当前位置:文档之家 › 20120524_天清异常流量清洗系统ADM-Guard配置培训文档 V3.6.3.1

20120524_天清异常流量清洗系统ADM-Guard配置培训文档 V3.6.3.1

  • 格式:ppt
  • 大小:2.59 MB
  • 文档页数:51

下载文档原格式

  / 51

合集下载

启明星辰产品管理中心

启明星辰产品管理中心


ADM-Guard-8200
双冗余电源,标配4GE,最大可支持4万兆SFP+或24个千兆接口,运营
级流量清洗
ADM-Guard-10100 ADM-Guard-10200
双冗余电源,标配4GE,最大可支持4万兆SFP+或24个千兆接口,运营级增 强流量清洗
双冗余电源,标配8GE,最大可支持8万兆SFP+或48个千兆接口,运营商骨 干网流量清洗
二、天清ADM产品型号
异常流量检测设备ADM-Detector
ADM-Detector-3200
单电源,标配4SFP+4GE,500GB硬盘,企业级异常流量检测
ADM-Detector-5200
单电源,标配4SFP+4GE,1TB硬盘,企业级增强异常流量检测
ADM-Detector-6200
双冗余电源,标配4SFP+4GE,双500GB硬盘并支持RAID,运营级流量分析
天清ADM产品简介
天清异常流量管理与抗拒绝服务系统(Traffic Anomaly Detection and Mitigation), 简称天清ADM,对异常流量和DDoS攻击进行检测、清洗和限制,由清洗设备Guard、检 测设备Detector和管理中心Manager组成。
对漏洞型、流量型和应用 层DDoS攻击进行清洗,对 P2P等异常流量进行限制, 并将干净的流量回注
• 选配:流量管控功能授权 – 提供对P2P等流量的合理管控和限速; – 对于只需要针对DDOS流量进行清洗的场 景可不销售该授权,不影响功能。
• 选配:硬件板卡 – 业务处理板适用于Guard-10100,用于扩 展两个接口扩展卡; – 接口扩展卡:接口扩展(不含光模块)。 – 端口转换模块:Guard-8000及以上型号标 配电口转换为电口和光口(主要用于首次 销售,已售型号转换需返厂)。
20120524_天清异常流量检测系统ADM-Detector配置培训文档 V3.6.3.1

20120524_天清异常流量检测系统ADM-Detector配置培训文档 V3.6.3.1


日志模块中包含日志中心、告警日志、流 量日志、系统日志 四个小模块。用来记录 告警、流量和系统操作日志,从而使用户更方 便的管理设备。
包含三种日志类型的所有日志,并且默认每隔三十秒自动刷新。可以点击【停止】 关闭自动刷新功能。
按条件查询各类日志
如图:提供条件按查询告警日志,用户可以选择性的查看告警日志。
• 将展示所有的路由器设备。 监控模块的作用在于当在与Detector相连通的一台设备上配置好snmp信息 口、查看设备详细信息以及调整布局。 在拓扑视图中,点击路由设备,将展示设备地址, CPU 利用率,路由总流 之后,Detector能够通过snmp协议获取到该设备上的详细信息,并能实时 30 秒刷新一次 . • 量的信息并每隔 配置操作: 添加设备等操作可以在本页面添加,也可在【配置 -运行配置的观察到该设备的性能以及接口等信息。
系统管理子模块可以配置外部设备接收netflow数据等功能
在网络配置界面可以配置Detector上的接口ip和DNS以及默认网关。(默认情况 下只有eth0口上有ip --10.0.0.1/24)
在产品授权管理界面可以通过webui界面对产品的权限信息进行管理
2、策略管理:包括异常检测、异常缓解、检测范围以及自定义监控等 几个子模块。 异常缓解子模块能够在Detector发现异常流量之后,自动登录流量清洗设备下
1、雷达扫描图:雷达中的点的颜色告警的级别—红色:高级;黄色:中级;绿色:低 级。点的位置表示该告警产生的时间—距离雷达中心越近,表示告警产生的时间越近; 距离雷达中心越远,表示告警产生的时间越远。当把鼠标放到该点上方的时候,会显示 出此次告警的详细信息。 2、30分钟内的10条告警信息:以列表形式显示最近10条具体告警。 3、最近24小时流量告警类型分布:以柱状图显示告警类型分布。 4、最近60分钟TOP流量:提供流量高的IP地址,出现在中间的IP地址的流量 越多。 5、最近30分钟TOP协议流量:以坐标图形式显示协议流量大小。
天清汉马USG防火墙

天清汉马USG防火墙

37
防火墙的典型应用
标准应用 1、透明模式 2、路由模式 3、混杂模式 高级应用
38
标准应用——透明模式
透明模式/桥模式
一般用于用户网络已经建设完毕,网络功能 基本已经实现的情况下 加装防火墙以实现安全区域隔离的要求
一般将网络分为内部网、DMZ区和外部 网
39
标准应用——透明模式
Internet
启明星辰客户产品培训- 天清汉马USG
1
主要内容
防火墙的基本概念 防火墙的技术原理 防火墙的典型应用 从防火墙到统一威胁管理 天清汉马USG防火墙安装使用和日常维护
2
什么是防火墙
传统的防火墙: •用于控制实际的火灾,使火灾被限制在建筑物的 某部分,不会蔓延到其他区域
3
什么是防火墙
Internet
蠕虫病毒 违法信息 防火墙 非授权访问 IP欺骗 VPN Firewall Anti-Virus IPS
12
包过滤防火墙
简单包过滤防火墙不 检查数据区 简单包过滤防火墙不 建立状态连接表 前后报文无关 应用层控制很弱
13
包过滤防火墙
包过滤防火墙应用示例
14
应用网关防火墙
也叫应用代理防火墙
每个代理需要一个不同的应用进程,或一个 后台运行的服务程序 对每个新的应用必须添加针对此应用的服务 程序,否则不能使用该服务
IT领域中的防火墙: •用于保护网络免受恶意行为的侵害,并阻止其非 法行为的网络设备或系统 •作为一个安全网络的边界点 •在不同的网络区域之间进行流量的访问控制
4
IT领域中的防火墙
5
防火墙的作用
过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 能过滤大部分的危险端口 设置严格的外向内的状态过滤规则 抵挡大部分的拒绝服务攻击 加强了访问控制能力
天清入侵防御系统V6.0.5.0安装手册

天清入侵防御系统V6.0.5.0安装手册

产品安装手册——天清入侵防御系统产品名称:天清入侵防御系统版本标识:V6.0.5.0单位:北京启明星辰信息安全技术有限公司版权声明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容,其著作权及相关权利均属于北京启明星辰信息安全技术有限公司(以下简称“本公司”),特别申明的除外。

未经本公司书面同意,任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权,受著作权法保护。

该内容仅用于为最终用户提供信息,且本公司有权对其作出适时调整。

“天清”商标为本公司的注册商标,受商标法保护。

未经本公司许可,任何人不得擅自使用,不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利(申请)权、专有权,提供本手册并不表示授权您使用这些技术(秘密)。

您可通过书面方式向本公司查询技术(秘密)的许可使用信息。

免责声明本公司尽最大努力保证其内容的准确可靠,但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作,其内容如有更改,本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2009年4月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

