天融信入侵防御系統一本通
天融信入侵防御系統的工作原理主要包括如下兩方面:
l處理數據流
入侵防御系統的作用是通過對流經設備的網絡數據包進行安全檢查,尋找出違反安全策略的行為或攻擊跡象,即時阻斷或并發出報警。TopIDP是通過直接嵌入到網絡中實現這一功能的,即通過一個網絡端口接收來自外部網絡的數據,再通過另外一個端口將它傳送到內部網絡中。這樣一來,有問題的數據包,以及所有來自同一數據流的后續問題數據包,都能在TopIDP設備中被清除掉。
TopIDP處理數據包的基本過程可以分為以下幾個步驟:
1)對接收到的數據包進行協議分析,如果是TCP數據則進行流重組。
2)根據管理員設定的檢測和阻斷策略按照先后順序對數據報文進行安全檢查,安全檢查包括攻擊檢測、病毒檢測、應用識別和URL過濾,如果有匹配策略的數據報文,將按照策略指定的動作對數據報文進行報警或阻斷。
3)對于允許通過的數據報文,直接轉發該數據報文。
l匹配安全策略
檢測和阻斷策略,是一組管理員自己根據實際網絡需求配置的安全策略,這些策略描述了滿足哪些條件的報文可以通過TopIDP,以及滿足哪些條件的報文將被TopIDP阻斷。每一條安全策略中的信息主要包括:報文的源地址、目的地址、使用的規則集以及對滿足條件的報文進行何種操作(通過或阻斷)。
在檢測和阻斷策略中:
源定義了報文的來源,源可以是區域,也可以是一個地址對象(如主機、子網、范圍類地址對象等)或地址組對象。當報文的源地址屬于源的范圍,則被認為滿足源約束條件。
目的定義了報文的目的地址范圍,與源相同,可以是一個區域,也可以包括一個地址對象(如主機、子網或范圍類地址對象)或地址組對象。當報文的目的地址屬于目的范圍,則被認為滿足目的約束條件。
規則集定義了匹配該安全策略的報文其內容應當滿足的條件,主要包括攻擊檢測、病毒檢測、應用識別和URL過濾4大類規則。
時間控制定義安全策略有效的時段,即在哪一天或哪一時段安全策略有效。一個報文和某一安全策略匹配是指報文的源地址包含于安全策略源定義、報文目的地址包含于安全策略目的以及報文內容滿足策略定義。如果定義了訪問時間,則報文的接收時間也必須滿足安全策略訪問時間約束。即只有當一個報文完全符合安全策略中所規定的所有條件時,這條安全策略才匹配該報文。
TopIDP按照如下步驟匹配報文的安全策略:
按照安全策略的順序,依次匹配定義的安全策略。一旦發現匹配報文的安全策略,TopIDP將停止安全策略匹配檢查,并根據最先匹配的那一條安全策略的規則定義、處理報文(檢測或阻斷)。如沒有任何安全策略能夠匹配該報文,則TopIDP將允許該報文通過系統。
l系統組成
|
參數 |
說明 |
|---|---|
|
硬件 |
1U設備、2U機架型設備。 |
|
軟件 |
支持v3.3.005.660k.15_smpidp版本及后續升級版本。 |
|
其他配套軟件 |
無。 |
l系統型號
TopIDP系列產品按照整機吞吐性能分為1G、2G、5G、6G、8G、10G、15G、20G、40G等多個型號,各個型號功能完全相同,主要區別在于設備性能和接口數量,各型號具體規格請聯系天融信相關產品接口人。
l產品外觀
以TopIDP 3000(TS-72384)為例:
l設備電源
TopIDP支持直流供電和雙交流供電,具體可根據用戶需要進行選擇。雙交流供電是指從兩個不同的交流電源接收交流電輸入。這種方式下,可將TopIDP分別接入這兩個獨立電源中,這樣即使一個電源出現故障也不會影響電源可靠性。電源開關和電源線插槽位于機箱的后面板。
額定電壓范圍:100V~240VAC,47Hz~63Hz交流電流。
最大輸出功率:TS-72380、TS-72384和TS-82380型號的產品為760W,TS-52628、TS-52528和TS-62324型號的產品為300W。其他型號產品的最大輸出功率略有不同,具體參數請咨詢天融信相關產品接口人。
安裝前準備工作
l隨機附件
安裝TopIDP之前,請打開產品的隨機配件盒檢查配件是否齊全。產品的配件與產品型號相關,具體請參見裝箱物品清單。主要配件如下表所示。
|
配件 |
說明 |
|---|---|
|
