设备安全–IPS部署与维护

IPS—网络入侵防护系统

1.入侵检测技术

攻击手段最多的是应用层，而IPS就是一款防御应用层攻击的系统。
1.产生该技术的背景：
（1）外部攻击众多—外部黑客会不停进行攻击
（2）内部威胁增多—内部人员的不正当操作
（3）防火墙的局限—防火墙工作在网络层并不能对应用层的攻击进行有效的防护
（4）各种应用纷杂—各种小公司的一些应用的安全并不能保证安全
2.入侵检测技术的工作流程
数据经由主机与网络经过的时候，先进行数据采集采集完成后进行数据的检测与分析，倘若检测时，检测出数据中携带库中的原型，则会进行报警与响应。
3.NIPS的体系架构–内置库需要经常进行升级更新
具体可以达到的功能：
入侵防护、抗D.o.s攻击、数据泄露防护、高级威胁防御、信誉、URL过滤、防病毒、用户管理、应用管理、流量控制（系统规则（攻击特征库）、信誉库（恶意网站）、URL分类（URL分类库））
分为五个大的模块：
（1）高性能多核硬件平台
（2）数通引擎（1-4层）—负责转发流量
功能：IP碎片重组、流汇聚、TCP状态跟踪、数据捕获
（3）安全引擎（4-7层）—应用层的防护
功能：协议的识别、分析、检测
（4）安全响应模块
功能：包丢弃、会话阻断、记录日志、报警显示、邮件报警、协议回放、互动接口、自定义命令
（5）管理模块
功能：账号管理、配置管理、策略管理、事件管理、日志管理、系统监控
.4.匹配方式
（1）基于特征
[50363] windows SMB协议用户认证失败（如果一段时间内错误次数达到设定最大值）则进行（2）
（2）基于统计（ddos、暴力猜测–猜测在猜测密码）
[20384] windows SMB暴力猜测用户口令
5.产品实施流程
调研阶段：
客户拓扑、部署方式
客户环境，例如是否有MTU大于2048的流量穿过设备
实施步骤
基本参数配置：系统时间、账号、DNS、安全中心、接口配置
设备上架
设备连线
功能调试：测试网络连通性、测试阻断/告警等
6.默认用户

用户名称	web操作员	web审计员	console口管理员
用户名	admin	auditor	conadmin
密码	admin	auditor	conadmin

注意：
1.admin即为设备管理员，具有最高权限
2.实施完毕请告知客户admin和auditor的用户名和密码，并及时修改默认密码。
3.conadmin密码修改视情况而定，一般不修改。（如果修改后忘记，找回这个密码比较麻烦）
conadmin（串口）：端口：COM4、波特率115200
可以实现的功能为：查看系统信息、诊断工具、维护工具、系统初始化、重新启动系统、关闭系统、退出配置界面
7.web登陆
https：//IP地址
默认管理口IP：
M：192.168.1.1/24
H1：192.168.2.1/24
注意：M口和H1口不能配置为同一网段，否则两个接口都无法ping通
8.NIPS基本参数配置
(1)修改系统时间
1.web界面支持NTP服务器自动同步，也可以手动修改系统时间。
2.系统时间直接关系着告警和入侵事件的日志记录时间，请力求设置准确。
(2)导入证书
以证书到期的日期为准，到期之前发布的升级都能升级但是到期之后就不能进行升级了
1.初级登录设备会自动提示导入证书
2.及时核查证书有效期、功能模块等是否与客户购买合同一致
3.正式销售证书请及时备份，拷贝给客户存档，如果证书遗失，可以从web页面导出一份
(3)账号管理
1.默认只启用admin账号，auditor需要手动启动
2.如果忘记密码，请到串口下重置
（4）管理口配置
EU的设备只有M口，没有H口
可管理要选是，之后就能管理该接口了
1.M，H1口为带外管理口，也可做HA心跳口
2.尽量给管理口配置网关，用作跨网段管理，自动升级等
（5）DNS配置
必须配置
1.自动升级，连接云安全中心必须配置DNS
2.云端获取信誉库也会用到DNS
（6）升级配置
升级时要提前和客户商量好
升级时要查询升级里面的说明，看看固件是否支持以及软件版本信息是否满足
引擎和规则的关系：
（1）当发现不能检测某种攻击或某种应用时，不光要升级规则库，还要同时升级引擎，才能保证检测的准确性
（2）从V5.6.6版本开始，规则库的升级对引擎版本有依赖性（依赖：引擎版本不升级到最新及时规则库却升级到最新，依然无法检测出规则）
校验：在系统命令行（cmd）里面输入：certutil -hashfile 文件路径 md5------所产生的结果和网页上一致则可以进行升级，之后在离线升级里面选择文件上传（不要因为卡住而直接关闭，用其余浏览器登录查看是否是页面卡住了）
1.上线前请先升级至最新版本
2.引擎升级会导致设备引擎重启，导致少量丢包，在线升级尽量不要自动升级引擎
3.自动升级时间可以选择其他时间，避免周一–00：00的升级高峰
（7）连接安全中心
一共只能有一万条日志
一次只能查看一千条日志
1.连接安全中心需配置本地IP地址
2.NIPS可以联动ESPC，云安全中心和BSA
3.连接安全中心并非必须，单独的NIPS也可以正常工作，但因为单机内部存储很小，所以日志不能保存很长时间
4.ESPC的安装方法和设备添加方法见ESPC培训
9.NIPS典型拓扑
（1）直通部署
数据准备：带外管理口地址和网关地址
配置思路：
1.安全区配置
设备配置
5610F01版本接口配置
（1）安全区配置（选择“网络>安全区”）
（2）接口配置（选择Direct-A，接口可配可不配（G3/4口），M口要配置地址和网关）
5610F02版本接口配置
（1）安全区配置（选择"网络>安全区"类型选择为vwire且有虚拟线）
（2）接口配置（接口类型选择虚拟线，安全区也选择虚拟线）
（3）添加虚拟线（记住选择接口链路状态同步，MTU=1500）记着要点应用
监听配置
（1）安全区配置（选择“网络>安全区”）类型选择monitor
（2）接口配置（选择“网络>接口”）M口配置地址
2.虚拟线配置
3.应用配置，使配置生效
10.NIPS的首页组成
系统状态
引擎状态：绿色代表是启动的，黄色代表停止或调试（此状态下是不会进行防护的）
证书：查看是否过期
版本信息
一定要把版本升级到最新
接口信息
接口如果是绿色代表正常运行，如果为红色代表不能正常运行
流量监控

