié)議庫。（2）通過WEB界面登錄設(shè)備，選擇【基本】=>【系統(tǒng)管理】=>【特性庫】=>【XXX特性庫】，如下圖所示：點擊瀏覽按鈕；選擇下載升級包的途徑；設(shè)立完畢，點擊右方的擬定按鈕。（3）協(xié)議庫在升級過程中將顯示進度信息，如下圖所示：最后，系統(tǒng)將提醒升級完畢。

應(yīng)急解決方案運送導(dǎo)致設(shè)備無法啟動設(shè)備加電一段時間后，系統(tǒng)無法正常啟動（涉及電源指示燈滅，電源指示燈亮/其他指示燈滅，RUN燈常亮或者快閃）。更換電源線保證其正常，若仍存在同樣問題，則需更換硬件設(shè)備?；ヂ?lián)網(wǎng)訪問異常接口指示燈是否正常閃爍若接口指示燈不亮，檢查連接線是否松動，且通過Web頁面查看接口管理狀態(tài)與鏈路狀態(tài)是否正常若接口指示燈閃爍，通過Web頁面查看接口收發(fā)數(shù)量是否正常若不存在上述問題時，在【網(wǎng)絡(luò)管理】->【軟件bypass】中，啟用bypass（此狀態(tài)下，流量不匹配安全策略，直接轉(zhuǎn)發(fā)），判斷是否是安全策略導(dǎo)致在有內(nèi)置斷電保護，或有外置斷電保護PFP情況下，可直接切換到保護狀態(tài)，排查網(wǎng)絡(luò)異常是否產(chǎn)生于本設(shè)備集中管理平臺無相關(guān)日記安裝集中管理平臺客戶端后，雙擊任務(wù)欄的集中管理平臺圖標(biāo)，查看數(shù)據(jù)庫服務(wù)、web服務(wù)、后臺服務(wù)是否正常，若不正常則重新啟動PC或卸載重新安裝（注意：設(shè)立本地安全控件允許集中管理平臺安裝的各個細(xì)節(jié)，如360安全衛(wèi)士等）檢查集中管理平臺的License是否正常導(dǎo)入、運營狀態(tài)是否正常（正常登錄web網(wǎng)管）、本地防火墻是否關(guān)閉、入侵防御設(shè)備與集中管理平臺間是否有防火墻未啟動相應(yīng)端口（9502、9514等）；入侵防御設(shè)備與集中管理平臺之間網(wǎng)絡(luò)是否正常，入侵防御設(shè)備是否配置了各種審計策略，入侵防御設(shè)備配置是否正常告知到集中管理平臺上檢查流量是否流經(jīng)設(shè)備，查看設(shè)備接口記錄數(shù)據(jù)設(shè)備工作不正常雙機熱備工作不正常，主機設(shè)備宕機之后，備機設(shè)備無法正常工作，需要查看備機是否加電，備機電源指示燈是否亮，備機接口狀態(tài)是否正常（接口指示燈是否亮、閃爍），是否可以正常登錄備機設(shè)備斷電保護工作不正常，先將連接線切換到之前狀態(tài)，將斷電保護模塊旁路，若網(wǎng)絡(luò)正常，則說明斷電保護模塊損壞，需更換斷電保護模塊；若網(wǎng)絡(luò)仍不正常，需進行網(wǎng)絡(luò)排查冗余電源工作不正常，查看電源指示燈是否亮，若不亮，則需更換硬件設(shè)備應(yīng)急環(huán)節(jié)若網(wǎng)絡(luò)無法無法短期恢復(fù)，則應(yīng)優(yōu)先保障用戶網(wǎng)絡(luò)，保證用戶正常上網(wǎng)不受影響在有內(nèi)置斷電保護或外置斷電保護PFP情況下，手動啟動斷電保護（內(nèi)置-設(shè)備斷電啟動，外置-手動斷開PFP與設(shè)備的USB連接線）。若網(wǎng)絡(luò)恢復(fù)正常，則為設(shè)備故障，需優(yōu)先保障流量，線下定位排查；若網(wǎng)絡(luò)未恢復(fù)正常，則非設(shè)備故障設(shè)備發(fā)生故障后并在內(nèi)/外置保護流量情況下，撥打公司售后電話，聯(lián)系相關(guān)人員進行定位和解決故障解決后，設(shè)備重新上線，并觀測