目录第1章简述 (5)第2章管理控制中心安装 (5)2.1硬件需求 (6)2.2 软件需求 (7)2.3 引擎安装 (8)2.4 网络资源准备 (8)第3章开箱检查 (10)第4章管理控制中心安装配置 (11)4.1 MSDE数据库 (12)4.2 天清入侵防御系统 (12)4.3 天清入侵防御系统使用Oracle数据库的注意事项 (18)4.4 管理控制中心卸载 (19)第5章引擎安装配置 (20)5.1 标识说明 (20)5.1.1 接口说明 (20)5.2 超级终端安装及设置 (20)5.3 引擎配置 (24)5.4 命令行的配置 (25)5.4.1 list命令 (25)5.4.2 set命令 (25)5.4.3 show命令 (27)5.5 初始应用 (30)5.6 管理控制中心部属 (32)5.7 引擎部属 (33)5.8 产品应用设置 (33)第6章 WEB端安装 (34)6.1 Web端安装准备 (34)6.2 Web端配置 (34)6.2.1 Web端使用配置使用说明 (36)6.2.2 Web端用户配置说明 (42)6.2.3 备注 (44)附录一:快速使用指南 (45)一、快速使用流程 (45)二、多级管理设置 (49)附录二:数据源的配置 (53)附录三:Windows 2003 Server SP2上报表查询速度优化建议方案 (57)1. 现象描述 (57)2. 现象分析 (57)3. 解决建议方案 (57)(1) 对报表模块的使用建议 (57)(2) 产品部署建议 (58)(3) 硬件配置和操作系统选择建议。

天清入侵防御系统V6.0.5.0命令行用户手册

天清入侵防御系统V6.0.5.0命令行用户手册

第1章 Web管理介绍........................................................... 1-11.1概述.................................................................... 1-11.2工具条.................................................................. 1-11.2.1 了解客户支持...................................................... 1-11.2.2 修改密码.......................................................... 1-21.2.3 控制台访问........................................................ 1-21.2.4 存盘 ............................................................. 1-31.2.5 注销 ............................................................. 1-31.3 Web管理................................................................ 1-31.3.1 菜单 ............................................................. 1-41.3.2 列表 ............................................................. 1-41.3.3 图标 ............................................................. 1-51.4设备默认配置............................................................ 1-61.4.1 接口0的默认配置.................................................. 1-61.4.2 默认管理员用户.................................................... 1-6第2章主功能1............................................................... 2-72.1子功能1................................................................ 2-72.1.1 子功能之子功能1.................................................. 2-72.1.2 子功能之子功能2.................................................. 2-7第3章主功能2............................................................... 3-73.1子功能1................................................................ 3-73.1.1 子功能之子功能1.................................................. 3-83.1.2 子功能之子功能2.................................................. 3-81命令行配置⏹启明星辰天清防御系统可以通过管理控制中心的下发控制以及直接登录进行操作两种方式,实现对系统的配置管理。

天清安全隔离与信息交换系统数据库同步客户端用户手册

天清安全隔离与信息交换系统数据库同步客户端用户手册

天清安全隔离与信息交换系统数据库同步客户端操作手册声明♦本手册所含内容若有任何改动,恕不另行通知。

♦在法律法规的最大允许范围内,北京启明星辰信息安全技术有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内,北京启明星辰信息安全技术有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。

♦本手册含受版权保护的信息,未经北京启明星辰信息安全技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

北京启明星辰信息安全技术有限公司北京市海淀区东北旺西路8号中关村软件园21楼启明星辰大厦章节目录章节目录 (3)第1章前言 (5)1.1 导言 (5)1.2 本书适用对象 (5)1.3 本书适合的产品 (5)1.4 相关参考手册 (5)第2章如何开始 (6)2.1 系统概述 (6)2.2 工作原理 (6)2.3 产品特点 (6)2.3.1 与数据库的连接方式 (6)2.3.2 支持的数据库类型 (7)2.3.3 支持的数据库表结构 (7)2.3.4 其他特点 (7)2.4 运行环境 (7)2.5 安装步骤 (7)第3章系统登录 (9)3.1 系统登录 (9)第4章系统选项 (11)4.1 证书设置 (11)4.2 本机地址 (12)4.3HA设置 (13)4.4密码管理 (14)4.5开机启动 (14)第5章通道管理 (15)5.1添加 (15)5.2修改 (16)5.3删除 (16)第6章数据源管理 (17)6.1添加 (18)6.2修改 (19)6.3删除 (20)第7章任务管理 (21)7.1添加任务 (21)7.2修改任务 (29)7.3删除任务 (29)7.4启动、停止任务 (30)7.5设置同步条件 (31)第8章日志管理 (32)8.1日志设置 (32)8.2日志查看 (33)第9章报警管理 (34)第10章统计管理 (35)第11章容错管理 (36)第1章前言1.1 导言《数据库同步客户端操作手册》是天清安全隔离与信息交换系统管理员手册中的一本。

AoDun异常流量检测系统操作手册

AoDun异常流量检测系统操作手册


本手册包括以下章节
产品概述 介绍傲盾异常流量检测系统。
配置指南 介绍傲盾异常流量检测系统使用方法及故障排除等。 3 / 33
产品说明书
目录
异常流量检测系统
1 产品概述 ........................................................................................................................................................ 6 1.1 概述 ........................................................................................................................................................ 6 1.2 关于网络安全 ........................................................................................................................................ 6 1.3 关于傲盾 ................................................................................................................................................ 6 1.4 产品实现概述 ........................................................................................................................................ 7
启明星辰产品管理中心.PPT课件

启明星辰产品管理中心.PPT课件

天清异常流量管理与抗拒绝服务系统
配置报价指导书
启明星辰 产品管理中心 2012.05
.
1
天清ADM产品简介
天清异常流量管理与抗拒绝服务系统(Traffic Anomaly Detection and Mitigation), 简称天清ADM,对异常流量和DDoS攻击进行检测、清洗和限制,由清洗设备Guard、检 测设备Detector和管理中心Manager组成。
选配:功能授 权
业务处理板 接口扩展卡 端口转换模块
选配:硬件板 卡
光口、电口模块 光纤跳线
选配:接口模 块
• Guard必配模块:直流或交流主机 – 所有型号支持直流、交流电源选择; – 默认全性能开启,不含IP授权、容量授权, 性价比高于绿盟。
• 选配:流量管控功能授权 – 提供对P2P等流量的合理管控和限速; – 对于只需要针对DDOS流量进行清洗的场 景可不销售该授权,不影响功能。
• 选配:硬件板卡 – 业务处理板适用于Guard-10100,用于扩 展两个接口扩展卡; – 接口扩展卡:接口扩展(不含光模块)。 – 端口转换模块:Guard-8000及以上型号标 配电口转换为电口和光口(主要用于首次 销售,已售型号转换需返厂)。
• 选配:接口模块 – 公司公用配件,注意万兆XFP和SFP+接口 不能通用。
对漏洞型、流量型和应用 层DDoS攻击进行清洗,对 P2P等异常流量进行限制, 并将干净的流量回注
Internet
异常 流量
通过Flow分析、镜像流和
流量牵引通告
SNMP分析的方法,发现 网络中的异常流量并通知
Guard进行清洗。
异常流量清洗 Guard
攻击 流量
正常 流量
天清汉马USG配置手册簿

