- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath 入侵防御系统 快速开局指导-6W100-整本手册.pdf (5.08 MB)
H3C SecPath入侵防御系统
快速开局指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本手册可帮助您对入侵防御系统的使用过程有初步的认识,并完成入侵防御系统的基本配置,如入侵防御系统的常见组网方式,如何将入侵防御系统快速接入Internet,如何快速实现企业网络的安全防护和常用的设备运维操作等。如果您想深入了解和使用入侵防御系统其他更多、更丰富的安全防护功能,具体查阅对应产品的手册。本手册使用T1000-AK335设备的R8660P31版本举例,不同的款型的设备界面可能存在差异,仅供参考具体配置请以实际情况为准。本手册所描述的内容适用于如下款型及版本:
表1-1 入侵防御系统款型
|
系列 |
款型 |
|
T5000系列 |
T5010、T5020 |
|
T5030-G |
|
|
T5030、T5060、T5080、T5000-C、T5000-S |
|
|
T1000系列 |
T1020、T1030、T1050、T1060、T1080 |
|
T1000-AK系列 |
T1000-AK340、T1000-AK350 |
|
T1000-AK335、T1000-AK345、T1000-AK355、T1000-AK365 |
|
|
T1000-AI系列 |
T1000-AI-25、T1000-AI-35、T1000-AI-50、T1000-AI-55、T1000-AI-60、T1000-AI-65、T1000-AI-70、T1000-AI-80、T1000-AI-90 |
入侵防御系统产品外观丰富,具体可查阅对应产品的安装手册,本节仅T1000-AK335为例介绍设备外观。
前面板上有16个10/100/1000BASE-T自适应以太网电口、6个1000BASE-X以太网光口、2个10GBASE-R以太网光口、4个COMBO口(每个COMBO口包含一个电口和一个光口)、2个USB接口、1个CONSOLE接口、1个硬盘扩展插槽。具体结构如下图所示。
图2-1 设备前视图
|
1: 硬盘扩展插槽 |
2: 设备指示灯 |
|
3: CONSOLE口 |
4: 10/100/1000BASE-T以太网电口(BYPASS口) |
|
5: 10/100/1000BASE-T以太网电口(COMBO口) |
6: 1000BASE-X以太网光口(COMBO口) |
|
7: 1000BASE-X以太网光口 |
8: 10GBASE-R以太网光口 |
|
9: 管理以太网口(MGMT) |
10: USB口 |
|
11: RESET按键 |
|
图2-2 设备后视图
|
1: 电源模块插槽0 |
2: 电源模块插槽1 |
|
3: 接口模块插槽 |
4: 接地螺钉 |
入侵防御系统产品部署在客户网络的关键路径上,通过对流经该关键路径上的网络数据流进行4到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,同时,入侵防御系统产品还具有强大、实用的带宽管理和URL过滤功能。
如图3-1所示,管理员将安全需求相同的接口进行分类,并划分到不同的安全域(Security Zone),能够实现域间策略的统一管理。安全域,是一个逻辑概念。
设备上缺省存在Local、Management、Trust、DMZ和Untrust安全域。缺省安全域不能被删除。各缺省安全域的作用及应用场景说明如下:
· Local:指设备本身,且不能向Local安全域添加接口成员。非Management安全域与设备本身之间相互通信时,需要配置放行相应安全域与Local安全域之间报文的安全策略。
· Management:指用于管理设备的区域,该安全域与设备本身通信的报文默认放行,即Management与Local之间的报文默认放行,无需配置安全策略。缺省情况下,设备管理口属于Management安全域,用于通过PC登录设备进行配置。
· Trust:指可信任的网络区域。通常会将设备连接内网的接口添加至Trust安全域,并通过配置安全策略,对其他安全域发往Trust的报文进行威胁检测,保护内网主机,对Trust发往其他安全域的报文进行严格管理和控制,避免机密数据外泄。
