- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-网络全流量威胁分析探针典型配置
本章节下载: 13-网络全流量威胁分析探针典型配置 (2.23 MB)
H3C安全威胁发现与运营管理平台
网络全流量威胁分析探针典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍网络全流量威胁分析探针(以下简称NTA探针)与安全威胁发现与运营管理平台(以下简称CSAP平台)使用的配置案例。
NTA探针可以对流量进行分析,包括入侵防御、防病毒、会话分析等,然后产生相应日志发送安全威胁发现与运维管理平台,进行安全、流量等内容进行分析。
NTA探针主要为旁路部署场景,接入交换机等设备镜像的客户网络流量,仅对流量进行分析检测。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解CSAP平台和网络全流量威胁分析探针的功能特性。
如下图所示组网中,部署了CSAP平台,客户组网中FW/SW将需要分析的流量镜像到NTA探针设备中,NTA探针将镜像的流量基于安全策略进行分析,产生会话日志、威胁日志等。NTA探针配置日志采集器地址后,将日志发送到CSAP平台,CSAP平台对日志进行解析、适配等,最终分析产生安全事件。
说明:图中GE1/0/0 是管理口,GE1/0/1 是镜像流量口
· NTA探针配置接口模式并加入安全域,添加安全策略
· NTA探针开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用,开启DNS审计日志。
· NTA探针开启抓包上传
· NTA探针配置日志发送
· 安全威胁发现与运营管理平台区域、资产配置
· 安全威胁发现与运营管理平台数据来源配置
本举例分别根据NTA探针初始版本,相关配置有区别,先确认探针初始版本,再按照对应版本的配置步骤操作。
CSAP平台的E1148P05版本。
在配置之前确保需要分析的流量已配置好流量镜像。
管理PC、第三方平台、CSAP平台之间网络互通。
根据探针版本不同,配置步骤不同,请确认探针的版本。
入侵防御设备有入侵防御、防病毒、URL等特征库授权并已升级最新特征库文件。特征库文件路径:
http://h3c.com/cn/Products___Technology/Products/IP_Security/Characteristic_Service_Area/
硬件探针初始版本如果大于等于P1214版本,按照3.5.1配置。
软件探针初始版本如果大于等于P1215版本,按照3.5.2配置。以软件探针安装在标准的X2020-G服务器为例
软件探针初始版本低于P1215版本和硬件探针低于P1214版本,按照3.5.3配置。
管理口选择GigabitEthernet 1/0/0,配置该接口的管理IP地址。1- 29口为镜像流量接口。
[H3C]interface GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/0] ip address 186.64.4.219 255.255.0.0
点击Web上方标识和面板区的“对象”按钮,然后点击导航栏“应用安全”
选择进入“安全动作-捕获”页面
最大捕获千字节数:50
上传URL:
· 集群版:tftp://Cyber4(Cyber4为集群版第四台设备对外通信地址)
· 标准版:tftp://Cyber
设置完成后,点击确定保存。
注意:默认抓包只抓1条报文,可以通过后台配置抓包条数,最大可以配置抓包10条报文,抓包条数会影响探针检测性能,请根据实际流量大小配置合适的抓包条数。登录NTA探针后台,配置如下命令:
[H3C] ips capture-cache 10
点击Web上方标识和面板区的“对象”按钮,然后点击导航栏“应用安全”
选择进入“高级配置”页面,勾选开启真实源IP地址检测功能并应用。
点击Web上方标识和面板区的“系统”按钮,然后点击导航栏“维护-系统设置-日期和时间”,检查系统时间正确。
日志主机通过后台配置,登录NTA探针后台,配置如下命令,IP地址为CSAP平台被动采集器的IP地址(查看该IP可参见下方说明)
[H3C]customlog host 186.64.130.16 export session dpi url-filter ips anti-virus dns
[H3C]customlog timestamp localtime
说明:安全威胁发现与运营管理平台-被动采集器IP地址,进入安全威胁发现与运营管理平台,选择“系统设置-数据源配置-采集器状态”,即可查看被动采集器IP地址