天清汉马USG配置手册簿

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。

允许对该接口进行Telnet,PING,HTTPS 操作。

系统默认的管理员用户为admin,密码为g。

用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。

系统默认的审计员用户为audit,密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin,密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理:系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。

网络异常流量清洗系统说明书

网络异常流量清洗系统说明书

5th International Conference on Machinery, Materials and Computing Technology (ICMMCT 2017)An Abnormal Traffic Cleaning SystemYang Li1,a,*, Yanlian Zhang2,b1DIGITAL CHINA(CHINA)LIMITED, Beijing, China2 China Flight test establishment , Xi’an 710089,China,a,*********************Keywords: Abnormal Traffic, Cleaning, Detection, Traffic Re-injectionAbstract.Abnormal traffic cleaning system is proposed, which includes a cleaning platform, a detection platform and a management platform. The cleaning platform is mainly deployed through the bypass to guide the flow of the attacked object to the cleaning equipment. According to the protection strategy, the attack traffic is cleaned and normal traffic, the detection platform complete the detection of traffic for the attack, the management platform to provide cleaning equipment, testing equipment, state monitoring. The system can effectively clean the abnormal traffic and improve the security of the network.1.IntroductionWith the development of network technology and network economy, the importance of network to enterprises and individuals is increasing. At the same time, the network security vulnerabilities are also being increased, the importance of network security issues is also growing. In the metropolitan area network side for enterprise customers to carry out traffic cleaning services to achieve the defences of DDoS attacks, can meet the dual needs of customers. The traffic cleaning service is a kind of network security service for the government and enterprise customers who rent the IDC service and monitor, alarm and protect against the DOS /DDOS attack.2. Architecture of Traffic Cleaning SystemAbnormal traffic cleaning system includes cleaning platform, detecting platform and management platform. These parts of the function may be implemented by a device, or each part of the function realize by a single device.The cleaning platform is mainly deployed through the bypass. It uses the routing protocol to route the attacked objects from the routing device to the cleaning device. According to the protection strategy, the abnormal traffic can be distinguished from the normal traffic to realize the cleaning of the attack traffic and the return of the normal traffic. And feedback the cleaning results to the management platform for unified management and presentation.The detection platform can use splitting, mirroring, or traffic information collection, and can detect the attack traffic based on the traffic baseline policy. After the test platform runs for a period of time in the network, it can form a set of traffic distribution similar to the actual network according to the traffic situation in the actual network. The automatic learning generation or manual configuration forms the traffic baseline. When an attack is detected, an alarm is generated to the management platform.Management platform provide cleaning equipment, testing equipment, state monitoring, and unified policy management, user management, device management and other functions, to provide users with cleaning statements query portal, can send and receive instructions to achieve linkage with other platforms.Traffic cleaning system can interact with external detection alarm system, unified scheduling platform; form a multi-level traffic cleaning system.Figure 1 architecture of traffic cleaning system3.Traffic Cleaning Function3.1 Traffic CleaningSupport clean typical traffic-based attacks, the cleaning of the attack types should include: Syn flood, ICMP flood, UDP flood, Ack flood, TCP connections flooded, DNS flood, HTTP post flood, Https flood. Support clean typical reflection attacks, including at least DNS reply flood, NTP flood and so on.Support cleaning of application-level non-traffic-based attacks, at least should include HTTP slow request attacks, CC attacks. Supports common DOS attack packet cleaning, include Smurf, Land, deformity package, and TearDrop.3.2 Cleaning limitAccording to the user policy, it is defined that when the total traffic rate of the protection object exceeds a certain threshold value, random discarding is carried out, and the flow rate after cleaning is limited below the threshold value.3.3 Black hole cleaningIt is recommended to use the route traction command to implement the black hole policy when the total traffic rate exceeds a certain threshold. This tells the neighbour router to directly flood all the traffic. Black hole routing instructions should support the use of BGP protocol.3.4 Cleaning featureAccording to the characteristics of the attack (such as IP header, TCP header, TCP payload, UDP header and UDP payload, source port, destination port, etc.) to define the precise filtering policy, support the analysis of typical protocol fields, and apply the attack feature to the protection object .3.5 Protection strategyProtection policy for the protection object should be configured. The protection objects should be distinguished by IP addresses. A default protection object policy should be supported to support the creation of a unified protection policy (the default protection policy) for protected objects that do not have explicit IP protection.The protection strategy should include the following:●Support the defence flow threshold and rate of a specific protocol●Support the use of specific cleaning algorithm (including whether the source calibration, etc.)●Support the cleaning strategy when exceeding the protection threshold (traffic rate limit, sub-protocol speed limit, black hole routing, etc.)●Configure the cleaning features of specific attack packets●Supports IP address blacklist function based on attack source geographic information (optional), and blacklist IP address traffic directly intercepts.3.6 Traffic tractionThe traffic cleaning device has a neighbour relationship with the router, and dynamically sends a route advertisement to the upstream (neighbour) router to dynamically draw the traffic of the protected object to the cleaning device. The traffic clean-up platform support dynamic routing traction using the BGP-4 protocol. Traffic cleaning and draining can support OSPF, IS-IS, MPLS LSP, MPLS VPN and other forms of traffic traction requirements.Traffic tracing supports specifying a traffic traction policy for each protection object. It supports setting the mask length for different bits in traffic advertisement for protection objects. The BGP peering policy support the configuration of BGP community, AS path, and other basic attributes. And can configure route-map, prefix-list, and other route filtering modes.The cleaning platform support BGP route advertisements with different attribute parameters for different neighbouring routers. The router can advertise only a route advertisement to a specific neighbour router (not all neighbour routers) to cooperate with the router in the network.3.7 Traffic injectedThe traffic injected through policy routing, MPLS VPN, MPLS LSP, GRE, and Layer 2 injection will be injected into the network.3.8 Traffic balanceDiversion and re-injection of two-way links should be supported through link aggregation, equivalent routing and other forms of drainage, re-injection flow load sharing.3.9 Cleaning source authenticationThe source IP address of the specified attack type should be authenticated according to the user protection policy. The IP address of the source IP address to be authenticated should be used as the source authentication whitelist. No longer need to perform source authentication. The whitelist should have a certain aging time.The number of IP addresses of the whitelist entries must be selected according to the deployment requirements. The total number of whitelist entries should be at least 100,000.4.Detection functionThe detection device support traffic detection by means of one or more means based on traffic information or per packet detection.●Data flow based detection: Supports the analysis of the data flow in the traffic, the acquisitionformat should support a variety of protocol formats, including Netflow V5/V9, Netstream and other protocols, while supporting IPv4 and IPv6 traffic detection.●DPI based traffic detection: Supports packet-by-packet traffic analysis to detect abnormaltraffic events in the network. Supports detection of traffic packets based on detection thresholds, detection features, and so on.●Dynamic baseline learning: The detection equipment supports the dynamic baseline learningtask. It should support dynamic baseline learning at a specified time, support dynamic baseline automatic generation, and support manual adjustment and confirmation of thresholds for dynamic learning.●Attack event Alarm :Alarm event list Including the alarm ID, alarm type, alarm cause,severity, IP address and port to be attacked, the source IP address of the attack, and the source IP address of the attack source, Start time and so on.5.Management functionLogin Management: B/S mode should support the user login management, multi-user landing at the same time, to support more than one login account or only single sign-on. Support mandatory toenable https, support the management of IP address restrictions, the command line should support SSH. RADIUS-based authentication should be supported.User management: It should support a unified operation and maintenance management portal and user service portal capabilities, the system should support the creation of sub-domain for the user to achieve management of the sub-domain management.Protection object management: The protection object is configured by IP address. It should be configured through IP address. It can be configured by IP address segment plus mask. Supports the object protection strategy of the bulk application, protection object (group) number of not less than 1000.Device management: support the management of the device group, and to add, delete and modify the devices in the group. The defence group can be built and the protection strategy of the protection object can be unified. The import and export of device configuration information should be supported.6.Performance requirementsSingle Device Throughput: The throughput of a device should meet the throughput requirements according to the actual requirements in different deployment environments. Packet flooding, DNS flood, ICMP flood, UDP flood, mixed flood, HTTP Get Flood, and so on.Equipment cleaning accuracy: cleaning specifications 90% load, normal traffic and mixed attack traffic according to 1: 9 ratio, the normal business packet loss rate should not be higher than one thousandth, attack traffic leakage blocking rate should not be high One percent.Cleaning delay requirements: cleaning specifications 90% load conditions, the forwarding delay of not more than 80us.Reliability Requirement: The overall reliability of the system should reach 99.999% (software and hardware), that is, the system may not interrupt more than 5.26 minutes during the continuous operation for 1 year.7.External interfaceCleaning system external interface support the establishment of a trusted channel interface to meet the security requirements of transmission, support for domestic encryption algorithm.Interface between the cleaning system and the third-party detection equipment: The attacking alarm reported by the third-party detection platform Syslog should be supported. The protocol and format of the Syslog interface meet the requirements of RFC3164.Management system interface with the external dispatch platform include: data reporting interface: to support the cleaning task start / end of the report, reporting the status of cleaning tasks changes. support the cleaning log, traffic log regularly reported, reported cleaning data, traffic data to the scheduling platform. Can support the cleaning capacity is insufficient cleaning business alarm report. Command issuance interface: It can support the protection strategy and drainage policy of cleaning protection object issued by external management platform. Can support the external platform issued the task of cleaning tasks, scheduling cleaning equipment for cleaning, stop cleaning and other operations.8.ConclusionsAn abnormal traffic cleaning system is proposed in this paper, the architecture of the system is provided, which includes a cleaning platform, a detection platform and a management platform. And this system can improve the security of traffic.References[1] Francesco Gargiulo; Carlo Sansone, (2010) Improving Performance of Network TrafficClassification Systems by Cleaning Training Data, 2010 20th International Conference on Pattern Recognition, 2768 - 2771[2] Byoung-Koo Kim; Dong-Ho Kang, (2016)Abnormal traffic filtering mechanism for protecting ICS networks 2016 18th International Conference on Advanced Communication Technology, 436 – 440[3] Sergey Ageev; Yan Kopchak,(2015) Abnormal traffic detection in networks of the Internet of things based on fuzzy logical inference, 2015 XVIII International Conference on Soft Computing and Measurements (SCM), 5 - 8[4] Tianshu Wu; Kunqing Xie ,(2012) A online boosting approach for traffic flow forecasting under abnormal conditions2012 9th International Conference on Fuzzy Systems and Knowledge Discovery, 2555 – 2559[5] Ayman Mohammad Bahaa-Eldin ,(2011)Time series analysis based models for network abnormal traffic detection The 2011 International Conference on Computer Engineering & Systems, 64 - 70。

