《Juniper入侵防御IDP系统安装维护操作手册.docx》由会员分享,可在线阅读,更多相关《Juniper入侵防御IDP系统安装维护操作手册.docx(13页珍藏版)》请在三一办公上搜索。
1、Netscreen IDP (入侵检测防御系统)系统安装维护操作手册安装IDP Sensor的软件当IDP系统软件发生故障或者有新版本软件发布,可以通过Appliance CD进行IDP系 统恢复,必须参照一下步骤:1. 备份 LICENSE由于LICENSE是随机带的,因此在恢复或升级系统之前必须先将LICENSE备份 出来。首先:通过FTP方式将两个文件(backuplic.sh & restorelic.sh)拷贝到IDP指 定目录(/mnt/floppy)中;然后,执行命令:chmod 700 *.sh来添加这两个文件的执行权限;执行命令:./backuplic.sh,系统会将三个 L
2、ICENSE 文件(host-id & idp.cfg & idp.lic)拷贝到/mnt/floppy 中;再使用FTP将这三个文件备份出来。2. 备份配置信息IDP会将所有配置信息(包括:定制的策略、LOG、系统信息、OBJECTS信息) 放置在指定目录(/usr/idp/mgt-svr/var),因此使用一下命令:tar cvf filename /usr/idp/mgt-svr/var随后将这个文件备份出来以便后面恢复当初的配置3. 恢复系统插入Appliance CD,连接显示器和键盘,重新启动IDP,当提示boot:时按回车, 系统会自动恢复不需要任何操作,安装结束后按提示Ctrl
3、+Alt+Del重起机器,系统会自 动重起两次完成恢复工作。4. 恢复 LICENSE恢复完系统后,缺省是没有LICENSE的,因此首先通过FTP方式将备份出来的三个LICENSE文件和restorelic.sh拷贝到制定目录(/mnt/floppy)输入命令:chmod 700 restorelic.sh添加文件执行属性输入命令:./restorelic.sh 恢复 LICENSE5. 恢复系统配置将备份出来的系统配置文件(使用tar cvf filename /usr/idp/mgt-svr/var备份出来的文件)拷贝到临时目录,使用一下命令进行恢复:tar xvf filename6.
4、确认系统恢复完成使用以下命令来确认系统恢复是否完成:scio lic list查看LICENSE是否安装成功;idp.sh status查看IDP所有进程是否启动成功进入/usr/idp/mgt-svr/bin目录,实行命令:./mgtSvr.sh status查看所有管理服 务器的进程是否启动成功。二、IDP系统配置操作1. 修改管理端口 ip地址可以有两种方式修改IDP管理端口 IP地址:a)使用超级终端用root用户登录后,系统会出现对话方式:是否修改相关端口的IP地址eth2,可以按照提示进行相关端口的IP地址修改,包括添加缺省路由;b)进入/etc/sysconfig/network
5、-scripts目录,修改相关端口配置文件,例如需 要修改eth2端口,就vi ifcfg-eth2,修改成功后重起IDP。2. 通过ACM进行系统基本配置IP地址修改成功后,使用HTTPS方式连接IDP: https:/xxx.xxx.xxx.xxx初始配置可以使用wizard方式依照系统提示进行相关配置,配置内容包括:a)输入root、admin密码b) IDP运行模式:Sniffer、Bridge、Proxy-ARP、Transparent、Routerc)FQDN 域名:例如 ;d)选择是否将管理服务器安装在本地(仅限于IDP-100),如安装在本地,则需 要输入管理服务器admin的
6、密码以及OTP密码;如不选择安装在本地,则需 要指定管理服务器IP地址以及OTP密码;e)端口模式:10M、100M、half-duplex、full-duplex;f)选择管理端口并配置IP地址;g)输入缺省路由以及静态路由;h)选择Sniffer或者转发端口;i)输入DNS Server (如果有必要的话);j)选择TIME ZONE以及输入正确时间;k)输入NTP Server (如果有必要的话);l)输入Radius Server (如果有必要的话);m)输入SNMP相关信息(如果有必要的话);选择 save & apply,然后 confirm这样ACM基本配置完毕,必要的话(例如安
7、装了管理服务器)可以重新启动IDP。3. 安装UI并进行相关设置a)登录到管理服务器Ver-sion: 3.0 Build: 62709Read Onlyb) UI Dashboard界面c)进入 Objects,添加 Sensor其中Address是IDP管理端口的IP地址;VIN可以通过ACM view and displayConfiguration information去查看VIN的信息;Password就是在ACM里面定义的OTP的密码d)进入Objects,添加相关主机和网段e) Log Viewer窗口f) Device Monitor 窗口会显示所有IDP Sensor以及管
8、理服务器的性能状态以及Sensor运行的Policy Name、Policy Version;g)添加 Security Policy输入Policy名称,选择使用系统预定义模版还是使用Empty Policyh)对于各 Rule Base(Traffic Anomalies SYN-Protector、Network Honeypot、Main、Backdoor Detection)的 Policy 需要逐条添加; 每个Rule Base分别代表一种检测机制:Traffic Anomalies:检测异常流量包括/P地址扫描、端口扫描等等;SYN-Protector: DOS(Denial o
9、f Service)攻击防护;Network Honeypot:网络蜜罐,用以开放虚拟端口引诱攻击者进行攻击,从 而进行跟踪记录;Main:基于特征库来进行检测,是主要的检测防护机制;Backdoor:后门检测,基于检测交互式流量的检测机制添加Rule需要注意的地方Traffic Anomalies:目标地址具体化,仅保护需要受保护的主机以及网段事先在Objects内定义好)SYN-Protector:目标地址具体化,仅保护需要受保护的主机以及网段(事先 在Objects内定义好)尽量不要记LOG(当使用inline模式),因为一旦攻击产生会生成大量LOG;Network Honeypot:在