直通線(直連網線) |
接入網絡時,一般需要使用直通線,如TopIDP與交換機等的連接。 |
|
電源線 |
每臺設備都配備一根或兩根電源線。 |
|
上架掛耳 |
如果需要將TopIDP放到機架上,請用上架掛耳將其固定。 |
|
上架螺絲 |
上架時需要使用的螺絲。 |
|
串口線 |
使用TopIDP的串口配置時,需要使用串口線。 |
|
隨機光盤 |
內有《TopIDP一本通》和《TopIDP快速配置手冊》。 |
除隨機配件盒內物品外,還需要進行如下表所示的準備工作。
|
項目 |
說明 |
|---|---|
|
IP地址 |
請在網絡中給TopIDP預留一個IP地址。 |
|
管理主機 |
配置TopIDP需要一臺管理用的主機,配置時需要通過網線連接后使用HTTPS。 |
|
終端軟件 |
能夠連接串口的終端軟件(如超級終端軟件)。 |
|
瀏覽器 |
支持IE9及以上版本或Firefox45以上版本的瀏覽器,建議使用Firefox瀏覽器訪問。并啟用瀏覽器允許彈出窗口屬性。瀏覽器需支持SSLv2.0、SSLv3.0 或TLSv1.0協議中的任意一種。 |
l環境要求
為保證TopIDP正常工作,并延長使用壽命,機房內需維持一定的溫度和濕度。若機房內長期濕度過高,易造成絕緣材料絕緣不良甚至漏電,還會發生材料機械性能變化、金屬部件銹蝕等現象;溫度過高會加速絕緣材料老化,使TopIDP的可靠性大大降低,嚴重影響其使用壽命。
|
硬件設備安裝 |
硬件設備有如下兩種安裝方式:
l安置于平臺上
多數情況下,用戶并不具備19英寸標準機柜,常用的方法就是將TopIDP放置于干凈的工作臺上。此種操作比較簡單,操作中需注意如下事項:
Ø保證工作臺的接地與穩定性
ØTopIDP四周留出10cm的散熱空間
Ø不要在TopIDP上放置重物
l安裝到機柜中
TopIDP是按照19英寸標準機柜的尺寸進行設計的,一般遵循如下步驟進行安裝:
|
步驟1 |
檢查機柜的接地與穩定性。用螺釘將固定掛耳固定在TopIDP前面板兩側。將TopIDP設備置于機柜的一個托架上。根據實際情況,沿機柜導軌移動TopIDP至合適位置,注意保證其與導軌間的合適距離。 |
|
步驟2 |
用滿足機柜安裝尺寸要求的螺釘將TopIDP通過固定掛耳固定在機柜上,保證TopIDP在機柜上的位置水平并牢固。本地一臺管理主機通過CONSOLE線纜與TopIDP的CONSOLE口連接,供超級管理員進行初步配置。把TopIDP的網絡接口通過直通網絡線與對應安全區域中的網絡設備相連接。 |
|
步驟3 |
通過電源線連接TopIDP設備和電源。 |
|||
|
步驟4 |
啟動TopIDP設備電源(電源開關位于設備后端)。 |
|||
|
安裝后檢查 |
|
|||
|
|
|
|
||
在TopIDP安裝完成后,加電前需進行安裝檢查,檢查事項如下:
l請檢查TopIDP周圍是否留有足夠的散熱空間,機柜是否穩固;
l檢查電源線所接電源與TopIDP要求的電源是否一致;
l檢查TopIDP的保護地線是否連接正確;
l檢查TopIDP與配置終端等其它設備的連接關系是否正確。
|
|
²TopIDP安裝完成后的檢查非常重要,因為安裝的牢固與否、接地良好與否、電源要求匹配與否等都將直接關系到TopIDP的正常使用。 |
TopIDP的硬件設備安裝完成通電后可使用。在TopIDP工作過程中,用戶可以根據TopIDP面板上的指示燈來判斷TopIDP的工作狀態,具體請見下表。
|
指示燈名稱 |
指示燈狀態描述 |
|
工作燈(Run) |
綠色燈。當入侵防御系統進入工作狀態時,工作燈閃爍。 |
|
主從燈(M/S) |
黃色燈。主從燈亮的時候,代表這臺設備是工作設備;反之,如果主從燈處于熄滅狀態,則該入侵防御系統工作在備份模式。 |
|
管理燈(MGMT) |
黃色燈。當網絡管理員,如安全審計管理員,登錄入侵防御系統時,管理燈點亮。 |
|
日志燈(Log) |
黃色燈。當有日志記錄動作發生時,且前后兩次日志記錄發生的時間間隔超過1秒鐘時,日志燈會點亮。 |
|
|
²不同型號的天融信入侵防御系統的指示燈可能會有所區別。 |
