第一部分重点知识点:
SecCenter:
1、 SecCenter共两款产品:SecCenter A1000安全管理中心和H3C SecCenter安全管理平台。 2、 SecCenter A1000安全管理中心提供了综合的安全智能、高效实施的安全信息和事件管理(SIEM)解决方案,能够对全网海量的安全事件、日志进行集中收集与统一分析,兼容异构网络中各厂商的多种设备。SecCenter A1000可以实时监控全网安全状况,根据不同用户的需求自动提供丰富的报告和具有说服力的网络安全状况评估与政策符合性审计。同时SecCenter A1000是一个盒式设备。(本章重点讲SecCenter A1000) 3、 H3C SecCenter安全管理平台是不同于SecCenter a1000的另一款产品,其下有很多组件:
a) H3C SecCenter 应用控制与审计管理系统(ACG manager)用于管理ACG;
b) H3C SecCenter IPS manager用于管理IPS设备;
双电源控制器c) H3C SecCenter UTM manager用于管理UTM设备;
d) H3C SecCenter 智能流量分析系统(iTAS)
e) NTC网络流量清洗管理
f) Firewall Manager
4、 SecCenter能够提供如下主要法规顺从性报告:
a) Sarbanes-Oxley 萨班斯法案
b) GLBA 格雷姆-里奇-比利雷法
c) HIPAA 健康保险可携性和可纠责性法案
d) FISMA 联邦信息安全管理法案
e) 同时SecCenter提供了灵活的报告定制功能。
5、 Seccenter能够解析的日志有:支持Syslog、netstream、netflow 、cflow、SecPath binary flow等多种日志格式.100多主流厂商的日志,可以定制日志。
6、 缺省seccenter开启的是syslog开放info共享平台日志,SECENTER A1000接收SYSLOG日志开启的端口是UDP 514。
7、 Seccenter缺省WEB页面管理帐号和口令是:192.168.0.1:9216 用户名:admin密码:sca1000@。(百兆以太网口)
8、 SecCenter A1000的Web客户端的软件需求
● 操作系统为Windows 2000、Windows XP、Windows Server 2003
● 浏览器为Internet Explorer 6.0以上版本
● 安装Java运行环境(JRE)1.6以上
9、 LICENSE缺省情况有12个可用(试用30天),其中有5个主机LICENSE和7个设备LICENSE。注意:将已赋予LICENSE的设备删除后,LICENSE不会自动释放出来。
10、 SecCenter对主机的监控需要手动添加主机主机;对网络设备监控支持自动发现无需手动添加主机。(注意:设置H3C的SecPath防火墙、VPN网关、路由器、交换机的Syslog Server IP地址为SecCenter A1000的IP地址,这样这些设备发出的Syslog就可以被SecCenter A1000接收。)info center loghost name。 11、 SecCenter日志收集:
● 在处理网络设备日志方面,SecCenter是一个日志接收者,完成的是日志被动接收的工作,不是去主动采集。
● 在处理主机和一些数据库服务器安全事件日志方面,SecCenter是一个日志采集者,完成的是日志主动采集的工作,不是被动接收
12、 SecCenter分析日志(策略的主要功能)
● 报警方式
● 事件类别
13、 报警方式有几种:可以报警中看到报警,并且可以看到攻击拓扑。
●
● Snmp trap
● 仪表盘监控报警(屏幕报警)
14、 产生报警的必须:有相应日志信息;策略中定义正确的规则;设置正确的报警方式。
15、 事件类别有几种:紧急、报警、严重、错误、警告、通知、信息、调试。共8种。
16、 仪表盘看到相关的事件满足:有匹配的日志;策略中有正确的规则;仪表盘监控列表选择正确。
17、 仪表盘监控界面如果看不到任何日志排错方法:a、物理连接;b、主机和设备有没添加上(主要看有没有LICENSE);c、有是有设置主机和设备采集日志;d、有没有发送日志;e、缺省的syslog服务器是否启动正常;f:可能会有其他原因仔细观察。
18、 单项报告(安全中心),如果已经收集到日志,安全中心没有报告信息主要有两大原因:时间原因(是否选择了正确的日期);一般安全中心产生报表要30分钟以上。
19、 单项报告(安全中心)输出报表可以按照:html和pdf。
20、 总结性报告(报表)报告风格:txt、pdf、word、excel、html、mhtml。报告保存方式:本地保存;e-mail发给管理员保存;上传到ftp服务器。
21、 深度查询:可以查询一定时间区间的具体的报告信息。
22、 其他用户管理可以设置用户等等。
23、 SecCenter功能模块:
滚动转子式压缩机a) Syslog采集器(Built in Syslog Collector)模块
b) 事件分析(Event Analysis)模块
