1、配置手冊啟明星辰 IPS 入侵防御系統配置手冊山西同之益科技有限公司2020 年 4 月山西同之益科技有限公司技術支持服務熱線 400-607-1189配置手冊目錄 HYPERLINK l _bookmark0 一、功能介紹1 HYPERLINK l _bookmark1 二、配置流程1 HYPERLINK l _bookmark2 三、配置內容1 HYPERLINK l _bookmark3 第一部分 管理信息配置1 HYPERLINK l _bookmark4 第二部分 對象配置6 HYPERLINK l _bookmark5 第三部分 事件配置8 HYPERLINK l _bookmar

2、k6 第四部分 策略配置13 HYPERLINK l _bookmark7 第五部分 日志查看17配置手冊一、 功能介紹入侵防御系統圍繞深層防御、精確阻斷的核心理念，通過對網絡流量的深層次分析，可及時準確發現各類入侵攻擊行為，可以對漏洞攻擊、蠕蟲病毒、間諜軟件、木馬后門、溢出攻擊、數據庫攻擊、高級威脅攻擊、暴力破解等多種深層攻擊行為進行防御，并執行實時精確阻斷，主動而高效的保護用戶網絡安全，有效彌補網絡層防護產品深層防御效果的不足。二、 配置流程權限管理：通過三權分立用戶，實現不同用戶對設備權限的管理；admin，管理員用戶，實現日常業務配置需求；useradmin， 用于用戶管理，賬號密碼等

3、策略配置；audit，審計管理員，實現日志信息審計功能；對象定義：定義 IP 地址對象，服務對象，可通過安全策略引用地址及服務；事件定義：定義事件、事件集，通過事件集引用事件；安全防護表定義：通過安全防護表引用事件集；安全策略配置：調用安全防護表，實現對入侵、攻擊等事件的記錄；日志查看：通過日志記錄信息查看入侵、防護等安全事件，通過報表進行統計、分析、展示；三、配置內容第一部分 管理信息配置運行狀態信息查看：通過系統防護狀態可查看目前設備的運行狀態， 入侵、攻擊防護統計信息。1配置手冊圖 1授權信息查看：查看當前系統特征庫授權信息，top10 攻擊防護信息； 如下圖 2 紅色標注部分。圖 2升

4、級管理：定期通過啟明星辰官網（https: HYPERLINK / /） 下載中心，統一升級中心（圖 3）進行特征庫更新升級，升級結果如下（圖 4）2配置手冊圖 3圖 4SNMP 配置信息修改： 網絡管理基本配置-SNMP 路徑下進行SNMP 版本，團體名稱修改3配置手冊圖 5賬號密碼策略：修改系統默認賬號密碼策略，符合國網公司針對賬號密碼的安全策略遠程管理：配置限制遠程登錄賬號 IP 地址、賬戶在線數量、超時時間、賬號修改密碼期限4配置手冊5配置手冊第二部分 對象配置對象定義：通過對象管理可進行時間對象、服務對象、地址對象的重新定義或系統預先定義服務、端口等信息查看配置自定義服務：進入對象管

5、理服務對象自定義服務，點擊新建，名稱：為新建自定義服務設置名稱描述：對新建自定義服務做描述協議： 可以自定義的服務協議（TCP,UDP,ICMP,IP）源端口： 協議源端口號目的端口：協議目標端口號配置地址節點：地址對象可以對主機地址，子網，地址范圍做定義。進入對象管理地址對象地址節點，點擊新建6配置手冊名稱：為新建地址節點設置名稱描述：對新建地址節點做描述地址節點： 地址節點的內容可以是：主機 ip 地址；子網 ip 網段地址； IP 地址池范圍7配置手冊第三部分 事件配置事件定義：通過預先定義事件或自定義事件確定攻擊防御事件采取的防護措施（通過、丟棄、阻斷等動作）事件集定義：IPS 中引入

