1、Page 1TDA 产品实施方案Page 2TDA 产品实施方案第一章: 部署环境准备 2第二章: 部署方案 .42.1 网络设置 .42.2 产品设置 .52.3 ROLLBACK 9第三章: 部署后的有效性验证 11Page 31.部署环境准备项目 内容网络拓扑6509内 置 防 火 墙 failoverI n t e r n e t网络简述本部署方案将 TDA 并联在其中一台 Cisco6509 核心交换机的镜像端口上,并且在防火墙上开启相应的策略,允许 TDA 注册到亚信安全的 SecureCloud 并且可以连接 Internet 进行自动更新参与人员 用户方 亚信安全 代理商姓名
2、电话 邮件 设备清单1. TDA 1 台2. 串口线 1 根3. 网线 2 根Page 44. 电源线 2 根5. VGA 显示器 1 台6. USB 键盘 1 套设备地址信息1. 交换机管理 IP2. 防火墙 IP3. TDA IP:TDA 掩码:TDA Gateway:TDA DNS:Page 52.部署方案项目 内容部署位置设备地址信息1. TDA IP:2. TDA 掩码:3. TDA Gateway:4. TDA DNS:Page 62.1. 网络设置1. 交换机配置镜像端口,导出数据到 TDA 进行扫描;2. 交换机上划分 TDA 的管理端口(要求能访问 Internet)3. 防
3、火墙策略调整,开启针对 TDA 的上网权限,并且针对 TDA 的内网 IP 映射到公网IP,开启 22、80、443 端口的连出权限。2.2. 产品设置2.2.1.1. TDA 初始化配置1. 通过超级终端配置或者 WEB Console 配置 TDA 的管理 IP 地址,掩码,网关,DNS等信息2.2.1.2. 交换机镜像端口配置具体步骤请参见实际使用的交换机配置文档Page 72.2.1.3. TDA 设备上线1. 将 TDA 的 Data1 口与交换机的镜像端口相连接2. 将 Management Port 口与交换机事先分配的端口相连3. 设备上架,连接电源线,开机上线Page 82.
4、2.1.4. Web 管理界面配置1. 设置受监控网络,用于确认扫描的数据是外部攻击还是内部攻击2. 设置注册的域,添加 SMTP 服务器所在的域,用于扫描邮件中潜在威胁Page 93. 设置已注册的服务4. 注册 TDA 到 SecureCloud5. 设置更新源,并确认 TDA 更新到最新版本Page 106. 设置例外列表,bypass 不需要扫描的 IP7. 倒入沙盒,针对客户环境做详细检测2.3. RollbackTDA Rollback 方法:Page 111. 将 TDA 与交换机的连接移除2. 将交换机上关于镜像端口设置的部分移除3. 删除在防火墙上针对 TDA 设置的允许连接
5、外网的策略趋 势 科 技威 胁 监 控 维 运 中 心6509内 置 防 火 墙 failoverT D A亚信安全Page 123.部署后的有效性验证1.确认镜像端口工作正常通过超级终端,View system logs 观察:当 Data Port 连接网络设备后,会看到 eth1 或者 eth2 提示 entering forward mode2.确认 TDA 是否可以检测到数据包通过超级终端,View system logs 观察3 确认 TDA Web 管理页面是否可以打开Page 134 确认 Summary 页面中是否有扫描记录Page 14附录:TDA 产品说明Threat D
6、iscovery Appliance 是新一代的网络安全侦测设备,结合了智能的规则、运算方法及签名检测等技术,用来在网络第 2 到第 7 层的范围内检测蠕虫、木马、后门程序、病毒、间谍软件、广告软件以及其他威胁。TDA 具有高性能及高可用性的特点,可以提供各种安全风险评估的信息、警报,并提供 IT 管理员报表。基于 TDA 是一个旁路镜像端口扫描的设备,因此不会对真实网络流量产生影响。并且可以通过亚信安全控管中心进行集中管理。主要功能: 在网络探测恶意威胁 1. 探测新型和已知恶意威胁2. 发现恶意威胁的信息窃取3. 探测网络和电子邮件攻击网络钓鱼和网络漏洞利用 探测网络中断行为1. 中断性应用P2P、即时讯息等2. 中断性服务SMTP 中继、流氓 DNS 等 网络内容检测技术1. 2-7 层协议检测2. 全面的应用支持(超过 120 种应用) 3. 可疑活动关联性4. 文档内容扫描 全面发现 SecureCloud 服务1. 与威胁情报网络联手Page 15 根源分析&关联性 协议和应用声誉服务 2. 威胁管理和汇报 面向客户的威胁管理端口 每日管理报告事故响应 执行报告整体安全情况 离线部署被动网络查找,不会中断服务