天清异常流量清洗系统 ADM-Guard Web 管理用户手册说明书

天清异常流量清洗系统 ADM-Guard Web 管理用户手册说明书

天清异常流量清洗系统A D M-G u a r d W e b管理用户手册北京启明星辰信息安全技术有限公司Beijing Venustech Cybervision Co., Ltd二零一二年五月版权声明北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编:100193 电话:************传真:************您可以访问启明星辰网站:获得最新技术和产品信息。

目录第1章前言 (9)1.1 导言 (9)1.2 本书适用对象 (9)1.3 本书适合的产品 (9)1.4 手册章节组织 (9)1.5 相关参考手册 (10)第2章如何开始 (11)2.1 概述 (11)2.1.1 产品特点 (11)2.1.2 主要功能 (11)2.1.3 硬件描述 (13)2.1.4 软件描述 (15)2.1.5 附带软件描述 (16)2.2 拆箱检查 (16)2.3 安装 (16)2.3.1 检查安装场所 (16)2.3.2 安装 (17)2.3.3 网络连接 (17)2.4 配置管理方法 (17)2.4.1 网络接口WEB配置 (17)2.4.2 网络接口CLI配置 (17)2.4.3 本地串口CLI配置 (18)2.5 登录管理界面 (18)2.5.1 登录方法 (18)2.5.2 证书认证 (19)2.5.3 登录过程 (19)2.5.4 一般配置过程 (20)2.5.5 退出登录 (20)第3章系统管理 (22)3.1 系统信息 (22)3.1.1 版本信息 (22)3.1.2 License信息 (22)3.1.3 设备名称 (23)3.1.4 日期时间 (23)3.2 系统服务 (25)3.2.1 本地服务 (25)3.2.2 SSH服务 (26)3.2.3 Telnet服务 (28)3.2.4 SNMP配置 (29)3.2.5 WebUI超时 (31)3.3 配置管理 (31)3.3.2 存储设备管理 (32)3.3.3 当前配置查看 (33)3.4 维护升级 (33)3.4.1 系统升级 (33)3.4.2 License升级 (35)3.4.3 特征库升级 (35)3.5 证书管理 (36)3.5.1 导入证书 (36)3.5.2 本地证书 (37)3.5.3 CA中心 (42)3.6 集中管理 (45)3.7 批处理工具 (45)第4章网络管理 (46)4.1 网络接口 (46)4.1.1 接口IP地址 (46)4.1.2 接口配置 (51)4.2 ARP (56)4.2.1 静态ARP (56)4.2.2 ARP查看 (58)4.2.3 免费ARP (58)4.3 路由 (59)4.3.1 静态路由 (59)4.3.2 OSPF (62)4.3.3 智能路由 (65)4.3.4 路由表信息 (71)4.3.5 ISIS (71)4.4 DNS设置 (73)4.5 DHCP (74)4.5.1 服务器配置 (74)4.5.2 地址池配置 (75)4.5.3 DHCP中继 (78)第5章IPv6 (80)5.1 网络管理 (80)5.1.1 地址配置 (80)5.1.2 邻居配置 (81)5.1.3 服务段前缀 (81)5.1.4 自动配置 (82)5.1.5 静态路由 (82)5.2 资源定义 (83)5.2.1 地址 (83)5.2.2 服务 (85)5.2.3时间 (90)5.3 防火墙 (97)5.3.1 包过滤 (97)5.3.2 默认过滤策略 (97)5.4 流量牵引 (98)5.4.1 BGP牵引 (98)5.4.2 OSPF (109)5.5 流量分析 (110)5.5.1 自学习配置 (110)5.5.2 自学习管理 (112)5.6 流量清洗 (113)5.6.1 攻击处理方式 (113)5.6.2 日志采样 (114)5.6.3 DNS防护 (114)5.6.4 高级型攻击 (120)5.6.5 自定义特征 (124)5.7 流量统计 (126)5.7.1 事件统计 (126)5.7.2 攻击类型TOP5 (126)5.7.3 攻击来源TOP5 (127)5.7.4 攻击目的TOP5 (127)5.7.5 攻击流量统计 (128)5.7.6 保护域流量统计 (128)第6章虚拟网关 (130)6.1 网关管理 (130)6.1.1 虚拟网关划分 (130)6.1.2 接口归属查看 (132)6.2 全局资源 (132)6.2.1 地址 (132)6.2.2 服务 (137)6.2.3 时间 (142)6.2.4 应用协议 (145)6.2.5 包分类 (146)6.3 全局策略 (150)6.3.1 包过滤 (150)6.3.2 DNAT策略 (151)6.3.3 SNAT策略 (152)6.3.4 长连接 (154)第7章资源定义 (156)7.1 地址 (156)7.1.1 地址列表 (156)7.1.2 地址池 (157)7.1.3 地址组 (158)7.2 服务 (161)7.2.1 服务对象定义 (161)7.2.2 ICMP服务 (162)7.2.3 基本服务 (162)7.2.4 服务组 (164)7.2.5 ALG定义 (165)7.3 时间 (166)7.3.1 时间列表 (167)7.3.2 时间组 (168)7.4 应用协议 (169)7.4.1 应用协议 (169)7.4.2 应用协议组 (170)7.5 包分类 (170)第8章流量牵引 (174)8.1 BGP牵引 (174)8.1.1 BGP本地配置 (174)8.1.2 BGP邻居配置 (175)8.1.3 访问控制链表 (177)8.1.4 路由映射 (179)8.1.5 路由牵引配置 (181)8.2 OSPF (183)8.2.1 配置路由重分发 (183)8.2.2 启动、停止OSPF功能 (184)8.2.3 修改路由器ID (184)8.2.4 