TrendMicro use only IWSA技術培訓 李國強 2 TrendMicro use only Index Web安全現狀 IWSA產品概況及功能描述 IWSA產品規格及性能介紹 IWSA部署介紹 IWSA Demo配置 57 205 799 1,484 2,397 3,881 6,279 10,160 16,438 26,598 2007 2009 2011 2013 2015 每小時 預計增加的惡意程序數量 病毒指數級增長 數據來源： AV-T “大三角 ” 理論：網關防護至關重要 網關 1個 2臺 25個 50臺 5000臺 郵件服務器 子網 應用服務器 客戶端 Internet 防護更復雜 一致性更差 Web 威脅 3年增長了 1731% Web 威脅 : 2005年來的增長統計 Web威脅：增長最快的威脅形態 典型的 Web威脅 攻擊 知名 募捐 網站 重定向 惡意 網站 （俄羅斯） 信息收集 網站 帳號信息 帳號信息 自動下載 （每 10秒更新 1次） 黑色產業鏈：檢測更困難 付費訂購惡意程序 付費 QA，保證不被任何安全廠商檢測得到 惡意程序類型 訂 購價格 廣告類間諜程序 美國 $0.3 加拿大 $0.2， 英國 $0.1, 其它 $0.01 惡意程序組合包 （ 基本 ） $1,000 - $2,000 惡意程序組合包 (升級服務 ） $20/次 漏洞挖掘租賃服務 （ 1小時 ） $0.99 漏洞挖掘租賃服務 （ 2.5小時 ） $1.60 漏洞挖掘租賃服務 （ 5小時 ） $4 不能檢測出來的竊取型木馬 $80 DDOS 攻擊 $100/天 10,000臺僵尸控制機器 $1,000 竊取銀行帳號類木馬 $50 發送 100萬封惡意郵件 $8 8 TrendMicro use only Index Web安全現狀 IWSA產品概況及功能描述 IWSA產品規格及性能介紹 IWSA部署介紹 IWSA Demo配置 9 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA 主要功能 HTTP/FTP 惡意代碼掃描 間諜軟件 /灰色軟件掃描 反釣魚 支持 ICAP 支持 LDAP URL過濾 支持 EPS AAXS 支持透明橋模式 與 DCS聯動 硬件產品 IWSA 5000 IWSA 2500 10 TrendMicro use only HTTP/FTP惡意代碼掃描 IWSA 2500 HTTP/FTP掃描 在網關透明過濾來自 HTTP的病毒； 在網關透明處理來自 FTP的病毒； 采用趨勢科技獨創的 Intelliscan技術； 對壓縮文件靈活的處理方式； 采用獨特的 Defer Scanning技術，解決網關對大文件處理的瓶頸問題； 自帶 File-Blocking技術。 WEB信譽 11 TrendMicro use only 12 TrendMicro use only 間諜軟件 /灰色軟件掃描 IWSA 間諜軟件防護 對特定的 Spyware進行掃描； 對特定的 Adware進行掃描； 阻止用戶下載間諜軟件； 防止間諜軟件“ call-home”； 13 TrendMicro use only 反釣魚網站 IWSA 反釣魚網站 阻止用戶訪問釣魚網站； 實時更新 Phishing Pattern； 采用趨勢科技獨創的 Phishing Trap技術； 14 TrendMicro use only URL過濾庫 IWSA URL Filter 靈活的基于策略的設置； 可以設置不同的時間段； 采用趨勢科技提供的 URL過濾庫，目前已達 820萬條記錄； 有效控制了用戶的上網行為，凈化了企業 Web訪問內容。 15 TrendMicro use only IWSA AAXS ActiveX控件及 Java小程序過濾 靈活的基于策略的設置； 針對 ActiveX控件的安全策略； 針對 Java小程序的安全策略； 16 TrendMicro use only 與 DCS聯動 與 DCS聯動 對感染間諜軟件的客戶端進行遠程修復； 有效控制了企業網絡內部的間諜軟件； 17 TrendMicro use only Index Web安全現狀 IWSA產品概況及功能描述 IWSA產品規格及性能介紹 IWSA部署介紹 IWSA Demo配置 18 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA2500產品規格 : 1 U 機架 能夠支持最多 5000用戶 并發 Http連接數 2000個 IWSA 2500 IWSA5000產品規格 : 2 U 機架 能夠支持最多 10000用戶 并發 Http連接數 6000個 IWSA 5000 19 TrendMicro use only Index Web安全現狀 IWSA產品概況及功能描述 IWSA產品規格及性能介紹 IWSA部署介紹 IWSA Demo配置 20 TrendMicro use only IWSA 部署方式 IWSA部署方式；管理員可以根據企業的本身需求，部署 IWSA設備，部署后不會影響現有客戶的網絡結構。 