《趋势科技IWSA技术培训.ppt》由会员分享,可在线阅读,更多相关《趋势科技IWSA技术培训.ppt(30页珍藏版)》请在三一办公上搜索。
1、TrendMicro use only,IWSA技术培训,李国强,2,TrendMicro use only,Index,Web安全现状IWSA产品概况及功能描述IWSA产品规格及性能介绍IWSA部署介绍IWSA Demo配置,57,205,799,1,484,2,397,3,881,6,279,10,160,16,438,26,598,2007,2009,2011,2013,2015,每小时预计增加的恶意程序数量,病毒指数级增长,数据来源:AV-Test.org,“大三角”理论:网关防护至关重要,网关,1个,2台,25个,50台,5000台,邮件服务器,子网,应用服务器,客户端,防护更复杂一
2、致性更差,Web 威胁3年增长了1731%,Web 威胁:2005年来的增长统计,Web威胁:增长最快的威胁形态,典型的Web威胁攻击,知名募捐网站,恶意网站(俄罗斯),信息收集网站,帐号信息,帐号信息,黑色产业链:检测更困难,付费订购恶意程序 付费QA,保证不被任何安全厂商检测得到,8,TrendMicro use only,Index,Web安全现状IWSA产品概况及功能描述IWSA产品规格及性能介绍IWSA部署介绍IWSA Demo配置,9,TrendMicro use only,IWSA(InterScan Web Security Appliance 2500/5000),IWSA
3、主要功能,HTTP/FTP 恶意代码扫描间谍软件/灰色软件扫描反钓鱼支持ICAP支持LDAPURL过滤支持EPSAAXS支持透明桥模式与DCS联动硬件产品,IWSA 5000,IWSA 2500,10,TrendMicro use only,HTTP/FTP恶意代码扫描,IWSA 2500 HTTP/FTP扫描,在网关透明过滤来自HTTP的病毒;在网关透明处理来自FTP的病毒;采用趋势科技独创的Intelliscan技术;对压缩文件灵活的处理方式;采用独特的Defer Scanning技术,解决网关对大文件处理的瓶颈问题;自带File-Blocking技术。,WEB信誉,11,TrendMic
4、ro use only,12,TrendMicro use only,间谍软件/灰色软件扫描,IWSA 间谍软件防护,对特定的Spyware进行扫描;对特定的Adware进行扫描;阻止用户下载间谍软件;防止间谍软件“call-home”;,13,TrendMicro use only,反钓鱼网站,IWSA 反钓鱼网站,阻止用户访问钓鱼网站;实时更新Phishing Pattern;采用趋势科技独创的Phishing Trap技术;,14,TrendMicro use only,URL过滤库,IWSA URL Filter,灵活的基于策略的设置;可以设置不同的时间段;采用趋势科技提供的URL过滤
5、库,目前已达820万条记录;有效控制了用户的上网行为,净化了企业Web访问内容。,15,TrendMicro use only,IWSA AAXS,ActiveX控件及Java小程序过滤,灵活的基于策略的设置;针对ActiveX控件的安全策略;针对Java小程序的安全策略;,16,TrendMicro use only,与DCS联动,与DCS联动,对感染间谍软件的客户端进行远程修复;有效控制了企业网络内部的间谍软件;,17,TrendMicro use only,Index,Web安全现状IWSA产品概况及功能描述IWSA产品规格及性能介绍IWSA部署介绍IWSA Demo配置,18,Tren
6、dMicro use only,IWSA(InterScan Web Security Appliance 2500/5000),IWSA2500产品规格:1 U 机架 能够支持最多5000用户并发Http连接数2000个,IWSA 2500,IWSA5000产品规格:2 U 机架 能够支持最多10000用户并发Http连接数6000个,IWSA 5000,19,TrendMicro use only,Index,Web安全现状IWSA产品概况及功能描述IWSA产品规格及性能介绍IWSA部署介绍IWSA Demo配置,20,TrendMicro use only,IWSA 部署方式,IWSA部
7、署方式;管理员可以根据企业的本身需求,部署IWSA设备,部署后不会影响现有客户的网络结构。,代理联动模式ICAP+IWSA完全透明桥模式与L4交换机联动与Cisco交换机联动,21,TrendMicro use only,代理联动模式,部署在客户端与代理服务器之间,接管所有来自客户端的HTTP/FTP请求优势说明保护投资,IWSA可以与任何的代理服务器兼容;与DCS联动,有效抵御间谍软件的攻击;注意事项:需要更改客户机的IE代理设置,22,TrendMicro use only,ICAP+IWSA,部署ICAP Client的旁路,对流经ICAP的HTTP及FTP数据流进行扫描优势说明配合Ca
8、tch,对Web安全扫描有更高的效率;如果客户原来就使用ICAP,则无需更改客户端配置,部署简单;注意事项:需要使用两个以太网口,23,TrendMicro use only,透明桥模式,部署客户端与防火墙之间,对流经IWSA的HTTP及FTP数据流进行扫描优势说明透明桥工作模式,无需更改客户端的代理设置;即插即用,部署简单;注意事项:需要使用两个以太网口,24,TrendMicro use only,Index,Web安全现状IWSA产品概况及功能描述IWSA产品规格及性能介绍IWSA部署介绍IWSA Demo配置,25,IWSA开/关机的特别说明,开关机说明:开机:接通电源后按一下开关,松
9、手;关机:同样按一下开关,松手。等待1.5分钟左右,让机器自行关闭。系统在自行关闭时会同步RAID,依次关闭服务。绝对禁止:关机时长按电源开关不松手进行强制关机,此举有可能会造成RAID/硬盘损坏,系统服务出现问题。,26,IWSA 2500 RAID状态检查,处理步骤:从超级终端中进入linux系统,执行如下操作:#cd/etc#./raid_setup如果显示的两个设备不全是Active,则代表RAID在关机过程中损坏;请依照8、IWSA硬盘损坏的检查与恢复200706.doc文档前部分方法进行处理。,Proxy Mode 访问网页慢,27,TrendMicro use only,症状每一
10、次访问的响应时间都很差.What to look for从IWSA Shell界面中执行nslookup查询已知的响应慢的站点,是不是nslookup的响应也非常慢?If so这种延迟可能是由DNS的响应比较差造成的。客户将IWSA的DNS指向外网ISP的。ISP的DNS服务响应相比内网DNS,响应会变慢很多。What to do这种情况可通过在IWSA中部署DNS cache来实现,IWSA 5000将内置,IWSA3.1可采用BIND按文档步骤来实现查看是否能用透明方式部署,透明方式由浏览器来执行DNS查询,28,TrendMicro use only,MIME Skip,大型门户网站视频
11、,图片,Flash不断骚扰,导致IWSA处理延时很大。建议做一下配置:Skip audio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv image/x-icon image/jpeg image/gif image/png application/x-shockwave-flash application
12、/vnd.rn-realmedia,控制单用户最大连接数,1.使用console或者SSH连接到IWSA2.进入Shell Environment3.vi/var/iwss/intscan.ini查找到下面的参数,enable_client_connection_quota=yes,然后在client_connection_quota=中输入您希望每个客户端最大的连接数,默认为50:#Switch for client connection quotaenable_client_connection_quota=no#If enable_client_connection_quota is turned on,this indicates the maximum num#of connections allowed from a single client.client_connection_quota=50 4.修改完毕后保存:wq保存配置.5./var/iwss/S99ISproxy reload 重新启动服务.,29,TrendMicro use only,30,TrendMicro use only,Questions and Answers,
