1、Beyond Your Imagination迪普产品配置文档 -基础篇 2目录迪普产品概览IPS入侵防御系统UAG审计及流控FW应用防火墙UMC统一管理中心 3目录迪普产品概览IPS入侵防御系统UAG审计及流控FW应用防火墙UMC统一管理中心 4用户管理 (用户接入 /准入控制 /行为审计 /认证计费 )业务管理 (安全 /加速 /可用 /应用业务 )UMC统一管理中心资源管理 (网络 /QoS/ACL/VLAN/配置 /报表 )应用即网络Application As Network应用安全 应用交付IPS/防毒墙 Probe/Gurad WAF/Scanner/WebShield流控及审计
2、 应用交付平台基础安全应用防火墙 UTM SRG基础网络DPX TAC 工业交换机 5盒式设备 6FW1000-Blade IPS2000-Blade UAG3000-Blade ADX3000-Blade SSL VPN-Blade4端口万兆接口板 8端口万兆接口板 48端口 GE光口板 48端口 GE电口板 4端口 10G POS+8端口10GE接口板大主控 MPUA 带万兆口大主控 MPUA 小主控 MPUBDPX8000-A12 DPX8000-A5 DPX8000-A3MPUB适配器DPX主控接口板业务板FW1000-Blade-E IPS2000-Blade-E UAG3000-B
3、lade-E ADX3000-Blade-A Guard3000-Blade-EII代业务板框式设备 7迪普产品概览( 1)串口波特率 9600 ( 2)业务接口光电不复用 ( 3)支持 3G/无线 /扩展接口卡 ( 4)管理口默认管理地址 8迪普产品登陆信息 设备串口 波特率为 9600,且初始化密码为“ DPTECH” 设备页面 地址“ 192.168.0.1”,用户名“ admin”,密码“ admin” UMC页面 地址为 UMC主机的 IP地址,用户名“ admin”,密码“ UMCAdministrator” 9目录迪普产品概览IPS入侵防御系统UAG审计及流控FW应用防火墙UM
4、C统一管理中心 10IPS入侵防御系统百兆级千兆级万兆级IPS2000-MC-NIPS2000-TS-NIPS2000-MA-NIPS2000-GS-N IPS2000-GE-NIPS2000-MS-N IPS2000-ME-NIPS2000-GA-N迪普科技拥有从百兆至万兆的全系列入侵防御系统,可覆盖中小型企业、大型企业以及运营商的各种应用层安全防护需求。 11IPS入侵防御系统路由器 交换机DPtech IPS内部网络路由器 交换机DPtech IPS镜像IPS在线部署方式部署于网络的关键路径上,对流经的数据流进行 2-7层深度分析,实时防御外部和内部攻击。IDS旁路部署方式对网络流量进行
5、监测与分析,记录攻击事件并告警。InternetInternet 内部网络 12IPS入侵防御系统 调研信息 组网模式:在线模式、旁路模式 PFP断电保护主机:是否使用,使用接口插卡类型(电、光) 开启安全策略:根据用户需求,如入侵防御、防病毒等 UMC统一管理中心:是否安装 上下行链路接口类型(光、电)及速率、双工状态 部署链路数量 中、高端 IPS,自带前三对儿电口断电保护功能 13IPS入侵防御系统 配置步骤( 0) 初始化设备;新开箱且无需升级,请忽略 点击“浏览”导入本地新版本,并将其选为“下次启动使用的软件版本” 串口输入初始化命令, reset factory 14IPS入侵防
6、御系统 配置步骤( 1) 确认组网模式 建议关闭“启动接口状态同步”,注意接口对儿的上下行,及确定组网模式 15IPS入侵防御系统 配置步骤( 2) 新建 IPS规则 IT资源“全选”,致命级别为“阻断 +双向 TCP Reset”,其他均为“告警” 16IPS入侵防御系统 配置步骤( 3) 应用 IPS策略 旁路组网,应用指定的旁路接口即可 在线组网,引用上下行两个接口 17IPS入侵防御系统 配置步骤( 4) 输出业务日志 源 IP地址为设备输出接口的 IP地址,如带外管理地址或透明桥地址 输入正确的 UMC地址,端口号指定为“ 9514” 18IPS入侵防御系统 配置步骤( 5) 创建其
7、他安全策略 修改管理员密码 修改管理地址,需同步修改日志输出“源 IP” 添加管理默认路由 修改 SNMP参数 修改日志保存时间(系统日志、业务日志、操作日志) 以上策略是否开启根据需求而定,配置方法参考用户手册 19IPS入侵防御系统 配置步骤( 6) 后期策略调整 根据 IPS攻击日志,需调整告警为阻断,则将其级别移动至“致命”即可 根据 IPS攻击日志,需调整阻断为告警,则将其级别移动至非“致命”即可 根据 IPS攻击日志,需调整为不告警或不阻断,则将其级别移动至“废除”即可 20IPS入侵防御系统 问题与排查 接口异常 查看本地及上下行设备接口参数,双工 /速率自协商异常,则需双方统一
8、强制 链路状态正常,则需查看接口管理状态是否关闭,如关闭则需重新开启 21IPS入侵防御系统 问题与排查 管理异常 查看路由是否可达,并通过诊断工具排查 22IPS入侵防御系统 问题与排查 业务异常 开启软件 bypass,业务仍然异常,则与 IPS设备无关 开启软件 bypass,业务恢复正常,则需检查 IPS安全策略及攻击日志信息 23目录迪普产品概览IPS入侵防御系统UAG审计及流控FW应用防火墙UMC统一管理中心 24UAG审计及流控UAG3000-MCUAG3000-TSUAG3000-MMUAG3000-GS UAG3000-GEUAG3000-MEUAG3000-MSUAG300
9、0-MAUAG3000-GA行为审计:一体化行为管控,保护内部数据安全带宽管理: P2P等流量的全面透析和管理,提升带宽价值安全防护:集成卡巴病毒库,具备恶意攻击防御能力高效智能:构建可视、可控、可优化的高效网络UAG3000-CE百兆级千兆级万兆级 25UAG审计及流控交换机UAG在线部署模式路由器 交换机UAG旁路部署模式镜像在线部署方式部署于网络的关键路径上,支持路由和透明模式实时网络行为审计2-7层流量深度分析,实时防御外部和内部病毒威胁旁路部署方式非在线部署对镜像流量进行用户行为审计内部网络路由器InternetInternet内部网络 26UAG审计及流控 调研信息 组网模式:在线
10、模式、旁路模式、网关模式 PFP断电保护主机:是否使用,使用接口插卡类型(电、光) 开启安全策略:根据用户需求,如行为审计、流量分析、带宽限速等 UMC统一管理中心:是否安装 上下行链路接口类型(光、电)及速率、双工状态 部署链路数量 中、高端 UAG,自带前三对儿电口断电保护功能 27UAG审计及流控 配置步骤( 1) 确认组网模式 透明桥接模式下几乎支持 UAG所有功能,流控、审计、限速、 web认证等 桥地址切忌与其他接口网段冲突,包括带外管理口 28UAG审计及流控 配置步骤( 2) 确认内网 IP用户组 此用户组后期将应用到策略中,如限速、审计等 所有功能策略,请使用精准 IP地址范围,禁止使用“ All users”这类请勿使用 29UAG审计及流控 配置步骤( 3) 创建行为审计策略 选择需审计的用户组 根据需求选择需要审计的行为和内容 30UAG审计及流控 配置步骤( 4) 创建流量分析策略 使用精准内网用户组,并选择流量统计的参数 条件允许情况下,尽量发向 UMC服务器查看日志
