《商品交易所互联网安全设备采购集成项目培训》由会员分享,可在线阅读,更多相关《商品交易所互联网安全设备采购集成项目培训(75页珍藏版)》请在金锄头文库上搜索。
1、2内容内容本次部署方案讲解本次部署方案讲解运维与应急事件处理讲解运维与应急事件处理讲解产品部署配置讲解产品部署配置讲解2 原有网络拓扑 正式上线拓扑5内容内容产品部署配置讲解产品部署配置讲解运维与应急事件处理讲解运维与应急事件处理讲解本次部署方案讲解本次部署方案讲解5 防火墙部署配置防火墙部署配置 讲解讲解 实施明细 配置过程初始安装分三步,第一步如下Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空login: rootPassword:- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli /*进入操作模式*
2、/root root configureEntering configuration mode /*进入配置模式*/edit第二步:设置root用户口令root# set system root-authentication plain-text-passwordroot# new password :*root# retype new password: *第三步:root# set system login user lab class super-user authentication plain-text-passwordroot# new password : *root# rety
3、pe new password: *双机配置双机配置配置:Cluster id和Node id配置Cluster id和Node idSRX-Aset chassis cluster cluster-id 1 node 0 reboot(注意该命令需在operational模式下输入,Cluster ID取值范围为1 15,当Cluster ID = 0时将unsets the cluster)SRX-Bset chassis cluster cluster-id 1 node 1 reboot配置:Control Port指定Fabric Link PortControl Port无需配置,
4、SRX650上有固定端口set interfaces fab0 fabric-options member-interfaces ge-0/0/2set interfaces fab1 fabric-options member-interfaces ge-9/0/2注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1RG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换set chassis cluster reth-count 10 (指定整个Cluster中redundant ethernet i
5、nterface最多数量)set chassis cluster redundancy-group 1 node 0 priority 200 (高值优先,与NSRP相反)set chassis cluster redundancy-group 1 node 1 priority 100set chassis cluster redundancy-group 2 node 0 priority 200 (高值优先,与NSRP相反)set chassis cluster redundancy-group 2 node 1 priority 100配置:配置:Redundancy Group配置:
6、配置:管理地址与设备名称管理地址与设备名称set groups node0 system host-name B_SRX650_HY_1set groups node0 interfaces fxp0 unit 0 family inet address 172.25.211.1/24 (带外网管口名称为fxp0,区别ScreenOS的MGT口)set groups node1 system host-name B_SRX650_HY_2set groups node1 interfaces fxp0 unit 0 family inet address 172.25.211.2/24set
7、apply-groups $node (应用上述groups配置)Redundant Ethernet Interface类似ScreenOS里的redundant interface,只不过Redundant Ethernet interface是分布在不同的机箱上 (这一特性又类似ScreenOS 的VSI接口)。set interfaces ge-2/0/0 gigether-options redundant-parent reth0set interfaces ge-2/0/1 gigether-options redundant-parent reth1set interfaces
8、 ge-11/0/0 gigether-options redundant-parent reth0set interfaces ge-11/0/1 gigether-options redundant-parent reth1set interface reth0 redundant-ether-options redundancy-group 1 (reth0属于RG1)set interfaces reth1 redundant-ether-options redundancy-group 2(reth0属于RG2)配置:配置:Redundant Ethernet Interface配置