· DMZ:Demilitarized Zone,隔离区。通常会将设备连接各类公共服务或资源(如Web server、FTP server等)的接口添加至DMZ安全域,并通过配置安全策略,对其他安全域发往DMZ的报文进行审计,避免服务器被攻击或机密数据被非法窃取。
· Untrust:指不信任的网络区域。通常会将设备连接Internet的接口添加至Untrust安全域,并通过配置安全策略,对Untrust发往其他安全域的报文进行严格检测,阻断外来攻击和病毒等威胁。
如图3-2所示,安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、终端、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
入侵防御系统设备出厂配置如下表,用户也可通过设备上的铭牌获取到设备的缺省用户名和密码等信息。
表4-1 入侵防御系统出厂配置
|
登录信息项 |
默认配置 |
备注 |
|
用户名 |
admin |
- |
|
密码 |
admin |
- |
|
登录类型 |
· 通过Web界面登录设备 · 通过Console口登录设备 |
其他登录类型需要自行配置 |
|
以太网管理口的IP地址 |
· 接口号:GigabitEthernet1/0/0或M-GigabitEthernet1/0/0 · IP地址:192.168.0.1/24 |
不同设备的管理网口编号存在差异,具体可查阅对应的产品资料或者查看设备的铭牌 |
如图4-1所示,按照图中的拓扑连接设备的管理网口、内网口GE1/0/2和外网口GE1/0/1。管理网口和管理员主机连接,用于登录Web界面。内网口作为LAN口,一般加入Trust安全域,用于连接公司内网主机等。外网口作为WAN口,一般加入Untrust安全域,用于连接运营商网络与外部进行通信。
如果使用命令行配置设备,在首次登录设备,请使用Console配置线连接管理PC的串口和设备的Console口。
· 建议使用以下浏览器访问Web管理页面:Chrome 40及以上版本、Firefox 19及以上版本、Internet Explorer 10及以上版本。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
路由模式接入是指设备以三层模式(即设备的上下行业务接口工作在三层模式)部署在网络中,此模式下设备一般作为企业的网关连接内网和互联网,对网络流量进行安全监测和安全控制。此模式下设备可支持丰富的路由功能和安全功能。为适应不同的网络环境,设备提供如下三种方式快速接入Internet。
· 指定IP方式接入:是从运营商获取一个固定的公网IP地址,用户内网需通过该公网IP地址接入Internet。
· DHCP方式接入:是设备通过运营商提供的DHCP服务动态获取一个公网IP地址即可接入Internet。
· PPPoE方式接入:用户从运营商处获取一个PPPoE接入认证账户,可通过该帐户接入Internet。
指定IP地址方式是从运营商获取一个固定的公网IP地址,用户内网需通过该公网地址接入Internet。具体配置方法如下。
DHCP方式接入Internet方式是设备通过运营商提供的DHCP服务动态获取一个公网IP地址即可接入Internet。具体配置方法如下。
不同于路由模式,透明模式采用二层模式(即设备的上下行业务接口工作在二层模式)部署在网络中,此模式下设备一般部署在企业网关内侧,不直接与互联网连接,但可以对网络流量进行安全监测和安全控制。此模式无需路由及NAT,不改变网络结构,可快速部署设备,上线安全业务。具体配置方法如下。
各业务的特征库升级功能需要安装License才能使用。License过期后,各业务可以采用设备中已有的特征库正常工作,但无法升级特征库。
· 定时升级:设备根据管理员设置的时间定期自动更新本地的特征库。
· 立即升级:管理员手工触发设备立即更新本地的特征库。
· 本地升级:当设备无法自动获取特征库时,需要管理员先手动获取最新的特征库,再更新设备本地的特征库。
设备的部分特性需要获取License授权后才能使用,因此为使这些特性能够使用,需要激活这些特性的License。具体可观看《H3C 安全产品 License注册演示视频(Comware V7)》完成License的激活和安装。
恢复到出厂配置,将抹去除“.bin”和License文件以外的所有配置,请谨慎使用。
支持