登录CSAP平台,进入系统设置-数据源配置-日志源管理,新增日志源,IP地址配置NTA探针管理IP,设备类型为威胁检测探针,编码选择gbk,端口为默认的514端口。如下图
登录CSAP平台,进入资产中心-区域配置,默认已有默认区域,默认区域中包含常见私网网段;点击新增可以新增其他内网对应网段。
新增测试区域,配置内网IP段信息。如下图
进入资产中心-资产列表,新增资产。如下图
资产中心-资产配置-资产发现-流量发现资产页面,开启流量发现资产,默认为开启状态。
管理口选择XGE9/0,配置该接口的管理IP地址。XGE9/1、XGE9/2、XGE9/3、XGE1/0、XGE1/1为镜像流量口。
[H3C]interface XGE9/0
[H3C-Ten-GigabitEthernet9/0] ip address 186.64.4.219 255.255.0.0
点击Web上方标识和面板区的“对象”按钮,然后点击导航栏“应用安全”
选择进入“安全动作-捕获”页面
最大捕获千字节数:50
上传URL:
· 集群版:tftp://Cyber4(Cyber4为集群版第四台设备对外通信地址)
· 标准版:tftp://Cyber
设置完成后,点击确定保存。
注意:默认抓包只抓1条报文,可以通过后台配置抓包条数,最大可以配置抓包10条报文,抓包条数会影响探针检测性能,请根据实际流量大小配置合适的抓包条数。登录NTA探针后台,配置如下命令:
[H3C] ips capture-cache 10
点击Web上方标识和面板区的“对象”按钮,然后点击导航栏“应用安全”
选择进入“高级配置”页面,勾选开启真实源IP地址检测功能并应用。
点击Web上方标识和面板区的“系统”按钮,然后点击导航栏“维护-系统设置-日期和时间”,检查系统时间正确。
日志主机通过后台配置,登录NTA探针后台,配置如下命令,IP地址为CSAP平台被动采集器的IP地址(查看该IP可参见下方说明)
[H3C]customlog host 186.64.130.16 export session dpi url-filter ips anti-virus dns
[H3C]customlog timestamp localtime
说明:安全威胁发现与运营管理平台-被动采集器IP地址,进入安全威胁发现与运营管理平台,选择“系统设置-数据源配置-采集器状态”,即可查看被动采集器IP地址
登录CSAP平台,进入系统设置-数据源配置-日志源管理,新增日志源,IP地址配置NTA探针管理IP,设备类型为威胁检测探针,编码选择gbk,端口为默认的514端口。如下图
登录CSAP平台,进入资产中心-区域配置,默认已有默认区域,默认区域中包含常见私网网段;点击新增可以新增其他内网对应网段。
新增测试区域,配置内网IP段信息。如下图
进入资产中心-资产列表,新增资产。如下图
资产中心-资产配置-资产发现-流量发现资产页面,开启流量发现资产,默认为开启状态。
[H3C]interface GigabitEthernet 0/0
[H3C-GigabitEthernet0/0]port link-mode route
[H3C-GigabitEthernet0/0] ip address 186.64.4.219 255.255.0.0
[H3C-GigabitEthernet0/0]security-zone name Management
[H3C-security-zone-Management]import interface GigabitEthernet 0/0
开启http服务并创建管理用户, 使管理pc能够通过web登录NTA进行管理
[H3C]ip http enable
[H3C] ip https enable
[H3C]local-user admin class manage
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]line vty 0 63
[H3C-line-vty0-63]authentication-mode scheme
将NTA接入镜像流量的接口加入黑洞路由。
[H3C-bridge-1-blackhole]bridge 1 blackhole
[H3C-bridge-1-blackhole]add interface GigabitEthernet 0/2
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 0/2
点击Web上方标识和面板区的“策略”按钮,然后点击导航栏“安全策略”
再点击“新建”按钮,进入 新建安全策略,动作选择允许:
新建安全策略弹窗下拉进入内容安全部分,IPS策略下拉框选择,新建IPS策略,配置如下:
名称:IPS