9、:Interface MonitoringSet cluster redundancy-group 1 interface-monitor ge-2/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-2/0/1 weight 255Set cluster redundancy-group 2 interface-monitor ge-11/0/0 weight 255Set cluster redundancy-group 2 interface-monitor ge-11/0/1 weight 255查看查看H
10、A状态状态set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address anyset security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address anyset security policies from-zone trust to-zone untrust policy trust-to-untrust match ap
11、plication anyset security policies from-zone trust to-zone untrust policy trust-to-untrust then permitset security policies from-zone untrust to-zone trust policy untrust-to-trust match source-address anyset security policies from-zone untrust to-zone trust policy untrust-to-trust match destination-
12、address anyset security policies from-zone untrust to-zone trust policy untrust-to-trust match application anyset security policies from-zone untrust to-zone trust policy untrust-to-trust then permit安全策略配置安全策略配置桥模式配置桥模式配置定义SRX工作模式为桥模式:set bridge-domains srx650 domain-type bridgeset bridge-domains sr
13、x650 vlan-id 14设置桥为ACCSS链路:set interfaces reth0 redundant-ether-options redundancy-group 1set interfaces reth0 unit 0 family bridge interface-mode accessset interfaces reth0 unit 0 family bridge vlan-id 14set interfaces reth1 redundant-ether-options redundancy-group 2set interfaces reth1 unit 0 fami
14、ly bridge interface-mode accessset interfaces reth1 unit 0 family bridge vlan-id 14防火墙其他配置防火墙其他配置运维配置:开启ssh,telnet,web三种管理方式.set system services ssh root-login denyset system services ssh rate-limit 1set system services telnet rate-limit 1set system services web-management http路由配置:set routing-optio
15、ns static route 0.0.0.0/0 next-hop 172.25.211.254防火墙其他配置防火墙其他配置SYSLOG,SNMP配置:set system syslog host 172.24.25.51 any infoset snmp community DSS authorization read-writeset snmp community DSS clients 172.24.25.20/32set snmp trap-group DSS-trap categories authenticationset snmp trap-group DSS-trap cat
16、egories chassisset snmp trap-group DSS-trap categories linkset snmp trap-group DSS-trap categories routingset snmp trap-group DSS-trap categories startupset snmp trap-group DSS-trap categories rmon-alarmset snmp trap-group DSS-trap categories configurationset snmp trap-group DSS-trap categories serv
