搜索
搜索

服务与支持

近期热点
全部分类
分类:
近期热点
2019-11-19 21:12:18

一般WAF上下游设备有启动HA主备或主主模式,在此情况下,WAF不配置HA,两台WAF独立部署

1)两台WAF设备独立部署不做HA,做独立部署并保持双活。因为上下游设备做主备方式,减少因为防火墙、交换机、其他设备WAF HA切换机制不同步导致的震荡,保证客户业务的连续性。

2)两台WAF设备不做自动同步,可防止错误配置的传递。否则,可能其中一台设备配置错误(如事件动作配置,接口,安全等)后会直接同步到另外一台设备,导致两台设备都有错误配置,存在业务中断的风险。

3)WAF设备配置说明

独立部署

1、 如果一条链路穿过WAF,配置一个透明桥如果有两条链路穿过WAF,则配置2个透明桥。

2、 配置接口同步联动

3、 启动宽松检查

host> enable                 

host# configure terminal       

host(config)# ip inspect check loose        

4、 乱序优化命令,命令行下输入(串口下,或telnetssh):

host> enable                 

host# configure terminal

host(config)# tcpssn check-time on     

host(config)# tcpssn check-time 1       

5、 开启网线模式

host> enable                 

host# configure terminal

host(config)# br-fdb-learning disable

配置保存:web界面保存即可。

分类:
近期热点
2019-11-19 21:12:18
分类:
近期热点
2019-11-19 21:11:39

(1) 网络慢或特殊应用慢可能是网络中的乱序包太多导致,解决办法,命令下输入如下命令

host> enable                 

host# configure terminal

host(config)# tcpssn check-time on     

host(config)# tcpssn check-time 1  

(2) 可能来回路径不一致,启动宽松检查。

host> enable                 

host# configure terminal       

host(config)# ip inspect check loose

(3) 查看应用监控>安全事件监控,通过IP和端口查询,是否有阻断或丢弃日志。

(4) 应用防护>虚拟服务,相应虚拟服务不引用站点安全查看是否解决。

(5) 如果不引用站点安全问题解决,则为站点安全中检测模块或事件引擎所致,进一步排查站点安全配置。

(6) 站点安全模块导致阻断,在安全事件监控中查询不到安全日志,请检查所有站点安全模块及事件引擎日志是否开启。检查系统配置>日志配置>本地显示是否开启,级别是否配置为信息。日志合并功能是否为关闭状态。

(7) 有攻击导致并发数过高,设备丢包。设备首页观察CPU及内存利用率。内存利用率到70%则可怀疑并发数高导致,双核设备CPU利用率到50%、四核设备CPU利用率到60%、十核设备CPU利用率到70%则可认为CPU性能导致。

(8) 如果突然5分钟中断,查看是否有临时阻断或动作为阻断源地址的日志。

(9) 性能不足,命令行下show top,查看CPU0外的CPU的情况,web界面不能查看业务占用cpu情况。查看接口状态show interface,看看速率,看看是否有丢包。

(10) 检测安全策略是否配置正确

(11) 检查站点安全是否启用了日志

(12) 特殊业务,开启桥透传,接口-接口-桥透传设置。

(13) 抓包看,抓包方法见上文6.抓包功能

(14) 几个排查开关

1、 软件BYPASS设置

是在系统负载达到预置的阀值时,自动软件BYPASS不进行上层检测,系统负载下降到预置的阀值时关闭软件BYPASS进行上层检测。

进入系统配置>告警配置>软件BYPASS配置,配置切换软件bypass条件。

命令行开启/关闭软件bypass

onekey-bypass  enable  开启bypass

onekey-bypass  disable  关闭软件bypass

2、 硬件bypass。

电口默认带bypass。光纤板卡只要型号中没有bypass字样,就不支持bypass。光板卡bypass版本比较特殊,无需插入光模块,直接插入光纤跳线即可。

(15) 开启netmap命令后,查看业务流畅情况。

(16) 启动网线模式,降低fdb变更频繁带来影响

host> enable                 

host# configure terminal

host(config)# br-fdb-learning disable

(17) 版本太老,需要升级

(18) 一般2017年及以前版本,建议升级到最新版本。

分类:
近期热点
2019-11-19 21:11:39
分类:
近期热点
2019-11-19 21:11:00

引擎说明

IPS的防病毒模块支持安天(也叫专用病毒库)和卡巴斯基,两个引擎只能同时启用一个。

支持协议

不支持文件共享查毒,支持FTP、HTTPPOP3IMAPSMTP查毒(需要明文,IPS能还原出文件),能否报出,除了升级最新病毒配置正确外,可以先在演示环境的病毒列表中,查询下是否支持,另外病毒变种很多,不能保证都能报出。