2.上线配置

1.对于一般用户
（1）NIPS/NIDS上线时，仅需修改管理口地址及网关，并应用配置，不需要进行额外配置
（2）NIPS/NIDS默认出厂时接口安全区为direct或者monitor，以及一条入侵防护策略
（3）NIPS/NIDS默认没有硬盘，日志存储在内存中（最多存储10000条，界面显示1000条），重启后日志会被清空，建议上线时联动ESPC
2.对于高级用户
除对一般用户的配置外，还可以根据需要配置其他策略模块
3.策略模块的分类
IPS/IDS–绿盟入侵防护/检测系统
数据泄露防护
入侵防御检测
信誉
URL分类
应用管理
流量管理
防病毒
用户管理
高级威胁防护
4.策略-入侵检测防护的作用
（1）有效识别并阻断网络攻击，蠕虫和病毒传播
（2）灵活的策略配置：基于安全区，源目的IP/MAC，时间等
5.系统规则库模板
Defauit：适用于大多环境（一般都使用这个）告警>阻断>隔离（关到小黑屋–禁闭时间30min）
DMZ区服务器：所有攻击类型规则，使用TFTP/RIP/NETBIOS/NFS和WINS的利用漏洞攻击规则除外
内网客户端：所有攻击规则，使用RIP和路由协议的利用漏洞攻击规则除外
web服务器：所有侦测和DOS攻击规则/一般后门程序以及使用DNS/HTTP/FTP协议的利用漏洞攻击规则
windows服务器：受影响的操作系统包括windows的所有攻击规则
通用服务器：所有侦测和DOS攻击规则，一般后门程序以及使用DNS/SMTP/POP3/IMAP/DNS和NFS/RPC和NETBIOS/SMB协议的利用漏洞攻击规则
UNIX类服务器:受影响的操作系统包括UNIX、Linux、Solaris的所有攻击规则
系统规则模板
内置模板：按防护的对象进行划分
内置模板的使用场景：一般用户采用系统内置模板即可，根据可靠度已经选择好需要阻断的规则；并可根据防护的对象选择对应的分类
派生模板：由内置模板派生
派生模板的使用场景：想要额外阻断或者不阻断某条具体规则时，可以派生出一个新的模板，并进行阻断动作的修改
用户规则模板：由用户自己选择规则
**用户规则模板的使用场景：**可以增加或者减少规则，以及添加自定义规则，适用于更高级的用户
6.策略–入侵检测/防护
主要配置步骤
1.选择安全区
2.选择源目的对象
3.选择规则模板
4.选择是否启用阻断功能
5.应用配置，使配置生效
隔离功能：
（1）启动防护，在一段时间内丢弃触发规则的攻击源IP到目的IP的数据包
（2）dynamic_isolation_time隔离时间，一般默认为30min（是可以进行人为修改的）
（3）触发隔离后，在日志中的图标会显示为隔离，而非阻断
（4）首页入侵防护告警事件中可以取消隔离
例外规则
（1）针对某个地址对象的某个规则白名单
（2）例外规则是全局规划，针对所有链路，所有IP生效
入侵防护–DOS防护
参数含义：
检测阈值：设定的报文阈值
检测周期：设定的时间阈值
复位时间：每隔设定时间将统计告警的表项清零，一般不改
保护时间：防护的时间，即限流的时间
限制流量：开启防护后，允许通过的每秒包的数量。不包括正常通信流中所占的pps，只限制符合告警条件的包
注意事项：（1）默认的阈值较大，在进行测试时要适当调整阈值（2）一般不建议开启自动保护功能，可能会有误阻断（3）告警在入侵防护日志中进行查询
数据泄露防护
概念：数据泄露防护功能对内网进行有效的安全防护，可以防止内网敏感数据的泄露、防止某些文件的外发，可以监控服务器的非法外联行为，以防止攻击者通过服务器进行跳转攻击
包含三个部分：
敏感数据保护
敏感数据保护可以防止内部敏感数据（电话、身份证、银行卡）的外泄，在网络流中（HTTP、FTP、EMAIL）发现大量的敏感数据外传时（全局阈值超过时），NGIPS会阻断外传行为，并产生告警日志，启示用户内网存在敏感资源外泄行为
文件识别
文件识别可以防止内部特定格式的文件的外发，例如在专利局部门中，为了防止专利文档被恶意获取并传到外部，需要监控PDF格式或图片格式文件的外发
文件识别配置
（1）新建网络对象
（2）新建时间对象
（3）新建文件识别策略，选择文件类型
路径：策略–数据泄露防护–文件识别—新建
服务器异常防护
软件BYPASS
作用：即调试模式，安全引擎不再工作，但数通引擎仍旧正常工作（DDOS策略依然生效）
硬件BYPASS可用条件必须在串口关闭
（1）硬件BYPASS：bypass的两个端口物理连通，变成一根网线，用户的数据流量可以直接通过设备，不受设备自身当前状态的影响
（2）设备带BYPASS板卡：1.板载电口支持bypass 2.部分版本和型号支持光板卡bypass，V567及以前版本光口bypass必须使用外置光bypass交换机
（3）经过IPS一路流量经过一对板卡标识的bypass口
硬件bypass启动条件
（1）人工在web页面设置开启bypass—重启设备生效，bypass灯亮起，网卡灯不亮
（2）IPS处于掉电状态----bypass灯熄灭，网卡灯熄灭
（3）IPS系统启动过程—bypass灯亮，网卡灯熄灭
（4）数通引擎异常-----bypass灯亮起，网卡灯熄灭