设置区域 (184)8.2.5 设置网络 (184)8.2.6 设置网络接口认证 (185)第9章流量分析 (186)9.1 自学习配置 (186)9.1.1 学习配置 (186)9.1.2 学习过程 (188)9.2 自学习管理 (188)9.2.1 学习结果 (188)9.2.2 学习曲线 (189)9.2.3 应用查看 (190)第10章流量清洗 (191)10.1 攻击处理方式 (191)10.2 日志采样 (191)10.3 攻击证据提取 (191)10.3.1 攻击证据提取 (191)10.3.2 捉包分析取证 (192)10.4 DNS防护 (193)10.4.2 域名访问限制 (195)10.4.3 DNS攻击保护 (197)10.4.4 域名长度参数 (199)10.5 基本型攻击 (199)10.6 高级型攻击 (200)10.7 自定义特征 (206)10.7.1 TCP (206)10.7.2 UDP (207)10.7.3 ICMP (207)10.7.4 自定义特征开启配置 (208)第11章流量回注 (209)11.1 接口转发 (209)11.2 启动GRE (211)11.3 隧道配置 (211)第12章流量统计 (213)12.1 事件统计 (213)12.1.1 开启统计 (213)12.1.2 事件统计 (213)12.2 攻击类型TOP5 (213)12.3 攻击来源TOP5 (214)12.4 攻击目的TOP5 (214)12.5 攻击流量统计 (215)12.5.1 即时流量统计 (215)12.5.2 异常流量统计 (215)12.6 保护域流量统计 (215)12.6.1 牵引流量统计 (215)12.6.2 清洗流量统计 (216)第13章防火墙 (217)13.1 包过滤 (217)13.1.1 默认过滤策略 (218)13.2 DNAT策略 (218)13.3 SNAT策略 (220)13.4 二层协议 (221)13.5 地址绑定 (222)13.6 服务器探测 (229)第14章会话管理 (232)14.1 会话配置 (232)14.2 长连接 (232)14.3 会话日志 (233)14.4 会话状态 (233)14.5 同步选项配置 (234)第15章带宽管理 (235)15.1 基于管道的带宽管理 (235)15.1.1 配置中心 (235)15.1.2 管道管理 (235)15.1.3 IP型策略管理 (236)15.1.4 动作管理 (237)15.2 基于接口的带宽管理 (238)15.2.1 物理限速 (238)15.2.2 QoS标签 (240)15.2.3 IPQoS (241)15.2.4 流量监管 (243)15.2.5 流量整形 (246)15.2.6 拥塞管理 (249)15.3 流量优化 (268)15.3.1 带宽借用 (268)15.3.2 流量建模 (271)第16章高可用性 (273)16.1 节点配置 (274)16.2 工作模式 (275)16.3 查看状态 (277)第17章应用安全 (278)17.1 DNS应用防火墙 (278)17.1.1 基本配置 (278)17.1.2 自定义域名监测 (279)17.1.3 静态域名表 (279)17.1.4 域名黑名单 (280)17.1.5 QPS信息 (282)17.1.6 重定向统计 (282)17.2 缓存感染监测 (283)17.2.1 缓存感染监测配置 (283)17.2.2 缓存感染实时监测统计 (283)17.2.3 缓存感染历史监测统计 (284)第18章应用识别 (285)18.1 特征策略 (285)18.2 策略应用 (288)18.3 统计图表 (290)18.4 日志采样 (290)第19章用户认证 (291)19.1 本地用户 (291)19.2 AAA认证 (292)19.2.1 认证服务器 (293)19.2.2 登录用户 (294)19.2.3 在线Portal用户 (294)19.2.4 Portal用户组 (294)19.2.5 Portal服务器 (296)第20章日志信息 (298)20.1 日志配置 (298)20.1.1 日志服务器 (298)20.1.2 终端信息控制 (298)20.1.3 信息终端 (299)20.1.4 U盘日志输出 (301)20.2 日志查看 (301)20.2.1 日志查看 (301)20.2.2 管理日志 (302)20.2.3 会话日志 (302)20.2.4 抗攻击日志 (302)20.2.5 流量牵引日志 (303)20.2.6 云安全日志 (303)20.3 邮件报警 (303)20.3.1 邮件报警 (304)20.3.2 邮件测试 (306)第21章流量可视 (308)21.1 统计配置 (308)21.2 网络概览 (309)21.3 接口统计 (309)21.4 应用统计 (310)21.5 会话统计 (312)21.6 IP统计 (313)21.7 自定义统计 (313)第22章系统监控 (316)22.1 CPU监控 (316)22.2 内存监控 (316)22.3 接口流量统计 (317)第23章在线支持 (318)23.1 技术支持 (318)23.2 关于 (318)第1章前言1.1 导言《天清异常流清洗系统ADM-Guard Web管理用户手册》是启明星辰天清异常流量管理与抗拒绝服务系统(天清ADM)管理员手册中的一本。

迪普-异常流量清洗技术规范书

异常流量清洗技术规范书二O一三年五月目次1 主设备需求 (1)1.1 本期工程主设备配置表 (1)2 总体要求 (1)2.1 硬件设备要求 (1)2.2 软件系统要求 (2)2.3 电源及节能环保要求 (3)2.4 卖方应提供的工程资料 (4)3 主设备技术规范 (5)3.1 流量清洗设备 (5)3.2 流量检测设备 (7)1 主设备需求下表中规格为本期主设备之最低要求,卖方可更换设备品牌、型号等,但卖方提供的设备性能应超过或相当于下表所列设备性能,满足本项目需求。

