《趋势科技nvwe测试报告模版(1)》由会员分享,可在线阅读,更多相关《趋势科技nvwe测试报告模版(1)(19页珍藏版)》请在金锄头文库上搜索。
1、 1趋势科技威胁发现&自动阻断方案测试总结报告趋势科技(中国)有限公司 电话:021-63848899 服务热线:800-820-8876 服务邮件: S2012-XX-XX2第一章: 部署前准备.3 第二章: 设备部署方案.4 2.1 网络设置.4 2.2 NVW3500 基本配置步骤.4 2.3 NVW3500 Web 控制台使用方法 .7 2.4 NVW3500 联动配置.8 第三章: 测试效果验证.13 附录:网络防毒墙 NVW 说明.173第一章:第一章:部署前准备部署前准备项目项目内容内容网络拓扑网络拓扑拓扑图略网络简述网络简述XXXX 的网络分支众多,均通过一个路由器直接汇聚在核
2、心交换机 上。为了尽可能多发现内网威胁的分布情况,建议把 TDA 的监控端 口设置在: 核心交换机的核心交换机的 Internet 边界端口;边界端口; 核心交换机与路由器的边界端口;核心交换机与路由器的边界端口; 本部大楼病毒较多的网段;本部大楼病毒较多的网段; 参与人员参与人员用户方趋势科技 姓名姓名需要配合的需要配合的提供 2 个 Minnor Port(电口);提供一个内网 IP 给 NVW 作为管 理口;同时可进行升级产品组件 提供被监控网段的信息;提供 TDA6000 设备 1 台(用户已 购买) 提供 NVW3500 设备 1 台;设备清单设备清单1.NVW3500 1 台; 2
3、.网线 2 根 3.电源线 1 根 4.VGA 显示器 1 台(可选) 5.USB 键盘 1 套(可选)设备地址信息设备地址信息 (用户提供)(用户提供)1.TDA IP/掩码/网关/DNS2.NVW IP/掩码/网关/DNS3.确保 TDA 和 NVW 可以互相访问4第二章:第二章:设备部署方案设备部署方案项目项目内容内容部署位置部署位置拓扑图略设备地址信设备地址信 息息TDATDA IP: Mask: Gateway: NVWNVW IP: Mask: Gateway:2.1 网络设置网络设置1. 交换机配置镜像端口,导出数据到 TDA 进行扫描(用户环境中已有 TDA) ;2. 交换机上
4、划分 NVW 的管理端口(建议能访问 Internet) ;3. 建议防火墙策略调整,开启针对 TDANVW 的上网权限(管理口) ;4. NVW3500 桥接在外联汇聚路由器至总部核心之间;5. 把 NVW3500 注册到 TDA 中,由 TDA 监控下方违规 IP,通知 NVW3500 进行拦截。2.2 NVW3500 基本配置步骤基本配置步骤1启动 NVWE 电源,直到出现如下界面52输入相应帐户信息User name: adminPassword: admin3.输入用户名 admin 和密码 admin 登陆。Device Information and Status:NVWE 固件
5、版本情况,CPU 和内容使用率信息。 Device Settings:NVWE IP 地址设置。 Register to Trend Micro Control Manager: 注册 TMCM。 Interface Grouping:NVWE 的 Port 分组设置。6Interface Settings:NVWE 的 Port 功能设置(如设置端口速率;Port1-Port4 的功能,如 MGT,FOV 等)。 Failover Setting:如果是 2 台 NVWE 做 Failover 模式,通过该菜单来设置主从信息。 Advanced Settings:NVWE 高级设置。 Acc
6、ess Control:针对 SSH 连接,定义哪些 IP 地址可以进行 SSH 连接。 System Tasks:系统任务,如配置导出,重新启动 NVWE。 View System Logs:查看 NVWE 的实时日志。 Save and Log Off:保存并注销。 Log Off Without Saving: 注销但不保存4. 配置 NVWE 的 IP 地址。选择 Device Settings,在该界面中输入 NVWE 的 IP 地址和其他信息。 如果 NVWE 的 IP 属于某个 VLAN,在 VLAN ID 中将 VLAN ID 号填入。 如果 NVWE 所在的链路使用 IPV6
7、,则在 IPV6 下配置 NVWE 的 IP。如果没有 IPV6 环境, 则此处保留 Dynamic 即可。5.配置端口。NVWE3500i 的策略和数据扫描只对 Port5 及之后端口有效。故请进入 Interface Grouping 里确认启用了对应的端口(Port5 之后的端口)。Port1-Port4 为管理使用。76在弹出以下窗口中,选择 ok,这 NVWE 最最基本的配置就完成了2.3 NVW3500 Web 控制台使用方法控制台使用方法1Web console 使用方法A.在 IE 中敲入前面设定的 IP 地址,在这个测试里是 http:/188.XX.XX.XX/B.输入帐号