6、了入侵防御事件集。事件集是一個或多個事件的集合。根據當前實際的網絡情況，系統默認提供了 5 個事件集。進入入侵防御特征事件集，可查看當前預定義事件集，圖 10，默認事件集作為系統提供的資源，不能被刪除，只能做有限的配置操作。創建事件集：進入入侵防御特征事件集，點擊新建。參數說明：8配置手冊名稱：事件集的名稱描述：事件集描述信息防護等級：通過設置事件集的防護等級可以調整本事件集中所有事件的動作查看事件集內容：進入入侵防御特征事件集，點擊詳細圖標，或者點擊事件名稱，即可查看該事件集的詳細內容參數說明：分類：該事件集的分類方式，可按照協議類型、系統、安全類型、來源、事件級別來分類，默認是按照安全類型

7、來分類的。名稱：輸入事件名稱，可檢索出該條事件。啟用：按照啟用方式檢索事件。級別：按照級別來檢索事件。日志：按照是否發送日志來檢索事件動作：按照事件動作來檢索事件。通過：放行觸發該 IPS 事件的數據包丟棄：對觸發該 IPS 事件的數據包所在連接的客戶端和服務器發送RESET9配置手冊包，使連接結束（針對 TCP 協議），并丟棄當前數據包阻斷：在一段時間內丟棄觸發該 IPS 事件的數據包的源 IP 產生的所有數據包說明：建議用戶采用廠商推薦默認值，自行調整 IPS 入侵事件級別及阻斷方式，可能導致用戶網絡中斷。添加事件集中事件：進入入侵防御特征事件集，選擇一個自定義事件集，點擊詳細圖標，添加事

8、件配置事件集中事件：IPS 系統可以配置某一事件集中事件的級別、是否啟用、是否記錄日志、匹配事件后執行的動作，對該事件日志是否合并等操作。進入入侵防御特征事件集，選擇自定義事件集的詳細按鈕圖標， 點擊展開事件組10配置手冊選擇某個事件，點擊編輯，進行事件修改11配置手冊參數說明：名稱：事件名稱級別：事件級別，根據事件的危害性可以配置成高級事件、中級事件、低級事件、連接事件動作：配置對匹配該事件的數據報或流執行的通過、丟棄或阻斷等動作12配置手冊第四部分 策略配置配置安全防護表：進入入侵防御安全策略安全防護表，點擊新建名稱：安全防護表名稱，支持中文名稱描述：安全防護表的簡單描述信息入侵防御：配置

9、是否啟用入侵防御防病毒：配置是否啟用防病毒及相關協議配置Web 過濾：配置是否啟用 Web 過濾郵件過濾：配置是否啟用郵件過濾敏感信息防護：配置是否啟用敏感信息防護Anti-Flood Attack：配置是否啟用防 Flood 攻擊上網行為管理：配置是否啟用 IM/P2P/股票軟件/網絡游戲/流媒體及相關協議配置調用事件集，在新建安全防護表中調用系統預定義事件集或自定義事件集13配置手冊配置安全策略：進入入侵防御安全策略安全策略，點擊新建14配置手冊參數說明：源接口/安全域：數據流的流入方向，可以指定某個接口或者安全域，any 表示所有接口地址名：數據流的源地址，可以引用已定義的某個地址對象或

10、地址對象組， any 表示源地址為任意目的接口/安全域：數據流的流出方向，可以指定某個接口或者安全域，any 表示所有接口地址名：數據流的目的地址，可以引用已定義的某個地址對象或地址對象組， any 表示目的地址為任意服務：數據流的服務屬性，包括協議、源端口和目的端口，可以引用系統預定義服務、已定義的服務對象或服務對象組，any 表示服務為任意時間表：策略生效的時間，可以引用已配置的時間對象，always 表示所有時間動作：對符合匹配條件的數據流執行的動作，PERMIT 為允許，DENY 為拒絕描述：安全策略的描述，長度限制為 127 個字符調用安全防護表：在安全策略的 PERMIT 選項下，勾選安全防護，選擇系統預