功能項用戶名/密碼IPS設(shè)備，初始IP地址為，用戶名admin，密碼adminUMC軟件：初始用戶名admin，密碼UMCAdministrator初次使用請更改，并定期維護管理員管理員設(shè)立，添加管理員；防止“admin”管理員被惡意嘗試而鎖定WEB訪問訪問協(xié)議設(shè)立，配置HTTP及HTTPS參數(shù)（注意：重啟后生效）接口狀態(tài)注意接口協(xié)商狀態(tài)，及轉(zhuǎn)發(fā)數(shù)據(jù)是否正常。當(dāng)上下行設(shè)備發(fā)生變化時，必須查看數(shù)據(jù)互通在【網(wǎng)絡(luò)管理】->【診斷工具】中，驗證網(wǎng)絡(luò)暢通性（如：IPS——UMC可達）日記信息如：流量分析

其他注冊與申請查看設(shè)備包裝箱內(nèi)License授權(quán)序列號，或在WEB首頁中查看設(shè)備序列號打開UMC的WEB頁面，進入“License管理->申請License”，輸入相關(guān)信息，并保存此文獻登陸迪普官方網(wǎng)站，輸入相關(guān)信息，申請相應(yīng)License升級與狀態(tài)查看設(shè)備狀態(tài)導(dǎo)入License文獻導(dǎo)入相應(yīng)特性庫升級軟件版本，導(dǎo)入后，選為“下次啟動使用的軟件版本”后，重啟設(shè)備即可查看系統(tǒng)、操作日記，查詢告警及可疑日記查看UMC本地信息

FAQ入門篇為什么配置了管理地址IP，PC卻Ping不通？在同網(wǎng)段中，PC的IP地址與配置管理IP地址必須同屬這一網(wǎng)段；在不同網(wǎng)段中，需要在IPS設(shè)備上添加相應(yīng)的路由，保證與PC連通。在WEB界面上直接對管理口的設(shè)立修改，會有什么結(jié)果？會導(dǎo)致當(dāng)前WEB界面down掉，無法繼續(xù)進行任何操作。需要訪問改后的IP地址，或者可通過console口，進入到相應(yīng)的管理口下，以命令的方式對管理口，重新配置合理的參數(shù)。需要升級軟件版本情況下，下載完軟件版本并指定后，是否需要重啟？需要重啟。當(dāng)設(shè)備異常斷電時，之前在WEB界面上的配置是否保存？保存，設(shè)備啟動的情況下，對于操作與配置都是時時保存的。設(shè)備上的USB接口做什么用的？外置斷電保護PFP，以及3G擴展。我有特性庫文獻，為什么不能升級？需事先導(dǎo)入相應(yīng)License。已將軟件版本導(dǎo)入設(shè)備的CF卡中，為什么重啟后不能加載該版本？須將該版本狀態(tài)選為“使用中”才可。設(shè)備運營一段時間后，發(fā)現(xiàn)部分系統(tǒng)日記和操作日記不見了，為什么？在無手動刪除的情況下，查看是否超過了保存該日記的時間。輸出到UMC的業(yè)務(wù)日記和流量分析的端標(biāo)語是什么？業(yè)務(wù)日記是9514，流量分析是9502。為什么配置策略的時候，優(yōu)先使用指定用戶組，而不用Allusers？做到對業(yè)務(wù)的細(xì)化，同時過濾多余信息。進階篇接入設(shè)備后，發(fā)現(xiàn)接口協(xié)商成半雙工產(chǎn)生丟包，怎么辦？需要雙方都強制相應(yīng)的速率和雙工狀態(tài)。假如IPS與UMC系統(tǒng)時間間隔過大，有何影響？UMC產(chǎn)生的日記會有相應(yīng)的滯后，建議安裝UMC后，立即啟動時間同步功能。如何跨網(wǎng)段對設(shè)備進行管理？添加默認(rèn)路由，或指定路由。我啟動了特性庫自動升級，為什么沒有生效？在License有效的情況下，擬定設(shè)備可以直接連入網(wǎng)絡(luò)。（使用診斷工具Ping外網(wǎng)IP地址，當(dāng)路由不通、需要認(rèn)證、各種訪問控制限制下，均不可自動升級）如何使得限速效果更明顯（P2P和多媒體）？雙向均配置策略。細(xì)化被限速的應(yīng)用。如何快速診斷UMC的運營狀態(tài)？在設(shè)備已配置了流量分析、業(yè)務(wù)日記發(fā)送到UMC，且