H3C SecPath AVG2000系列防病毒网关 典型配置举例-5W101

手册下载

H3C SecPath AVG2000系列防病毒网关

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2020技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 部署场景

1.1  部署建议

1.1.1  部署须知

防病毒网关系列产品,支持串行部署、并行部署和混合部署三种组网模式。

·     串行部署,采用透明网桥模式,设备串行接入不会对现有网络结构及网络配置带来影响。

·     串行部署,网桥接口建议采用BYPASS接口,使用带外管理方式管理(非BYPASS口),目的是设备进入BYPASS状态也可对设备进行WEB界面管理。

·     串行部署,建议部署在NAT设备内侧,以实现对内部私网IP地址识别。

·     并行部署,采用威胁监听模式,针对交换机、TAP盒、分流器等所提供的镜像数据进行流量分析、病毒深度监测。并行部署,所提供的镜像数据必须为双向both模式。

·     串并混合部署,实现了串行防御和并行监听的共存场景。

·     在互联网场景下,防病毒网关管理IP建议允许访问互联网,以实现防病毒网关病毒库在线更新,防病毒网关互联网在线更新频率1-2/天。

·     在互联网隔离环境,防病毒网关可采用离线病毒库更新导入,建议更新频率1-2/周。

1.2  串行部署

1.2.1  拓扑示例

串行部署下,可以实现对协议层的病毒过滤和通讯层恶意代码阻断功能。

图1-1 串行部署示例

拓扑描述:

AVG2000防病毒网关部署在网络边界处,采用透明网桥模式串行接入(透明网桥GE0/0GE0/1,为BYPASS接口)、带外管理(GE0/6)用于设备日常管理维护使用、病毒库升级使用。

1.2.2  网络及接口配置

进入“网络配置-通用”页面,点击“增加”按钮,选择“网桥”。

图1-2 增加网桥

针对网桥进行接口选择,其余配置默认即可。当前GE0/0GE0/1BYPASS接口。

图1-3 网桥接口选择

继续点击“增加”按钮,选择“网卡”,对带外管理IP地址进行配置。

图1-4 带外管理接口配置

图1-5 网络接口配置图

进入“路由”界面,修改当前IPv4默认路由信息,填写缺省网关IP,选择带外管理接口设备名称。

图1-6 配置带外管理缺省网关

点击“生效”按钮,使网络接口、路由信息生效。注意,点击网络配置“生效”按钮后,网关网卡服务将会重启,因此网络服务会中断3-5秒。

进入“网络配置-域名解析”,配置网关DNS服务器,用于网关更新病毒库时候解析升级域名。

图1-7 域名解析配置

1.2.3  病毒防护策略配置

进入“监控过滤-通用”页面,点击“增加”按钮,在弹出的对话框内,选择inline模式,设备名为br0,策略可依据客户要求进行设定,此处为“破坏”操作,并勾选“允许断点续传”。

图1-8 协议层病毒过滤策略配置

策略设定好后,如下图所示,点击“生效”按钮,使策略处于生效状态。

图1-9 协议层病毒过滤策略应用

进入“自动阻断-阻断参数”页面,勾选威胁抑制阻断策略,此处建议选择“一般威胁、口令探测、SMTP病毒”三项,阻断时长建议为系统默认值。

图1-10 通讯威胁阻断参数设定

至此,防病毒网关串行部署配置完毕。

1.3  并行部署

1.3.1  拓扑示例

并行部署下,可以实现对所提供的镜像数据做病毒威胁监测告警。

图1-11 并行部署示例

拓扑描述:

AVG2000防病毒网关并行部署在核心交换机处,通过监听口GE0/0实现对核心交换机镜像数据的病毒监测,设备采用带外管理GE0/6接口进行日常管理、升级维护。

1.3.2  网络及接口配置

进入“网络配置-通用”页面,点击“增加”按钮,选择“网卡”,进行监听口的配置。

图1-12 增加网卡

针对网卡监听口进行GE0/0选择,其余配置为空,默认即可。

图1-13 监听口网卡配置

继续点击“增加”按钮,选择“网卡”,对带外管理IP地址进行配置。

图1-14 带外管理接口配置

图1-15 网络接口配置图

进入“路由”界面,修改当前IPv4默认路由信息,填写缺省网关IP,选择带外管理接口设备名称。

图1-16 配置带外管理缺省网关

点击“生效”按钮,使网络接口、路由信息生效。注意,点击网络配置“生效”按钮后,网关网卡服务将会重启,因此网络服务会中断3-5秒。

进入“网络配置-域名解析”,配置网关DNS服务器,用于网关更新病毒库时候解析升级域名。

图1-17 域名解析配置

1.3.3  病毒监测策略配置

进入“监控过滤-通用”页面,点击“增加”按钮,在弹出的对话框内,选择online模式,设备名为GE0/0,策略为“报警”。

图1-18 协议层病毒监测策略配置

策略设定好后,如下图所示,点击“生效”按钮,使策略处于生效状态。

图1-19 协议层病毒监测策略应用

由于为并行监听策略,因此通讯层威胁无法实现阻断,但系统默认将会对通讯层威胁做“报警”。

至此,防病毒网关串行部署配置完毕。

1.4  串并混合部署

1.4.1  拓扑示例

串并混合部署,可以实现对链路的串行防御和内网的威胁监测功能。

图1-20 串并混合部署示例

拓扑描述:

AVG2000防病毒网关串行部署在网络边界处,同时启用一路监听实现对核心交换机镜像数据的病毒检测。串行接口建议使用BYPASS接口,带外管理接口建议使用非BYPASS接口。

1.4.2  网络及接口配置

串并混合部署的网络接口配置与串行、并行相同,可参照串行部署并行部署章节,具体最终效果如下,br0GE0/0:GE0/1)为网桥串行接口,GE0/2为监听口。

图1-21 串行混合网络接口配置

1.4.3  病毒防护及监控策略配置

串并混合部署下策略,需要应用到串行网桥接口和监听接口处。串行网桥接口策略模式可选inline模式,并行监听接口策略模式只有online模式。

图1-22 串行混合策略网桥接口配置

图1-23 串行混合策略监听口配置

图1-24 串行混合策略配置图

 

1.5  端口聚合部署

1.5.1  拓扑示例

防病毒网关支持端口聚合功能,在端口汇聚模式下,每组端口最大支持4个物理接口捆绑。

图1-25 端口汇聚部署示例

拓扑描述:

AVG2000防病毒网关启用端口汇聚功能,串行部署在网络边界处,网关将会用到4个物理接口,2个物理接口为一个bond组,设备采用带外管理GE0/6接口。

1.5.2  网络及接口配置

进入“网络配置-通用”页面,点击“增加”按钮,选择“网卡汇聚”,进入“网卡汇聚”端口配置页面。

图1-26 网卡汇聚配置1

图1-27 网卡汇聚配置2

将两个bond进行网桥关联设定。点击“增加”按钮,选择“网桥”,将接口bond0bond1进行选择。

图1-28 网卡汇聚网桥接口设定

此时,网络配置界面将有显示以下信息。

图1-29 网卡汇聚接口配置

针对带外管理IP和缺省网关地址进行配置,然后点击“生效”按钮,使网络接口配置生效,注意会造成网络中断3-5秒左右。

1.5.3  病毒防护策略配置

进入“监控过滤-通用”页面,点击“增加”按钮,在弹出的对话框内,选择inline模式,设备名为br0,策略可依据客户要求进行设定,此处为“破坏”操作,并勾选“允许断点续传”。

图1-30 协议层病毒过滤策略配置

策略设定好后,如下图所示,点击“生效”按钮,使策略处于生效状态。

图1-31 协议层病毒过滤策略应用

进入“自动阻断-阻断参数”页面,勾选威胁抑制阻断策略,此处建议选择“一般威胁、口令探测、SMTP病毒”三项,阻断时长建议为系统默认值。

图1-32 通讯威胁阻断参数设定

至此,防病毒网关端口汇聚部署模式配置完毕。

1.5.4  接口连线说明

端口汇聚模式下,为了避免设备断电、关机、重启、硬件损坏带来的单点故障,因此建议接口均采用BYPASS接口。

在物理线路连接时,应注意网关接口与上下游设备接口连线,否则可能将造成BYPASS模式无效。建议在端口汇聚模式上线后(接口支持BYPASS),进行BYPASS功能测试。