8、信息Username: admin8Password: admin点击 Log on 按钮,这样就进入了 Web 界面2.4 NVW3500 联动配置联动配置NVW 与 TDA 联动设置之前,请确认 TDA 与 NVWE 的系统时间一致。TDA 設定:1.TDA 注册 NVW ,輸入 NVW 3500 的 IP 位址IP 地址范围请定义需要进行联动监控的 IP 范围段,这里是监控整个 188.77.x 网段2.NVW 3500 設定: 点击策略强制策略强制-策略策略,点击添加添加。9步骤一:指定端点设置指定端点设置启用此策略启用此策略:如果勾选,则在策略设置完成后就会马上生效。 點選點選无代理
9、无代理:该选项选择后,终端不会安装 TMAgent 客户端。步骤二:指定认证和网络区域指定认证和网络区域10端点网络区域端点网络区域:设置源地址,选择选定网络区域,先前设置的网络区域 应会 在可用网络区域中出现,将其挪至选定网络区域。 点击左边的显示详细信息显示详细信息 可以看到如下更多设置。 数据包目标网络区域数据包目标网络区域: 目的地址。建议您选择任何网络区域。 TCP/UDP 协议端口协议端口:TCP/UDP 端口,默认为所有端口,您可以指定对部分 端口访问进行强制策略。 时间表时间表:设置策略应用时间。步骤三:因为測試 TDA 联动 NVW,在本测试中不用配置11步骤四: 指定网络病
10、毒策略指定网络病毒策略。此步骤设置匹配这条策略的网络病毒数据包如何处理。建议选择丢弃数据包丢弃数据包。 如果选择隔离端点隔离端点,则该客户端的数据包将无法通过 NVWE。同时,该客户 端会在日志日志-端点历史记录端点历史记录的隔离隔离类别中出现,被隔离的客户机可以在此列 表中释放。 步骤五:指定网络应用程序策略 ,因为測試 TDA 联动 NVW,這部份不用設步骤六:启用威胁清除启用威胁清除12此处选择监控端点或者阻止不符合策略的端点. 注意:如果选择阻止不符合策略的端点,如果该端点被 NVWE 阻止,该客户端的 所有数据包将无法通过 NVWE. 步骤七:策略 URL 例外, 由于是測試 TDA
11、+NVW 連動這部份不用設定点击下一步,NVWE 将再次显示所有步骤的摘要信息。如果没有问题,则点击保存。表示策略未启用,表示策略已启用。鼠标点击已启用已启用下图标,该策略会在启用和未启用之间切换。设置完毕后,点击保存。如果需要对不同的网段设置不同的策略,则通过以上方法针对每个网段进行设置。b): 如果在 TDA 联动设置页面的 Action 设置了阻止端点,如果需要释放该端点(即允许该 客户端的数据包再次通过 NVWE,请登陆 NVWE 的 Web 控制台,至日志-端点历史纪录, 找到违例的端点后,点击移除隔离。13第三章:第三章:测试效果验证测试效果验证在本次测试中,我们将从一台测试机(1
12、88.77.12.230)通过模拟攻击脚本尝试侦测另一 台客户机(188.77.1.201)的系统漏洞,此行为将会被 TDA 识别,并通知 NVW 对攻击源 进行强制阻断。 1.设置 TDA 和 NVW 联动策略,指定受监控网络范围,在本次测试中为了不影响用户业 务网络的正常使用,测试网段中仅有一个 IP 地址(如下图) 。2.在攻击测试开始前,可以从攻击源正常链接受攻击端3.在攻击源使用第三方工具进行漏洞侦测,模拟攻击行为144.在模拟漏洞侦测后,攻击源无法继续访问受攻击端5.同时,该攻击源头也无法通过 NVW 访问其他网络资源156.通过 NVW 控制台可以看到详细的攻击以及阻断日志167
13、.在 NVW 控制台的端点历史记录上可以看到攻击源已经是隔离状态,我们可以在对该 计算机进行威胁清除后在这里解除隔离状态8.当然,除了与 TDA 联动外,NVW 本身也会对网络中的蠕虫等数据攻击包进行自动阻 断17附录附录:网络防毒墙:网络防毒墙 NVW 说明说明趋势科技网络防毒墙设备 NVW 是一套针对网络病毒和终端安全评估的安全防护和策 略控制的综合性网络解决方案。产品外观:产品规格参数:产品规格参数:18产品功能:网络蠕虫和僵尸攻击防护 NVW 在提供网络准入控制的同时,提供网络蠕虫和僵尸攻击防护。由于采用了漏洞 签名识别技术,NVW 可以广谱拦截网络威胁的变种,将受感染的网段隔离开来,阻止网 络威胁的扩散。 ARP 病毒预防与阻止 关键 IP/MAC 地址绑定:通过 NVW 控制台,管理员可根据具体情况随意绑定网关、 DNS、邮件服务器等 IP/MAC 地址。当网络中有 ARP 欺骗广播包时,客户端将不会受到欺 骗,保障了客户端的网络畅通。阻断网络中的 ARP 欺骗包:当网络中爆发 ARP 病毒时, 客户端将阻断本地