1.1 本期工程主设备配置表2 总体要求2.1 硬件设备要求(1)卖方提供的所有设备必须是最新且成熟的产品,并保证所提供产品的数量、质量,特别是接口的兼容性。

卖方应对所采用的硬件系统进行详细的功能及性能说明。

(2)设备主要模块(包括电源、风扇、控制引擎、旁路模块等)配置冗余度为1+1,易于扩容和维护。

(3)系统应采用模块化的硬件结构,便于扩充,并能容纳新业务和新数据。

(4)主要设备能在不中断通信的情况下,可带电进行印刷电路板的插拔操作。

(5)卖方提供的设备要选用世界上高质量的元器件,生产过程中进行严格质量控制,出厂前要经买方人员严格测试和检查,确保设备长期稳定、可靠地运行。

(6)卖方应提供设备的具体电磁兼容指标、测试方法和测试数据。

(7)卖方提供的设备应支持不同业务处理板的混插,提高插槽的通用性和灵活性。

(8)设备应具有网络故障和硬件故障告警功能。

(9)当软件升级时,应不影响硬件结构。

(10)对主控模块的要求:主控模块应具有软硬件故障告警功能。

主控模块应有冗余度,保证其安全可靠。

主控模块应具备自动诊断功能以及负荷控制措施。

主控模块应具备故障自动切换功能,在切换过程中不影响用户业务的连续性。

(11)设备应提供过流、过压、过热保护措施。

(12)设备应具有良好的散热性能,并要求卖方对设备的散热方式及原理进行分析。

(13)环境及设备技术参数要求卖方应详细提供设备对温湿度等环境的技术要求指标,并满足工作温度:0~40℃;工作湿度:5%~95%(非凝结)。

天清WAG系统用户手册

图形管理界面用户手册
——天清 WAG
产品名称:天清 WAG 版本标识:V7.0.5.0 单 位:北京启明星辰信息安全技术有限公司
I
GPL 源码副本发布声明
北京启明星辰信息安全技术有限公司(“启明星辰公司”)的天清 WAG 产品正常运行,包含 3 款 GPL 协议的软件(linux、zebra、OpenLDAP)。启明星辰公司愿意将 GPL 软件提供给已经购买 产品且愿意遵守 GPL 协议的客户,请需要 GPL 软件的客户提供:(1)已经购买的产品的序列号; (2)有效送达 GPL 软件地址和联系人,包括但不限于姓名、公司、电话、电子邮、地址、邮 编等;(3)人民币 20 元的光盘费和快递费,客户即可获得产品所包含的 GPL 软件。
II
目录
GPL 源码副本发布声明 ......................................................................................................................... II 第 1 章 Web 管理介绍 ............................................................................................................................ 1
1.2.1 视图切换 ....................................................................................................................... 1 1.2.2 关于 ............................................................................................................................... 5 1.2.3 修改密码 ....................................................................................................................... 6 1.2.4 保存配置 ....................................................................................................................... 6 1.2.5 退出 ............................................................................................................................... 7 1.3 Web 管理 .................................................................................................................................... 7 1.3.1 菜单 ............................................................................................................................... 8 1.3.2 列表 ............................................................................................................................... 8 1.3.3 图标 ............................................................................................................................... 9 1.4 设备默认配置 .......................................................................................................................... 10 1.4.1 设备管理口的默认配置 ............................................................................................. 10 1.4.2 默认用户管理员 ......................................................................................................... 10 1.4.3 默认配置管理员 ......................................................................................................... 10 1.4.4 默认审计管理员 ......................................................................................................... 10 第 2 章 典型配置案例............................................................................................................................ 11 2.1 概述 .......................................................................................................................................... 11 2.2 登录设备 .................................................................................................................................. 11 2.3 系统配置 .................................................................................................................................. 12 2.4 网络配置 .................................................................................................................................. 13 2.4.1 透明模式案例 ............................................................................................................. 15 2.4.2 代理模式案例 ............................................................................................................. 16 2.5 真实服务器配置 ...................................................................................................................... 17 2.6 站点安全配置 .......................................................................................................................... 18 2.7 安全策略配置 .......................................................................................................................... 18 2.8 虚拟服务配置 .......................................................................................................................... 19 2.9 应用监控 .................................................................................................................................. 20 2.10 系统维护 ................................................................................................................................ 21

天清WAG维护手册


安全源自未雨绸缪,诚信贵在风雨同舟


1. 序 ................................................................................................................................................ 1 1.1 目的 ...................................................................................................................................... 1 1.2 适用范围 .............................................................................................................................. 1 1.3 术语表 .................................................................................................................................. 1 1.4 参考资料 .............................................................................................................................. 1 2. FAQ ............................................................................................................................................. 1

天清汉马防火墙培训手册


安全变得简单,从天清汉马开始
配置管理概述
管理员用户与权限表 • • • • • 通过默认管理员或自建管理员用户来进行管理配置; 通过默认管理员或自建管理员用户来进行管理配置; 管理员可以通过本地或Radius进行认证; 进行认证; 管理员可以通过本地或 进行认证 出厂默认管理用户admin,密码 出厂默认管理用户 ,密码g; ; 管理员权限表规定了管理员可以执行的操作; 管理员权限表规定了管理员可以执行的操作; 可以给管理员添加管理IP限制; 可以给管理员添加管理 限制; 限制
安全变单,从天清汉马开始
提纲
• 配置管理概述 • 防火墙基本配置 • 日志功能
安全变得简单,从天清汉马开始
日志功能
USG日志分为 日志分为: 日志分为 • • • • 事件日志 病毒日志 入侵防护日志 流量日志: 支持NetFlow V9 流量日志 支持
安全变得简单,从天清汉马开始
网络地址转换(NAT) 网络地址转换
USG支持以下 支持以下NAT: 支持以下 • 源NAT,按照使用不同可划分为 ,按照使用不同可划分为:
– – – 动态NAT: 源地址映射到一个地址池 源地址映射到一个地址池(NAT Pool); 动态 ; PAT: 所有源地址映射到同一目的地址; 所有源地址映射到同一目的地址; 静态NAT:一对一双向地址映射; 静态NAT:一对一双向地址映射;
安全变得简单,从天清汉马开始
高可用性(HA) 高可用性
配置USG工作于主备模式 工作于主备模式: 配置 工作于主备模式
安全变得简单,从天清汉马开始
高可用性(HA) 高可用性
察看当前HA的工作状态与同步情况 察看当前 的工作状态与同步情况: 的工作状态与同步情况