设置动作:动作选择允许
日志:开启
抓包:开启
设置完成后点击“确定”按钮保存
下拉进入内容安全部分,防病毒策略下拉框选择,新建防病毒略引用;防病毒策略需进行以下配置:
名称:AV
传输协议:全部勾选
动作:全部为告警
设置完成后点击“确定”按钮保存
下拉进入内容安全部分,URL过滤策略下拉框选择,新建URL过滤策略引用;URL过滤策略需进行以下配置:
缺省动作:勾选允许
记录日志:勾选
URL过滤分类:勾选全部分类的记录日志
IPS策略、防病毒策略、URL过滤策略引用后如下图
说明:安全策略记录日志开启会影响设备性能,默认不进行开启
点击“确定”按钮,对安全策略进行保存;保存后在安全策略页面进行安全策略配置“提交”
DNS审计日志需要通过后台开启。
[H3C]dns snooping log enable
[H3C]customlog format dns
点击Web上方标识和面板区的“系统”按钮,然后点击导航栏“日志设置”
选择进入“威胁日志”页面,进行如下配置:
入侵防御日志-输出快速日志:勾选
入侵防御日志-输出中文日志:勾选
防病毒日志-输出快速日志:勾选
选择进入“URL过滤日志”页面,进行如下配置
日志类型-快速日志:勾选
开启URL过滤日志:勾选
选择会话日志页面,进行如下配置:
日志类型选择快速日志
记录删除会话的日志:勾选
点击应用
配置生成日志的接口列表
进入系统-会话设置-高级设置,开启会话统计功能
点击Web上方标识和面板区的“对象”按钮,然后点击导航栏“应用安全”
选择进入“安全动作-捕获”页面
最大捕获千字节数:50
上传URL:
· 集群版:tftp://Cyber4(Cyber4为集群版第四台设备对外通信地址)
· 标准版:tftp://Cyber
设置完成后,点击确定保存。
注意:默认抓包只抓1条报文,可以通过后台配置抓包条数,最大可以配置抓包10条报文,抓包条数会影响探针检测性能,请根据实际流量大小配置合适的抓包条数。登录NTA探针后台,配置如下命令:
[H3C] ips capture-cache 10
点击Web上方标识和面板区的“对象”按钮,然后点击导航栏“应用安全”
选择进入“高级配置”页面,勾选开启真实源IP地址检测功能并应用。
点击Web上方标识和面板区的“系统”按钮,然后点击导航栏“维护-系统设置-日期和时间”,检查系统时间正确。
日志主机通过后台配置,登录NTA探针后台,配置如下命令,IP地址为CSAP平台被动采集器的IP地址(查看该IP可参见下方说明)
[H3C]customlog host 186.64.130.16 export session dpi url-filter ips anti-virus dns
[H3C]customlog timestamp localtime
说明:安全威胁发现与运营管理平台-被动采集器IP地址,进入安全威胁发现与运营管理平台,选择“系统设置-数据源配置-采集器状态”,即可查看被动采集器IP地址
登录CSAP平台,进入系统设置-数据源配置-日志源管理,新增日志源,IP地址配置NTA探针管理IP,设备类型为威胁检测探针,编码选择gbk,端口为默认的514端口。如下图
登录CSAP平台,进入资产中心-区域配置,默认已有默认区域,默认区域中包含常见私网网段;点击新增可以新增其他内网对应网段。
新增测试区域,配置内网IP段信息。如下图
进入资产中心-资产列表,新增资产。如下图
资产中心-资产配置-资产发现-流量发现资产页面,开启流量发现资产,默认为开启状态。
(1) 用户流量满足NTA探针安全策略中入侵防御配置时,可以产生入侵防御日志,登录安全威胁发现与运营管理平台,进入“日志中心-安全日志-漏洞利用日志”页面,可以查看到对应日志记录。
(2) 用户流量满足NTA探针安全策略中防病毒配置时,可以产生防病毒日志,登录安全威胁发现与运营管理平台,进入“日志中心-安全日志-恶意文件日志”页面,可以查看到对应日志记录。
(3) 用户流量满足NTA探针安全策略中URL过滤配置时,可以产生URL过滤日志,登录安全威胁发现与运营管理平台,进入“日志中心-网络审计日志-URL访问日志”页面,可以查看到对应日志记录;。
(4) 用户流量有删除会话时,可以产生会话日志,登录安全威胁发现与运营管理平台,进入“日志中心-网络流量日志-会话日志”页面,可以查看到对应日志记录;
(5) 登录安全威胁发现与运营管理平台,进入资产中心-资产列表,有内网流量发现资产。
(6) 登录安全威胁发现与运营管理平台,进入威胁中心-事件台账,查看有安全事件生成。
(7) 事件台账页面,点击查看安全事件详情,详情页面可以查看到网络取证报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