安天说明

安天要下载专用病毒库

文件屏蔽

文件屏蔽功能不需要购买防病毒授权,在安全防护表中开启即可。文件屏蔽会匹配后缀名(屏蔽列表中的后缀名区分大小写),只要后缀名相同则拦截。

文件扫描

文件扫描需要防病毒引擎授权,会对满足匹配列表中后缀(区分大小写)的文件进行扫描,一旦发现病毒则拦截(pop3支持告警)。支持FTPHTTPPOP3IMAPSMTP查毒。

分类:
近期热点
2019-11-19 21:11:00
分类:
近期热点
2019-11-19 21:10:29

先匹配安全策略(类似先查身份证进站)-然后匹配安全防护表(然后进行各种安检)

通过:数据包正常通过,不做任何过滤和阻断措施。比较常见。

重置:为推荐动作。NIPS设备向会话两端发TCP Reset,主动拆除当前事件所在会话。比较常见。

丢弃:丢弃当前数据包,但并不断开当前连接。不常见,不建议。

丢弃会话:清除NIPS设备上的当前事件会话信息新版本会同时拆除当前事件所在会话等同reset。不常见,不建议。

阻断源地址阻断源地址的访问,默认时间5分钟不可修改。比较常见,但需谨慎使用。但不适合做源NAT或负载代理的场合。

分类:
近期热点
2019-11-19 21:10:29
分类:
近期热点
2019-11-19 21:10:00

系统管理-维护-监控-自定义抓包。直接可以看到抓包按钮并下载抓包文件。

如果抓包量较大,可能会影响性能。

事件也可以触发抓包,自定义事件-选择一个事件,修改事件启用抓包功能

日志与报告-日志报表-入侵防御事件抓包,下载即可

wireshark可以打开cappcap为后缀的抓包文件

分类:
近期热点
2019-11-19 21:10:00
分类:
近期热点
2019-11-19 21:09:33

安全策略数字为红色

先匹配安全策略(类似先查身份证进站)-然后匹配安全防护表(然后进行各种安检)

如果安全策略显示为红色,表示近期修改过策略配置。

事件白名单设置方式

1) 自定义一个事件,如test,设置部分事件动作为通过,且不记录日志;

2) 新建一条安全防护表,如test,并引用此事件集test

3) 新建一个地址对象如test,保护此白名单IP

4) 为地址对象test设置一条安全策略,放第一条,引用此安全防护表test

5) SQL和XSS白名单请查看手册和专门的文档说明

IPS本地没有日志

如果全部流量https协议或VPN等加密流量,则正常。IPS不检测加密流量。

分类:
近期热点
2019-11-19 21:09:33
分类:
近期热点
2019-11-19 21:08:56

支持项:

支持v6报文基本协议解析、检测

ipv6分片重组

ipv6扩展头解析

支持双栈,即v4、v6同时运行,支持6over44over6隧道

支持v6检测及桥转发、静态路由

管理支持v6地址管理

支持v6地址HA主主、主备模式

 

不支持项:

控制中心不支持v6地址连接引擎

不支持v6动态路由

不支持nat64

不支持v6特征库升级(不支持通过v6协议远程升级特征库)

分类:
近期热点
2019-11-19 21:08:56
分类:
近期热点
2019-11-19 21:08:25

不需要配置HA

一般IPS上下游设备启动HA“主备”模式(不建议“主主链路),在此情况下IPS不配置HA,两台IPS独立部署

原因

1)两台IPS设备IPS独立部署不做HA,做独立部署并保持双活。因为上下游设备做主备方式,减少防火墙/其他设备、交换机和IPS三类的HA切换机制不同导致的震荡,保证客户业务的连续性。

2)两台IPS设备不做自动同步,可防止错误配置的传递。否则,可能其中一台设备配置错误(如事件动作配置,接口,安全等)后会直接同步到另外一台设备,导致两台设备都有错误配置,存在业务中断的风险。

3)后期维护:两台IPS之间不进行配置同步,当优化完一台设备配置(日常维护主要涉及自定义事件集的调整)后,通过IPSweb页面将自定义事件集导出并保存;在另一台设备通过web页面导入已确认无误的自定义事件集,IPS通过web页面配置重新加载新导入的事件集(新导入的事件会采用新名称),完成本台设备的维护工作。 

 