10、IDP上模拟网络内重要主机的一些虚拟端(在主机 上没有开放的,检测试图访问这些端口用户并进行记录;Main:细化策略,包括源、目标的P地址、网段,目标的应,仍源端口以及 定义针对于目标机器已经开放的端口的攻击类型例如目标主机开放47TP端 口,那只需要选择Look For” HTTP类型的攻击即可)另外如果使用/湖游 模式,Action的选择需斟酌,尽量使用Drop Packet或者Close Server、Close Client、Close Client & Server方式;Backdoor:如需使用此Rule Base,则需先添加目标主机现有的交互式应用 (FTP、TELNET、SSH
11、等等),Operation选择Ignore,Action选择Accept随后再添加到达目标主机的其他流量,让IDP来检测是否还存在交互式的流 量,Operation选择Detect,Action自行选择(建议先选择Accept,一旦确 认再选择其他的Action),并记录LOG。3 Security Policies - NetScreen -IDP User InterfaceAttacksT ools HelpAdd RuleBottomdelete Rule Delete attic AnomaliesSYN-Protector|Netuvoik Honeypot妙 Main Exemp
12、t | Backdoor DetectionSensor SettingsLook FortS EnterprisePolicy演 TestPolicyEl Objects国 璧 Device Monitor0 遍 Reports噂 Log Investigator槌 Profiler孕 none nonenone国 Critical: DNS Attacks 国 Critical: HTTP Attacks 居 Critical: SMTP Attacks more.蟹 drop connectionINFO:MP3SMTP AttacksHTTP Attackslium: HTTP Att
13、acks也 log pa(国! Severity 2 (High)i: SMTP Attacks但 log gin c.sessn:4b High: DNS AttacksMedium: DNS Attacks logginc屈 alarmw: HTTP Attacks史,Primary Public DNS ServerSecondary Public DNS Server携 Corporate Email SerI, Europe Email Server备注:具体策略优化方式请参照IDP v3.0 Concept Guide。i)修改管理服务器各项参数进入菜单 Tools Prefere
14、ncesIDP Components0 Dashboard淮 Log Viewer日 Security PoliciesjS EnterprisePolicy难TestPolicyEl 留 Objects国 璧 Device MonitorE) fl ReportsIffi Log Investigator橘 ProfilerBackdoor Detectionver: demo mode曰 User SettingsCommunity窿 Log Viewer姻 Reports 国 Management ServerSMTP HostSMTP From (Sender!ManagerSyslo
15、aSend E-MailE-Mail Recipient(s)匚Using SyslogSend SNMP TrapRun ScriptScript Name1Global LoggingLog PurgingMin Free Disk Space (MB)盗 defaultg ckets(0/500)函 defaultPolicy: EnterprisePolicy在这里可以添加SNMP、SMTP、Syslog、Log Purging等等参数。三、常用日常维护命令1. 检测IDP各进程是否运行正常;进入目录:/usr/idp/device/bin,输入命令:idp.sh status2. 重
16、起IDP各进程;进入目录:/usr/idp/device/bin,输入命令:idp.sh restart3. 停止IDP各进程进入目录:/usr/idp/device/bin,输入命令:idp.sh stop4. 检查IDP软件版本进入目录:/usr/idp/device/bin,输入命令:idp.sh version5. 检测管理服务器(Management Server)各进程是否运行正常;进入目录:/usr/idp/mgt-svr/bin,输入命令:./mgtSvr.sh status6. 重起管理服务器(Management Server)各进程进入目录:/usr/idp/mgt-sv
17、r/bin,输入命令:./mgtSvr.sh restart7. 停止管理服务器(Management Server)各进程进入目录:/usr/idp/mgt-svr/bin,输入命令:./mgtSvr.sh stop8. 检查管理服务器(Management Server)软件版本进入目录:/usr/idp/mgt-svr/bin,输入命令:./mgtSvr.sh version9. 检查IDP License情况进入目录:/usr/idp/device/bin,输入命令:scio lic list10. 检查IDP各监控端口数据流量情况进入目录:/usr/idp/device/bin,输入命令:sctop选择相关选项分别检查不同的数据流量,具体参数可以参照IDP v3.0 Concept Guide。11. 检查IDP与管理服务器之间的数据流输入命令 tcpdump - host and port 7202