串口功能
登录串口后常用的功能：
1.查看/修改接口IP地址
2.修改设备时间
3.恢复系统
4.初始化配置
5.重置web管理员账户（不能解除已经被锁定的IP）
说明：
锁定IP：换IP登录或等待锁定时间结束
锁定账号：重启系统
为什么要做策略优化
1.大量的低风险事件、不关注事件、误报事件掩盖了真正的攻击事件
2.日志分析时，用户无法从大量的告警信息中找出真正的攻击事件，处理低风险事件浪费大量时间
紧急情况—网络中断
如果客户网络十分重要，对断网时间有严格的要求，一定要以恢复客户网络为优先！！
如果是直通部署，将设备进入调试模式或直接跳过
如果是三层部署，将配置文件和设备运行状态文件导出后，重启设备
诊断工具
（1）回放测试
回放测试功能—检验策略有没有生效
注意：回放接口只能是monitor口
（2）专家诊断
用于映射设备后台
前提：远程协助已开启
证书常见的问题
1.导入时提示无效
（1）检查序列号和hash值是否一致
（2）设备系统时间和当前是否一致
（3）申请的证书起始或者截至时间错误
（4）证书申请错误
V5.6.8以后零配置–默认接口
除M口（千兆设备还包括H1口）外，NIPS的其他接口IP默认为0.0.0.0，安全区默认为direct
除M口（千兆设备还包括H1口）外，NIDS的其他接口IP默认为0.0.0.0，安全区默认为monitor
证书过期
5.6.3~5.6.8
测试/试用证书过期：无法登录web界面，策略生效
正式证书过期：策略生效，但不可升级
5.6.9及以后
测试/试用证书过期：无法登录web界面，策略不生效（DOS防护除外）
正式证书过期，策略生效，但不可升级
修改接口生效方式
5.6.6及以前：重启引擎
5.6.10及以后：应用配置
重启引擎时是否会断网
1.如果接口信息没有更改过，不会断，网卡不会重协商
2.如果接口信息修改过，会丢一两个ping包，因为ping对延时较敏感
安全中心
5.6.6及以前：ESPCv6（windows）
5.6.9及以后：ESPCv7（linux）