联想网御异常流量管理系统LeadSec-Detector(第二版)用户使用手册

Leadsec-Detector 用户手册联想网御异常流量管理系统 LeadSec-Detector 用户使用手册联想网御科技(北京)有限公司目录目 录1 系统简介 ........................................................................................................................5 1.1 应用背景 .................................................................................................................5 1.2 相关定义 .................................................................................................................6 2 产品入门 ........................................................................................................................8 2.1 产品描述 .................................................................................................................8 2.1.1 单机部署 ..........................................................................................................8 2.1.2 分布式部署 ......................................................................................................9 2.2 主要功能 .................................................................................................................9 2.3 登陆 .......................................................................................................................10 2.3.1 登陆地址 ........................................................................................................ 11 2.3.2 https登陆 ......................................................................................................... 11 2.3.3 登陆密码 ........................................................................................................ 11 2.3.4 注意 ................................................................................................................ 11 2.4 界面主框架 ........................................................................................................... 11 2.4.1 主功能菜单 ....................................................................................................12 2.4.2 导航树 ............................................................................................................12 2.4.3 工作区 ............................................................................................................13 2.4.4 界面控制 ........................................................................................................13 3 采集器介绍 ..................................................................................................................15 3.1 功能说明 ...............................................................................................................15 3.2 命令行接口说明 ...................................................................................................15 4 服务器介绍 ..................................................................................................................17 4.1 功能模块 ...............................................................................................................17 4.2 功能列表 ...............................................................................................................17ii联想网御异常流量管理系统 Leadsec-Detector5 功能详述 ......................................................................................................................19 5.1 主页 .......................................................................................................................19 5.1.1 IP攻击审计......................................................................................................19 5.1.2 攻击频次统计 ................................................................................................20 5.1.3 攻击分布 ........................................................................................................20 5.2 异常管理 ...............................................................................................................20 5.2.1 攻击分布 ........................................................................................................20 5.2.2 攻击查询 ........................................................................................................24 5.2.3 攻击审计 ........................................................................................................26 5.3 攻击处理 ...............................................................................................................29 5.3.1 清洗设备 ........................................................................................................29 5.3.2 牵引策略 ........................................................................................................33 5.4 网络配置 ...............................................................................................................36 5.4.1 路由器配置 ....................................................................................................37 5.4.2 采集器配置 ....................................................................................................40 5.5 牵引配置 ...............................................................................................................43 5.5.1 全局配置 ........................................................................................................43 5.5.2 邻居配置 ........................................................................................................44 5.5.3 映射配置 ........................................................................................................46 5.5.4 访问控制 ........................................................................................................47 5.6 基线管理 ...............................................................................................................49 5.6.1 规则配置 ........................................................................................................49 5.6.2 模板配置 ........................................................................................................53 5.6.3 基线配置 ........................................................................................................56 5.7 系统配置 ...............................................................................................................64 5.7.1 用户管理 ........................................................................................................64 5.7.2 服务器管理 ....................................................................................................65 5.7.3 集中管理 ........................................................................................................67 5.7.4 攻击记录管理 ................................................................................................68iii目录5.8 攻击告警 ...............................................................................................................69 5.8.1 告警邮件配置 ................................................................................................69 5.8.2 Syslog配置 ......................................................................................................72 5.9 帮助 .......................................................................................................................73 5.9.1 快速上手 ........................................................................................................73 5.9.2 在线 ................................................................................................................74 5.9.3 关于 ................................................................................................................75 6 配置手册 ......................................................................................................................76 6.1 配置步骤 ...............................................................................................................76 6.2 配置准备 ...............................................................................................................76 6.3 路由器配置 ...........................................................................................................77 6.4 采集器配置 ...........................................................................................................79 6.5 配置清洗方案 .......................................................................................................79 6.6 配置基线 ...............................................................................................................79iv联想网御异常流量管理系统 Leadsec-Detector1 系统简介联想网御异常流量管理系统 Leadsec-Detector 为那些依赖高度可靠和完全优化网络 的公司建造可用性解决方案。

天清入侵防御系统_V6.0.2.6_安装手册

产品安装手册——天清入侵防御系统产品名称:天清入侵防御系统版本标识:V6.0.2.6单位:北京启明星辰信息安全技术有限公司北京启明星辰信息安全技术有限公司天清IPS产品安装手册版 权 声 明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容,其著作权及相关权利均属于北京启明星辰信息安全技术有限公司(以下简称“本公司”),特别申明的除外。

未经本公司书面同意,任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权,受著作权法保护。

该内容仅用于为最终用户提供信息,且本公司有权对其作出适时调整。

“天清”商标为本公司的注册商标,受商标法保护。

未经本公司许可,任何人不得擅自使用,不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利(申请)权、专有权,提供本手册并不表示授权您使用这些技术(秘密)。

您可通过书面方式向本公司查询技术(秘密)的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠,但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作,其内容如有更改,本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2008年6月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

1目 录第1章 简述 (2)第2章 安装准备 (3)2.1 控制中心安装准备 (3)2.1.1硬件需求 (3)2.1.2 软件需求 (4)2.2 引擎安装准备 (4)2.3 网络资源准备 (5)第3章 开箱检查 (6)第4章 控制中心安装配置 (7)4.1.1 MSDE数据库 (8)4.1.2 入侵防御系统 (8)4.1.3 天清使用Oracle数据库的注意事项 (14)4.1.4控制中心卸载 (15)第5章 引擎安装配置 (16)5.1 标识说明 (16)5.1.1接口说明 (16)5.2 超级终端安装及设置 (17)5.3 引擎配置 (22)5.3.1 配置菜单介绍 (23)5.3.2 初始应用 (26)第6章 产品可用性检查 (27)第7章 产品部署 (29)7.1 控制中心部属 (29)7.2 引擎部属 (29)北京启明星辰信息安全技术有限公司天清IPS产品安装手册7.3 产品应用设置 (29)附录一:快速使用指南 (31)一、快速使用流程 (31)二、多级管理设置 (35)附录二:数据源的配置 (39)附录三:Windows2003上报表查询速度优化建议方案 (43)1.现象描述 (43)2.现象分析 (44)3.解决建议方案 (44)(1)对报表模块的使用建议 (44)(2)产品部署建议 (45)(3)硬件配置和操作系统选择建议。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