17、icesset snmp trap-group DSS-trap targets 172.24.25.20 安全网关部署配置安全网关部署配置 讲解讲解 实施明细WEB登陆设备:通过浏览器进入天清入侵防御的web管理界面:打开ie浏览器,NIPS8080E登陆地址为 https:/ 172.25.211.3输入账号admin默认密码 *然后点击登录进入系统。下图为NIPS8080E登陆界面: 管理地址配置为接口设置IP地址,在网络管理-接口,在进入接口选择后,我们将eth0修改管理的IP,NIPS8080E的IP地址为172.25.211.3如下图 网桥配置点击进入网络管理-接口,在进入接口选择
18、后选择透明桥。当选择新建进出现,如下信息:以下是NIPS8080E配置,第一个名称我们定义为BVI2,桥组号我们定义为2,接口列表,我们将g1/6与g1/7二个接口加到一个透明桥里面,然点点击确定,完成。接口联动配置进入G1/6接口,选择链路状态绑定,然后将要绑定的g1/7进行绑定,绑定后,如果有一个接口发生故障DOWN掉后,另一个接口也会随之DOWN掉。 为NIPS添加路由,在路由-静态路由,在进入静态路由界面后右面出现新建窗口,点击新建:路由配置 点击新建后,出现对话框,第一个IP地址为0.0.0.0/0代表任何地址,下一跳地址写172.25.211.254。入侵防御与病毒检测配置 点击在
19、入侵防御-特征,在这时可以定义相关的安全事件,也可能用默认的配置,这里我们新建一个交易所事件集 以下是文件扫描的文件类型安全策略配置控制用户的访问规则,在入侵防御-安全策略中新建 当点击新建后出现新建的对话框:源地址我们选择我们定义的接口,这里是上行接口,目的我们选择下行接口,服务是any,时间是always,动作为允许,这里安全防护一点要点上,因为这样才能达到对入侵事件的抵御。刚才调用的安全防护我们需要定义一下:如下图日志发送设置日志控制中心登陆方式:https:/172.25.211.5帐号admin密码venustech控制中心添加NIPS设备日志查看控制中心的日志备份 IDS入侵检测部
20、署配置入侵检测部署配置 讲解讲解 实施明细WEB登陆设备:通过IE浏览器输入https:/172.25.211.6登陆帐号adm密码 *:如图: IDS管理平台的安装数据库与控制中心安装参照实施手册-这里略数据库安装程中的密码查看实施手册引擎添加选择adm用户登录系统,选择常用配置-组件管理引擎配置点击“新建”按钮,添加引擎,如下图所示:策略编缉添加完引擎后,在出现的引擎列表中,点击刚才添加的引擎后面的,对引擎的授权进行更新。在“导入授权文件”处,选择“浏览”,选择正确的授权文件,然后再选“导入”就可。 最后再选中上图中网口1到网口2,其它网口的钩选去除,点击后面的“提交”完成授权操作。根据项
21、目情况,在新设备上线时,要制定一个新的全策略集,并下发到引擎。具体步骤为:最后进入“常用配置”-“组件管理”-“引擎配置”界面,点击本地引擎列表中对应列表项的 下发图标,进入下发策略页面,选择测试用策略集;策略下发 日志查看 通过Https:/172.25.211.6登陆日志分析中心,进入实时事件显示查看当前事件,如图 当点击了然后双击便可以查看相关事件的描述,可以马上对事件做出分析与判断。出现以下信息;日志备份IDS入侵检测配置完成后,引擎便开始记录数据,通过远程桌面,输入172.25.211.6 进入系统,然后查找日志的管理:首选选中日志管理,然后第项为自动维护,启动日志维护,并设置备份的
22、时间,删除数据源自动收缩数据库,这个作用是为了在备份量过大,将系统资源占满。数据库的存放路径本次备份的位置在:D:ids_bak。都设置好后点保存即可引擎配置引擎配置连接配置用配件盒中的串口线一端连接引擎,另一段连接一台计算机的RS232接口。计算机上启动超级终端,写入连接名称等,进入帐号adm密码venus70IP地址配置:更改IP地址/子网掩码更改通讯网口的IP地址及子网掩码。引擎的IP地址及子网掩码请向网络管理员申请。“IDS(config)#”模式下应命令 : ip address ;例:IDS(config)#ip address 172.25.211.7/24路由配置:更改路由配置
23、可以添加和更改原有路由配置,输入路由总条数(如输入0 则表示删除当前所有路由),如果设置错误可以直接按“q”退出原来的路由信息不会改变)。 “IDS(config)#”模式下命令 : route add | del;添加路由输入目的子网网络地址:如果想要与192.168.5.网段的主机进行通讯则输入192.168.5.0。输入目的子网掩码地址:255.255.255.0。输入网关IP地址:与要设定路由的网口地址在同一个网段内。本次部署IDS(config)#route add 0.0.0.0/04 172.25.211.254重置密钥配置重置引擎认证密钥可以重置控制中心与引擎认证密钥,当引擎与
24、不同于原控制中心的另外控制中心相连时必须重置密钥。“IDS(config)#”模式下命令 : reset vcecomm key; 深信服上网行为管署配置深信服上网行为管署配置 讲解讲解 实施明细WEB登陆设备: 通过浏览器进入上网行为管理web管理界面:打开ie浏览器登陆地址为 https:/ 172.25.211.4输入默认账号Admin默认密码 *然后点击登录进入系统。 旁路模式 工作模式选择部署模式,我们选择旁路部署,用来监听数据的转发。旁路模式Ip配置下图为管理Ip的配置,这个Ip用于事件库的升级已经管理设备来用监控网段信息本次部署监控的网段信息如下:审计策略配置下图为配置审计内容的
25、策略,点击新建:审计事件查询新建完成后,在运行状态中就能看到我们要审计事件进入内置数据中心,以下是查询上网行为的记录,如下图:56内容内容运维与应急事件处理讲解运维与应急事件处理讲解产品部署配置讲解产品部署配置讲解本次部署方案讲解本次部署方案讲解5657防火墙防火墙SRX650-运维运维登录设备:主防火墙(ssh,telnet) 172.25.211.1 备防火墙(ssh,telnet) 172.25.211.2在办公外网或其他带外终端,通过telnet与ssh二种方式对防火墙进行维护。登陆帐号:lab 登陆密码:lab123通过命令来查看硬件板卡当前状态:show chassis envir