代理聯動模式 ICAP+IWSA 完全透明橋模式 與 L4交換機聯動 與 Cisco交換機聯動 21 TrendMicro use only 代理聯動模式 部署在客戶端與代理服務器之間，接管所有來自客戶端的 HTTP/FTP請求 優勢說明 保護投資， IWSA可以與任何的代理服務器兼容； 與 DCS聯動，有效抵御間諜軟件的攻擊； 注意事項：需要更改客戶機的 IE代理設置 I n t e r n e t代 理 服 務 器客 戶 端 內 部 網 絡22 TrendMicro use only ICAP + IWSA 部署 ICAP Client的旁路，對流經 ICAP的 HTTP及 FTP數據流進行掃描 優勢說明 配合 Catch，對 Web安全掃描有更高的效率； 如果客戶原來就使用 ICAP，則無需更改客戶端配置，部署簡單； 注意事項：需要使用兩個以太網口 I n t e r n e t客 戶 內 部 網 絡23 TrendMicro use only 透明橋模式 部署客戶端與防火墻之間，對流經 IWSA的 HTTP及 FTP數據流進行掃描 優勢說明 透明橋工作模式，無需更改客戶端的代理設置； 即插即用，部署簡單； 注意事項：需要使用兩個以太網口 I n t e r n e t客 戶 內 部 網 絡24 TrendMicro use only Index Web安全現狀 IWSA產品概況及功能描述 IWSA產品規格及性能介紹 IWSA部署介紹 IWSA Demo配置 25 IWSA開 /關機的特別說明 開關機說明 : 開機：接通電源后按一下開關，松手； 關機： 同樣按一下開關，松手 。等待 1.5分鐘左右，讓機器自行關閉。系統在自行關閉時會同步 RAID，依次關閉服務。 絕對禁止 ： 關機時長按電源開關不松手進行強制關機，此舉有可能會造成 RAID/硬盤損壞，系統服務出現問題 。 26 IWSA 2500 RAID狀態檢查 處理步驟 : 從超級終端中進入 linux系統，執行如下操作： 1. #cd /etc 2. #./raid_setup 如果顯示的兩個設備不全是 Active，則代表 RAID在關機過程中損壞； 請依照 8、 IWSA硬盤損壞的檢查與恢復 200706.doc 文檔前部分方法進行處理。 Proxy Mode 訪問網頁慢 27 TrendMicro use only 癥狀 每一次訪問的響應時間都很差 . What to look for 從 IWSA Shell界面中執行 nslookup查詢已知的響應慢的站點，是不是nslookup的響應也非常慢？ If so 這種延遲可能是由 DNS的響應比較差造成的?？蛻魧?IWSA的 DNS指向外網 ISP的。 ISP的 DNS服務響應相比內網 DNS，響應會變慢很多。 What to do 這種情況可通過在 IWSA中部署 DNS cache來實現， IWSA 5000將內置，IWSA3.1可采用 BIND按文檔步驟來實現 查看是否能用透明方式部署，透明方式由瀏覽器來執行 DNS查詢 28 TrendMicro use only MIME Skip 大型門戶網站視頻，圖片， Flash不斷騷擾，導致 IWSA處理延時很大。建議做一下配置 : Skip audio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv image/x-icon image/jpeg image/gif image/png application/x-shockwave-flash application/vnd.rn-realmedia 控制單用戶最大連接數 1. 使用 console或者 SSH連接到 IWSA 2. 進入 Shell Environment 3. vi /var/iwss/intscan.ini 查找到下面的參數 , enable_client_connection_quota=yes, 然后在client_connection_quota=中輸入您希望每個客戶端最大的連接數 , 默認為 50: # Switch for client connection quota enable_client_connection_quota=no # If enable_client_connection_quota is turned on, this indicat