2 管理与维护

2.1  CLI命令操作

2.1.1  CONSOLE操作

防病毒网关CONSOLE接口波特率为9600,缺省密码为“admin”

通过console线直连防病毒网关console接口即可实现CLI命令操作。

图2-1 Console CLI操作

2.1.2  SSH操作

1. 登录WEB界面,在左侧导航菜单处,右键点击“本机”两字,选择“SSH设置”,设置SSH开放时间,然后点击确定,界面将会提示“本机-SSH开启”。

图2-2 SSH设置选项

图2-3 SSH开启时间

图2-4 SSH开启后界面显示

2. 进入“系统配置-访问控制”,修改ipv4,ssh选项为“接受”状态,点击“生效”按钮即可。

图2-5 到本机的SSH服务请求允许

2.2  病毒库更新

2.2.1  在线更新

防病毒网关支持互联网环境下的恶意代码库的在线更新服务,互联网环境下特征库更新频率为1-2/天。

互联网环境下防病毒网关更新只要满足1.设备管理IP可以访问互联网2.网关配置了DNS,即可实现自动更新。

防病毒网关在线更新地址会内置在网关升级界面中,请确保网关内的升级地址如下所示

恶意代码库升级地址:https://avg1.h3c.com/update/amd.3 https://avg2.h3c.com/update/amd.3

图2-6 恶意代码库在线更新

您也可以手动点击“立即更新”进行手动库更新操作,然后点击查看“升级状态”,即可看到网关库更新进度。

2.2.2  离线更新

防病毒网关支持恶意代码库离线更新,在与互联网隔离的环境中可通过下载离线病毒库对网关进行离线导入升级操作。

恶意代码库离线下载地址:https://avg1.h3c.com/update/amd.3/allinone.amdhttps://avg2.h3c.com/update/amd.3/allinone.amd离线库为全量病毒特征库,文件较大约400M以上。

在互联网隔离的环境中,针对网关的离线病毒库更新频率建议用户每周1-2次,操作步骤为选中“恶意代码库”,点击“导入升级包”按钮,在弹出的对话框内将下载的离线病毒库文件allinone.amd进行导入,提示“升级包导入成功”后,病毒库将在设备后台进行自动更新,稍后即可看到版本变化。

图2-7 离线导入升级包

2.2.3  指向更新

防病毒网关可修改恶意代码库升级地址,如在同网内有多台AVG2000防病毒网关设备,可将其中一台设备作为升级中心,其余设备升级地址指向升级中心设备即可。

操作步骤,只需将网关内的升级IP或域名进行修改即可,例如升级中心设备地址为192.168.1.100,在其它设备更新下载页面将地址修改为https://192.168.1.100/update/amd即可。

图2-8 指向升级操作

   

防病毒网关间的升级操作,默认采用了HTTPS 443加密方式进行升级。

2.2.4  升级日志信息

无法获取病毒库升级地址,在升级状态中,会显示ERR信息,以及获取文件失败的failed信息。可排查网关到升级地址的链路畅通性、DNS域名解析情况。

图2-9 升级信息—无法获取

 

There are no new amd ,表明当前系统特意代码库版本与升级服务器端版本一致,无新的库更新。

图2-10 升级信息—无最新病毒库

当设备授权许可到期后,病毒库也将无法升级,出现license expire提示。

图2-11 升级信息-许可到期

2.3  增加PINGSNMPSYSLOG

2.3.1  开放本机PING服务

防病毒网关默认只开放了本机的HTTPS 443服务,并未开放到本机的PING功能,如需开通PING功能,需在“系统配置-访问控制”中,增加“ICMP协议服务”,如下图所示。

图2-12 开放本机PING服务

2.3.2  SNMP服务

防病毒网关支持snmp v2cv3版本。如网管软件或运维工具使用snmp协议v2c版本,操作步骤只需“开启”网关本机的snmp服务,填写一致的“团体名”即可。

操作步骤,进入“网络配置-SNMP”页面,将SNMP状态选为“启用”,团体名依据实际环境进行填写即可。在本页面中提供了网关的MIB文件。

图2-13 SNMP V2C配置

如当前SNMP监控采用了v3版本,网关可依据实际环境进行v3版本设定,例如认证模式、加密模式等操作。

图2-14 SNMP V3配置-点击修改

图2-15 SNMP V3配置项

2.3.3  SYSLOG服务

防病毒网关支持SYSLOG日志转发服务,支持多SYSLOG服务器地址指向配置,可将本机的威胁日志通过SYSLOG进行实时发送。配置如下:

进入“网络配置-SOC”页面,增加SYSLOG远程主机、端口等服务端信息。FACILITYlocal0、上传级别为alert(过滤日志)。

图2-16 SYSLOG配置

2.4  集中管理

防病毒网关支持对集中管理功能,可通过一台设备管理另外设备,减轻日常运维工作压力。具体操作步骤是选择其中一台设备作为集中管理设备,其余设备作为下级节点。

进入集中管理设备的“网络配置-集中管理”页面,点击“增加”按钮,选择“下级节点”,在弹出的对话框内,输入下级节点的设备信息和用户名密码。

图2-17 增加下级节点

下级节点信息配置完毕后,点击页面“生效”按钮后,将在集中管理设备的页面左侧导航菜单处显示所增加的下级节点信息。至此,完成集中管理的节点增加功能。

图2-18 下级节点信息展示

2.5  应急管理

2.5.1  BYPASS操作

当设备串行在网络内链路或业务应用出现异常时,您可以通过查看日志、策略形式进行问题排查,如上述排查方式均无法有效进行问题定位,您可以对串行的防病毒网关设备进行BYPASS操作,以此精确定位问题是否与网关有关。

说明

注意:BYPASS操作前提是,串行网络接口为支持BYPASS功能接口,否则开启BYPASS后将会造成网络中断。

 

1. BYPASS开启

操作按钮位于WEB管理页面右上角,,点击此图标将会弹出以下对话框,进行BYPASS开启操作。

图2-19 开启BYPASS

2. BYPASS开启的状态

BYPASS开启后,网桥接口将会显示“nolink” ,同时BYPASS按钮将会变更样式

3. 关闭BYPASS操作

操作按钮位于WEB管理页面右上角,点击处于开启BYPASS状态的按钮,在弹出的对话框内选择“关闭BYPASS”。

图2-20 关闭BYPASS操作

2.5.2  策略白名单操作

监控过滤白名单设定

如您想对下载或上传的病毒文件不做病毒过滤,您可以在“监控过滤”栏目设定“不过滤“操作,具体步骤如下:

1. 域名白名单放行

凡是本域名下的病毒文件传输均不作过滤。

图2-21 域名白名单

2. 病毒白名单放行

凡是此病毒名称的病毒文件不作过滤。

图2-22 病毒白名单

3. 控制规则白名单放行

可通过IP地址或服务端口进行源地址、目的地址段的不过滤操作。

图2-23 控制规则白名单

自动阻断白名单设定

针对通讯层的威胁过滤白名单的设定,需要进入“自动阻断”页面操作。

图2-24 自动阻断白名单

2.5.3  系统管理员用户名及密码应急恢复

当防病毒网关的WEB管理用户名、密码忘记时,需要进入网关备份系统Renew模式下进行恢复或密码修改。

进入备份系统Renew模式下,网关默认会开启BYPASS模式,避免单点故障。

进入备份系统Renew步骤

通过Console线(波特率9600)连接设备Console接口,重启设备,在设备启动过程中出现以下界面,提示您可按“按任意键继续“,您可敲下“回车键”进入系统选择界面。

图2-25 重启后进入备份系统1

按“回车键”将会进入到下面的系统启动选项,选择“Renew”界面进行“回车”。

图2-26 选择备份系统Renew界面

系统依据选择Renew操作,将会进入备份系统,备份系统密码为“admin”。

图2-27 进入备份系统Renew界面

输入?即可看到Renew模式下的CLI命令介绍

图2-28 Renew模式下的CLI命令

修改系统已知管理员用户名密码

修改系统已知管理员用户名密码命令为 “passwd”

初始化系统管理员用户名和密码

当管理员不记得WEB管理员用户名和密码的时候,可以在Renew模式下恢复系统缺省用户名和密码。系统用户名和密码初始化恢复命令为“resetpsw”。

说明

注意:在Renew备份系统下,执行resetpsw命令后,网关用户名和密码将会进行初始化配置,您之前所创建的用户名和密码,将会被清除。

 

联系我们