26、onment,下图显示为正常的运行状态,如果出现问题,请参考应急流程中的操作。58通过命令来查看防火墙的HA的状态:show chassis cluster status下图显示为正常的运行状态,如果出现问题,请参考应急流程中的操作。59SRX650-应急流程应急流程通过防火墙show chassis environment能够查看到防火墙硬件板卡状态,如图:60以上是正常的信息,可以看到二台防火墙引擎的状态,风扇的状态以及电源的状态,如果上图上标记红色的部分出现异常我们要及时的做好应急调整。如果是引擎与CUP出现问题,如果影响了业务,那么肯定是主备防火墙之间引擎没有切换如下图我们处理结果是:
27、我们要马上通过命令进行主备引擎切换,命令是request chassis cluster failover redundancy-group 0 node 1如果电源出现问题或风扇出现问题,在不影响业务的前提下,我们要及时与网络部沟通,定好时间将主防火墙的业务切换到备防火墙上。61 通过查看防火墙的双机状态来判断问题,通过命令show chassis cluster status,如下图: 上图是查看Ha状态,这显可以显示出很多的信息,现在业务全部在主防火墙上进行转发,如上图node0 后面全是primary 就能证明没有问题,如果上连或下连链路出现了问题,那么RG1与RG2中node0 后面
28、就会是secondary,如果出现与上图不一样的,那么肯定是接口出现了问题,上连或下连接口与交换机之间肯定出现了断开等现像再会导致切换的发生,发生问题后及时与网络门沟通解决62NIPS安全网关安全网关-运维运维登录设备:安全网关设备https:/172.25.211.3 管理控制中心:https:/172.25.211.5在办公外网或其他带外终端,通过https进行维护NIPS8080E: https:/172.25.211.3登陆帐号:admin 登陆密码:venus.nips登陆后查看防护状态,系统状态以及接口状态:如下图:防护状态是为了查看设备防护状态是否正常。63系统状态查看,检查事件
29、库的更新时间,基本上每周都有事件库的更新,要及时查看信息。接口信息主要是查看接口的状态,绿灯代表接口正常启动,g1/6与g1/7有没有接数据接出与转发。64 管理控制中心: https:/172.25.211.5登陆帐号:admin 登陆密码:venustech登陆到管理控制中心后,在“系统监控-状态-设备状态”查看控制心与设备是否连接正常,正常连接如下图,Ip前面的绿灯代表设备连接正常。 在“系统监控-入侵事件显示”可以查看最近的攻击事件,根据事件的内容分析重要性。65在“日志”中查询事件,可以安照自己要求的时间,日志级别进行查看,并且分析事件,如下图:66NIPS安全网关安全网关-应急流程
30、应急流程 如果显示是红灯,证明是失连的状态,我们要马上进厂家沟通维修设备。在查看防火墙的状态是否发生主备切换,如果主防火墙切换到备防火墙这二条加在一起就证明了NIPS出现了问题。由于NIPS是透明部署与防火墙做了连动,如果设备真要是坏了,防火墙会马上切换,不会影我们会员的正常业务。 如果PING通了管理主机172.25.211.5而17.25.211.3没有PING通,但是业务没有造成影响,这个原因可能有二个第一个是NIPS管理接口或者网线出现问题。第二是NISP安全网关出现了故障导致防火墙发生了切换。我们要立即查看172.25.211.5控制中心是否是172.25.211.3连接正常,如果是
31、下图显示就证明连接是正常的。67IDS入侵检测入侵检测-运维运维登录设备:管理控制中心ssh 172.25.211.6 IDS硬件设备:ssh 172.25.211.7在办公外网或其他带外终端,通过https进行维护控制中心即可管理控制中心: https:/172.25.211.5登陆帐号:adm 登陆密码:venus70登陆到管理控制中心后,在主界面“组件状态”查看控制心与设备是否连接正常,正常连接如下图,前面 代表设备连接正常。68在“威胁展示-历史事件查询”可以查看当天或每周每月的的攻击事件,根据事件的内容分析重要性。69在“日志报表”中查询报表是否生成,生成时间是每月的28号。70ID
32、S入侵检测入侵检测-应急应急如果在管理控制中查看引擎的连接状态如果正常就会显示下图:71 如果清除密钥还无法联接,请与网络部门联系,看网络中是否添加了网络规则,如果没有请与厂家联系。 如果不是 就说明控制中心与引擎之前连接出现了问题,当ping172.25.211.7能通的情况下,我们ssh 172.25.211.7 帐号密码请查看设备运维,进去设备后,操作命令如下图:以下的命令是要清除引擎的密钥。72上网行为管理上网行为管理-流程流程登录设备:管理控制中心https:/172.25.211.4 在办公外网或其他带外终端,通过https进行维护控制中心即可管理控制中心: https:/172.25.211.4登陆帐号:Admin 登陆密码:Admin登陆到管理控制中心后,在主界面“实时状态-运行状态”查看设备的运行状态是否正常。73 在主界面中查看实施的信息,右上角有一个“内置数据中心”进入可以查看当相应的日志记录。根据自己的需求查看信息,如下图:74上网行为管理上网行为管理-应急应急 如果进入设备后,无数据显示,那么可能是设备监听口出现了问题,要查看运行状态中的接口状态是否正常,正常的图如下:上图接口中有正常的数据接收,证明接口是没问题了,如果没有数据就证明接口出现了问题,要及时沟通网络部门排查是否是交换机接口问题。75谢谢 谢!谢!75