39
天清ADM-Guard 培训文档
–主要抗攻击功能概述以及配置方法 –Guard上线配置过程 –Guard上线配置方案-思考
–实施部署注意事项
40
Guard上线配置过程
基本网络配置: 1. 2. 配置网络接口:桥接口,路由口 路由配置
3.
4. 5.
Nat 策略配置
Filter 策略配置-Guard:filter default accept 网络调试:基本网络是否通畅
答: 详见《天清异常流量清洗系统ADM-Guard部署方案手册》
48
天清ADM-Guard 培训文档
–主要抗攻击功能概述以及配置方法 –Guard上线配置过程 –Guard上线配置方案-思考
–实施部署注意事项
49
实施部署注意事项
1. 做保护策略时,注意不要使用没有方向行的PCP,eg: Guard 8000(config)#pcp all destination-ip net 0.0.0.0 0.0.0.0。 2. 旁路部署时,要注意不要将所有的数据流都牵引到设备上,这 样设备的压力会比较大。只要将要保护的数据流牵引到Guard上 就好。 3. 旁路部署时,session状态检测不能配置成严格状态检测。 4. 配置udpflood时最好开启DNS保护。 5. 透明模式部署时,最好要开启bypass功能。 而且绑定ge0/0/0 、ge0/0/1在一个桥下,ge0/0/2、 ge0/0/3在一 个桥下。 6. Guard下发到目的牵引路由时,保证牵引路由的掩码长度大于原 路由的掩码长度,保证流量能被牵引到Guard上。 7. 配置抗攻击策略时,建议要采用策略类型递增的方式来配置, 来保证正常上线的稳定性。 8. Ha 配置不支持非对称网络环境。
Step2:添加缓存代理策略
38
DNS安全
• 缓存代理
Step3:当dns服务器down机后,设备代理DNS服务器回复DNS请求。 原理说明: • 配置了DNS服务器探测和DNS代理 功能后,设备会学习DNS请求回应过 程,形成DNS缓存; • 当DNS服务器状态正常时,设备正 常转发DNS报文; • 当DNS服务器状态不正常,设备启 用代理功能,收到DNS请求后,根据 缓存信息模拟DNS服务器回应DNS请 求报文。
32
DNS安全
• DNS应用防火墙功能-静态域名
功能说明:Guard的ge0/0/0口收到 的dns请求后,会代替DNS服务器回应
192.168.1.1给请求方,并限制响应速率为10000qps。
33
DNS安全
• DNS应用防火墙功能-黑名单以及黑名单地址重定向
1. 域名黑名单:按指定的时间段,阻断指定域名() 的DNS请求报文。 2. 重定向: 黑名单阻断时,将地址重定向到指定IP(192.168.10.1)
10
高级型攻击
Web防护: 1、httplood:按指定阈值限制每个 源IP地址的http访问,可以指定 http端口,可以开启黑名单,超过 阈值的源Ip被加入黑名单; 2、cc:采用以下几种算法对http 访问进行验证,tag 、cookies、url、 asc、advanceurl ,丢弃验证失败的 报文; 3、URL-protect:对指定的URL以及 IP地址进行防护,可以对指定的url 或IP进行放行、阻断、或者交由 web cc模块处理。
Web UI配置:
功能概述:
• 阻断指定的IP地址的指定流量; • 可以指定源、目的IP,指定协议、端口等。
4
DNS防护
Webui 配置过程:
Step 1
Step2
5
DNS防护
Webui 配置过程:
Step 3
6
DNS防护
1、dns response flood:限制整个pcp 每秒dns响应报文的数量; 2、全局统计:限制整个pcp每秒请求 报文的数量; 3、高级防护: A、限制pcp中每个源IP每秒的DNS 请求报文的数量; B、指定域名黑名单:阻断指定域 名的DNS请求; C、指定域名白名单:放行指定域 名的DNS请求; D、域名访问限制:限制指定域名 的每秒请求数量; E、自动域名防护:对各个域名的 DNS请求进行控制。 4、特征检测:丢弃非法的dns请求、 丢弃超过指定域名长度dns报文、丢 弃ttl超过指定长度的dns报文。
34
DNS安全
• 缓存感染检测---响应报文检测
功能说明: 通过检测到指定DNS服务 器的DNS响应报文数量, 来检测指定DNS服务器是 否遭受投毒,若超过指定 QPS(10000),则认为 是有缓存感染。对超过的 QPS报文根据指定的处理 方式进行预警或丢弃。
35
DNS安全
• 缓存感染检测---递归请求报文检测
50
谢 谢!
51
功能说明: 通过检测DNS服务器到授 权服务器的DNS递归请求 报文数量,来检测网络中 是否有DNS攻击报文,若 超过指定QPS(10000), 则认为是有缓存感染。对 超过的QPS报文根据指定 的处理方式进行预警或丢 弃。
36
DNS安全
• 缓存代理
Step1:添加服务器探测
37
DNS安全
• 缓存代理
配置网络环境相关 1. 旁路: 牵引:Bgp 配置、ospf 汇注:静态路由、MPLS 、GRE 、端口转发 HA:节点配置、 工作模式配置、同步选项配置 检测网络环境是否畅通
2. 3.
配置抗攻击保护策略:
1. 2. 3. 资源定义:地址对象、服务、时间。 Pcp:我们要检测的数据流。 抗攻击保护策略1、抗攻击保护策略2。。。
• 自定义特征 • 其它配置 • 攻击统计 • DNS安全
3
黑名单配置
命令行配置:
blockip src-ip ip 192.168.92.4 dst-ip ip 189.16.120.49 proto 1 blockip src-ip net 192.168.92.0 24 dst-ip ip 189.16.120.49 proto name tcp destination-port 21
天清异常流量清洗系统ADM-Guard 配置培训
2012年05月20日
1
天清ADM-Guard 培训文档
–主要抗攻击功能概述以及配置方法 –Guard上线配置过程 –Guard上线配置方案-思考
–实施部署注意事项
2
天清ADM-Guard主要功能概述
• 黑名单 • DNS防护 • 高级型攻击 • 流量分析
Guard webUI 端口转发相关配置:
46
天清ADM-Guard 培训文档
–主要抗攻击功能概述以及配置方法 –Guard上线配置过程 –Guard上线配置方案-思考
–实施部署注意事项
47
Guard上线配置方案 –思考?
思考: Guard能支持那些组网环境? Guard在各种组网中具体的应该怎么配置? Guard上的ha配置参数具体的线网环境中应该怎么配置? Guard上的bpg配置参数,线网环境中应该怎么配置? 怎么配置GRE?怎么配置端口转发?
41
Guard上线配置过程
Guard webUI HA相关配置:
42
Guard上线配置过程
Guard webUI BGP相关配置:
43
Guard上线配置过程
Guard webUI mpls相关配置:
44
Guard上线配置过程
Guard webUI GRE相关配置:
45
Guard上线配置过程
开启自定义
19
其它配置
1、攻击处理 方式配置:设 置检测到的攻 击报文的处理 方式
2、日志采样: 每检测到多少 个攻击报文记 录一次攻击日 志
20
其它配置
攻击取证提取-攻击证据提取
功能描述:将检测到的攻击报文按设定的采样率转发到指定接口上。
21
其它配置
攻击取证提取-抓包分析取证
功能描述:将指定PCP的数据报文按指定采样率抓包后,放在指定ftp服务器。
7
高级型攻击
Webui 配置: Step1:配置pcp
8
高级型攻击
Webui 配置: Step2:配置保护策略
9
高级型攻击
流量型攻击: 1、conflood:按指定阈值限制每 个源IP地址的并发连接数,可以指 定协议类型(icmp、tcp、udp)以 及协议端口,可以开启黑名单,超 过阈值的源Ip被加入黑名单; 2、synflood:支持代理和白名单两 种算法,开启白名单时阈值建议设 置为0; 3、ackflood:对没有对应的session 的ack报文进行丢弃。在桥模式下 建议不要开启; 4、其它的流量型攻击只是按阈值 对特征报文进行丢弃,不在一一列 举。
22
攻击统计
开启流量统计配置
23
攻击统计
生成统计报表
24
攻击统计
攻击类型Top5
25
攻击统计
攻击源Top5
26
攻击统计
攻击目的Top5
27
攻击Байду номын сангаас计
攻击流量统计
28
攻击统计
异常流量统计- 流量统计
29
攻击统计
异常流量统计-攻击排行
30
DNS安全
• DNS应用防火墙功能 协议安全级别 静态域名 黑名单\黑名单重定向 • 缓存感染检测 响应报文检测 递归请求报文检测 • 缓存代理
31
DNS安全
• DNS应用防火墙功-协议安全级别
功能说明: •低级:检测协议首部格式,请求 包qr字段必须为0,长度过长或者 过短(DNS部分为空的包)等,发 现异常阻断报文。 •中级:检查报文回答,权威和附 加信息部分格式,如发现异常阻断 报文。 •高级:对报文进行深度分析,包 括域名,记录类型,长度等,如发 现异常阻断报文。