c) 实时事件监视(Real Time Event Monitoring)模块
d) 可视化安全视图(Threat Visualization)模块
e) 深度分析(Forensic Analysis)模块
f) 告警关联(Correlated Alerting)模块
g) 报告引擎和Web管理界面(Reports Engine & Reporting Portal)模块
h) 管理模块(Management)模块
IPS:
1、 H3C SecPath IPS的产品系列包括:T200、T200E、T1000S、T1000M、T1000A、SecBlade IPS、T5000-A3。(H3C SecBlade IPS可应用于H3C S5800/S7500E/S9500E系列交换机)
2、 IPS产品日志:系统日志、操作日志、服务日志、攻击日志、病毒日志。
3、 Ips组网部署:
● 串联:H3C的IPS一般采用在线接入方式,采用透明方式,可随时随地接入网络的关键路径上
● 旁路:H3C的IPS同时还支持旁路接入方式,旁路接入时,相当于IDS 发现攻击发送一个,干扰报文。(发起TCP RESET重新连接,用在TCP半连接上,侧面防御,让黑客断开,主防TCP攻击)
4、 PFC是无源连接设备(Power Free Connector)的缩写。作用:
● PFC是SecPath T系列IPS的掉电保护设备(T200/T200E)。
● PFC的作用是增强SecPath T系列IPS的冗余性:当IPS出现断电时,不至于出现网络完全中断的情况。
5、 设备的三种管理方法及组网:
● 基于串口命令行管理方法
● 基于HTTP/HTTPS的Web管理方法
● 基于弓箭制作Telnet/SSH的命令行管理方法(缺省为未开启,需要手工开启)
6、 串口登陆参数设定:点击“还原为默认值”,设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,数据流控制为无。
7、 串口登陆界面密码:大写H3C
8、 WEB登陆管理:
● 默认情况下,设备上没有预先配置管理口IP地址(管理接口支持ip路由,如果不在同一网段可以配置路由)
● 管理接口m-gigabit0/0/0为100M接口,缺省为shutdown,需要手工开启
● 登陆的用户名口令缺省:用户名:admin 口令:admin
9、 telnet和ssh登陆密码缺省为大写H3C。注意T200/T200E设备目前版本不支持ssh登陆,T1000系列支持。
10、 T200/T200E硬件:从左往右依次是1个为管理串口,两个USB口,四个业务口,一个管理网口左边上、下两个业务口为一个段,右边上、下两个业务口为一个段。
11、 IPS设备支持的安全策略有:
● 攻击防护策略
● 带宽管理策略
● URL过滤策略
● DDoS策略
● 大锅天线病毒防护策略
12、 IPS设备的几个基本概念:
● 安全区域和段
安全区域是一个物理/网络上的概念(特定的物理端口 + VLAN ID)
段可以看作是连接两个安全的区域的一个透明网桥
策略被应用在特定的段上。 段 + 策略 + 网络配置 (IP地址、方向)
特征定义了一组检测因子来决定如何对当前网络中的流量进行检测
规则的范畴比特征要广。规则 = 特征 + 启用状态 + 动作集
策略是一个包含了多条规则的集合
13、IPS的安全策略应用到:段
14、ips软件上的可靠性体现在:二层回退。
15、ips设备对于配置是自动保存的,ips支持web界面下配置文件的导入和导出。
16、ips设备安全策略配置生效的话需要:激活。
17、ips的主要响应动作是:允许、阻断、通知、限流。
18、ips设备web界面用户账号管理:缺省情况下,用户帐号的密码连续输入错误3次,该用户帐号会被锁定;因密码连续输入错误导致的帐号锁定的超时时长为30分钟,在这30分钟内,该用户帐号无法登录。出厂缺省情况下,密码强度为强密码;Web界面同时登录的最大在线用户数是5。这些值均可进行更改。
19、ips维护:需要查看IPS的攻击日志攻击报表,根据日志可以调整网络的安全策略;及时升级ips库和AV库。
数字收音机20、ips支持的过滤方式:教材中:主机名、ip地址、正则表达式。实验设备:固定字符、正则表达式。
21、ips设备的升级:设备通过TFTP进行软件版本升级。软件版本下载到设备后,升级成功需要指定启动版本。 Ips特征库升级和AV库升级可以通过TFTP和http,但升级特征库需要有license支持。
22、ips自动升级特征库需要满足,在H3C网站上注册license;配置DNS;管理口可以上外网。手动升级也需要有license。病毒AV特征库升级不需要重启设备,IPS漏洞库和软件版本升级需要重启设备。
23、ips av病毒库是和卡巴斯基合作,配置防病毒功能可以有效deny病毒威胁。
24、IPS漏洞库中病毒相关特征与AV病毒库特征区别:
● IPS漏洞库中病毒相关特征主要检测病毒、蠕虫间的通讯等特征
● AV病毒库特征检测传输层中数据的特定内容,如文件PE头,特定的二进制代码
25、带宽管理:段、策略、应用。如果对某一具体服务如限制QQ、迅雷等,最好用应用带宽管理。