配置说明

2、 独立部署

3、 如果一条链路穿过IPS,配置一个透明桥如果有2条链路穿过IPS,则配置2个透明桥如果有3条链路穿过IPS,则配置3个透明桥。

4、 配置端口-链路状态联动

5、 系统管理-维护-系统管理,启动宽松检查

6、 乱序优化命令,命令行下输入(串口下,或telnetssh):

en

config t

tcpssn check-time on

tcpssn check-time 1

7、 开启网线模式

Link intelligent

配置保存:web界面保存即可。

分类:
近期热点
2019-11-19 21:08:25
分类:
近期热点
2019-11-19 21:07:45

IPS设备需要配置透明桥来实现无需做端口聚合和链路捆设置减少IPS配置,减少故障点,上下游设备做端口聚合。

有几条链路通过就部署几个透明桥1条链路通过就部署1个透明桥2条链路通过就部署2个透明桥3条链路通过就部署3个透明桥

其他配置如下

(1) 系统管理-维护-系统配置,启动宽松检查

(2) 配置端口联动(产品中叫“链路状态联动”),看下面的章节和具体手册。

(3) 乱序处理命令

enable

conf t

tcpssn check-time on

tcpssn check-time 1

(4) 网线模式

link intellgent

(5) 某部署案例说明

下图中,上下交换机两条线做端口聚合,FW做主备模式,IPS两台设备单机运行(不做HA,具体看HA环境部署说明)

 

分类:
近期热点
2019-11-19 21:07:45
分类:
近期热点
2019-11-19 21:06:48

1、有几个出口就要配置几条默认路由,可以根据需要使用路由的优先级来控制选路。

比如有三个出口:

这样配置的目的一来为了多出口可以做冗余相互备份,二来当每个出口都有映射配置需求的

话可以成功的提供映射服务。

 

2、有几个出口一般都要配置几个出口的源地址转换

当最优先的默认路由切换了,内网从另外一个运营商线路上网,就必须要有对应出口的

源地址转换。正因为源地址转换配置中都指定了流出网口,所以从不同出口流出的流量都可

以正确的匹配到对应的转换规则。比如从联通口 eth5 出去的流量,肯定只能匹配 eth5 口的

源地址转换,也就是第三条规则。

 

2、“抗地址欺骗攻击”导致的部分出口映射无法访问

抗地址欺骗攻击能检测伪造的源地址流量,比如 1.1.1.1 地址想要访问 2.2.2.2,但是防

火墙上配置了只允许 3.3.3.3 访问 2.2.2.2,那么就可能会有人恶意的伪造报文,在 1.1.1.1

主机上伪造源为 3.3.3.3 目的为 2.2.2.2 的报文发送到防火墙,此时如果没有抗地址欺骗攻击

的能力,就会直接允许这个报文通过从而导致绕过安全策略。

抗地址欺骗攻击是根据“源路径查询”的方式来检查的,收到报文会先进行“反向路径

检测”,查看报文的源地址所在的路由的流出接口是否和收到这个报文的接口一致,不一致

就会直接丢弃。比如上述的例子中,防火墙有一条静态路由去往 3.3.3.3 流出网口为 eth1

此时 1.1.1.1 终端伪造源为 3.3.3.3 访问 2.2.2.2 的流量从 eth2 口进来,防火墙经过“反向路

径检测”就可以发现报文的入接口 eth2 和反向查出的 eth1 接口不匹配,就可以丢弃该报文。

之所以在多出口的环境中不能开启这个功能,是因为真实访问的流量可能被视为攻击而

丢弃。比如在上面的例子三个互联网出口,从公网来访问移动出口的映射服务,报文从 eth0

口入,防火墙进行“反向路径检测”,查询的路由是优先级为 1 的电信出口的路由,路由的

流出网口是 brg1,和报文的流入网口 eth0 不匹配,即视为攻击弃包处理。

4、策略路由导致内部用户无法访问映射

比如当前有一条策略路由,指定了内网的 192.168.0.0/24 网段走移动上网(移动出口下

 

一跳是 10.1.5.200):

 

同时电信口、移动口、联通口分别对内网服务器做了映射:

这样的配置下,内网的 192.168.0.0/24 将无法访问联通和电信出口地址的映射,因为

192.168.0.0/24 到防火墙的所有流量都会被策略路由指到从移动接口 eth0 口出去了,无法访

问其他公网出口的映射服务。

 

所以需要对内网访问映射的流量做额外的配置:

指定内网 192.168.0.0/24 访问服务器 172.16.1.0/24 网段的流量从内网口转出,这些流量

才能送到内网服务器。这条细化的策略路由的优先级要设置的比前面那条小(更优先)。

 

对于 3609U7 之前的版本,策略路由的配置方式:

配置的思路是一样的,只是之前的版本中可以通过指定 main 表,代表 192.168.0.0/24

访问 172.16.1.0/24 的流量不匹配策略路由,查静态路由表转发。由于防火墙到内网服务器

肯定有静态路由,所以就能够匹配正确的接口。

 

5、一定不要关闭“基于状态回包” 

分类:
近期热点
2019-11-19 21:06:48
上一页
1
2
这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博

版权所有:北京网御星云信息技术有限公司    京ICP备05080314号