- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
目 录
1 IPS部署上去后无攻击日志产生
1.1 问题描述
1.2 解决办法
2 IPS与SecCenter配合时,攻击日志没有上报
2.1 问题描述
2.2 解决方法
3 创建报表后无报表输出
3.1 问题描述
3.2 解决方法
4 端口协商问题
4.1 问题描述
4.2 解决办法
5 迅雷的阻断或限速
5.1 问题描述
5.2 解决办法
6 策略限速是对整个default服务限速
6.1 问题描述
6.2 解决办法
7 设备初始启动后,配置管理口IP地址,无法ping通管理口
7.1 问题描述
7.2 解决办法
8 通过IE访问设备,页面部分内容显示不全
8.1 问题描述
8.2 解决办法
9 如何配置IPS自动升级特征库的URL地址
9.1 问题描述
9.2 解决办法
H3C SecPath IPS产品用户FAQ
将IPS设备串连或在线部署在网络中,经过一段时间查看日志,发现无攻击日志。
l 配置问题
首先确保配置正确,即在使用的段上应用了IPS策略(建议用默认的IPS策略,若有更改,确保启用的规则能够命中并记录日志);使用的网络接口有流量经过(接口状态OK)。
l 流量问题
检测的流量确实比较干净,如放在DMZ区域,服务器用的是SSL安全协议时攻击会比较少。建议更改部署位置,如放在网络出口或内部网络区域间。
l 简单验证
在确认配置没有问题后,可通过如下简单的方法来排除是设备问题还是流量问题:
找一台提供80端口的PC2(如Internet的web服务器),PC1访问PC2 http://pc1/cmd.exe,如www.baidu.com/cmd.exe, 其流量经过IPS检测。若在段上应用了默认的IPS策略,就会有一条阻断日志。
如找不到开80端口的PC,可用webserver.exe程序打开PC的80端口。
将IPS的攻击日志输出到SecCenter时,发现SecCenter没有收到IPS的攻击日志。
l 配置问题
确保Notify动作配置正确,输出到Syslog主机,主机列表已将SecCenter加入,并应用下发。
l 网络问题
确保IPS的管理口发送的报文,SecCenter能收到,即网络/路由可达。
l SecCenter发现IPS设备问题
若上述配置均没有问题,对实时产生的攻击日志,检查SecCenter有无显示。若没有显示,请检查SecCenter是否自动发现IPS设备,若没有发现IPS设备,请排查网络问题。
l 简单验证
可用3CDaemon软件在本地PC搭建Syslog服务器(本地PC与管理口是网络互通的),将本地Syslog加入到notify动作的Syslog主机列表,选中配置的Syslog名称后保存并激活。若本地Syslog能收到攻击日志,则IPS配置的没有问题,请排查SecCenter设备。
在报表->流量统计报表,创建了基于协议/服务的流量统计报表或TOP历史报表,但查看报表时无输出。
l 配置问题
对于基于服务的流量统计报表或TOP历史报表,还需要在段上应用带宽管理策略(默认的带宽管理策略即可);对于协议报表,不需要应用带宽管理策略。
l 时间问题
TOP历史报表类需要跨零点才能出数据,如3月31日下午15:00创建的报表,要到次日的凌晨以后才会有数据,该数据也是3月31日的流量数据;流量统计类报表需跨整点才能出数据。
开局时,建议IPS设备与对接设备统一用自协商的模式。若一定要强制,请确保双方速率和双工模式协商正确。若最终协商为半双工模式,将导致网络丢包。
设备上线时,先检查端口的协商状态。
l 配置失误
在Web上开启业务口时,可能会忘记勾选自协商选项,导致所有业务口配置为1000M全双工,这样和别的设备自协商时出现协商为半双工的情况。
T200系列Web界面:
T1000系列Web界面:
l 设置端口强制时存在一定风险。尽量与对接设备统一用端口自协商模式。
配置对迅雷服务的阻断或限速后,发现设备没生效。
l 特征库版本请升级到最新的版本。
l 策略配置:因为迅雷下载会用到多线程下载,因此对迅雷应用的阻断/限速配置,需要同时配置对多线程下载服务的阻断/限速。
带宽管理策略应用的方向:组网时,若用户网络属于内部区域(保护的PC),则应用带宽管理策略时方向为内部,反之则方向为外部。
策略限速是对整个Default服务进行限速,即对所有流量做限速,不管策略中规则如何配置。如下这种配置理想状态应该是仅针对P2P服务做限速,但实际实现是对所有服务做限速。
l 升级新的软件版本;
l 针对特定应用的限流,请使用应用带宽做限流。
设备初始启动时,不能ping通管理接口,这可能是因为版本较低,所有的接口均为Down,需通过串口开启管理口。
l 通过串口开启管理口:
[H3C]interface m-gigabit0/0/0
[H3C-if]undo shutdown
l 到华三网站下载并升级最新的软件版本,最新版本默认出厂接口状态为UP。
部分客户端通过IE浏览器访问IPS设备,发现页面部分内容显示不全。
l IE版本:IPS设备Web管理推荐使用IE6.0版本访问,对某些版本可能支持有问题(如:部分英文版);
l 控件安装:部分用户的IE控件安装不全,可能导致页面部分内容显示不全,建议更换PC访问或安装相应控件。
IPS自动升级特征库的URL地址如何配置?
http://www.h3c.com.cn/License/LicenseService.asmx?WSDL
注:红色部分必须使用IP地址代替。
IP地址的获取方法:
一定要从用户内网ping www.h3c.com.cn。
C:\Documents and Settings\user>ping www.h3c.com.cn
Pinging www.h3c.com.cn [172.25.15.40] with 32 bytes of data:
Reply from 172.25.15.40: bytes=32 time=33ms TTL=250
Reply from 172.25.15.40: bytes=32 time=33ms TTL=250
Reply from 172.25.15.40: bytes=32 time=32ms TTL=250
Reply from 172.25.15.40: bytes=32 time=32ms TTL=250
最终URL替换为:http://172.25.15.40/License/LicenseService.asmx?WSDL
Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
