資源描述:
《idp配置手冊及實(shí)例.new》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1���、JUNIPERIDP配置手冊作者版本日期科科V1.12008-12-30科科V1.22009-2-241�����、IDP的初始化設(shè)置3IDPsensor的初始化設(shè)置3IDP模塊的安裝方法132�、IDP的策略配置14在NSM中尋找IDP設(shè)備和模塊14配置IDP的策略17IDP配置實(shí)例22IDP的入侵保護(hù)策略配置實(shí)例22IDP防網(wǎng)絡(luò)掃描配置實(shí)例23IDP防SYN配置實(shí)例23IDP特征庫的升級24查看IDPsensor的狀態(tài)251�、IDP的初始化設(shè)置IDPsensor的初始化設(shè)置加電以后,sensro開始啟動(dòng)��,過
2�����、了幾分鐘,設(shè)備就會(huì)啟動(dòng)完畢�。用網(wǎng)線連接電腦和sensor的MGT接口,默認(rèn)的IP地址是192.168.1.1�,通過https://192.168.1.1/登錄sensor的ACM管理界面。默認(rèn)的用戶名和密碼分別是root和abc123�。采用ACM方式配置,并修改IDPsensor的工作模式等IDPsensor設(shè)置�,登錄進(jìn)去以后會(huì)顯示以下的界面,點(diǎn)擊ACM可以開始配置IDPsensor����;1.1.1、修改root和admin的密碼��,在使用NSM尋找sensor的時(shí)候需要使用�。(NSM服務(wù)器查找IDPse
3、nsor的時(shí)候會(huì)查詢admin用戶名�����,admin密碼和root密碼)1.1.1��、修改設(shè)備的名字和域名�,1.1.2、修改IDP的部署模式���,可以根據(jù)實(shí)際情況選擇相應(yīng)的工作模式��,如sniffor��,bridge��,transparent等���,若選擇transparent模式,可以選擇bypass功能(限電口���,IDP800和IDP8200有光纖BYPASS模塊)��。PS:BYPASS功能是指在IDP掉電或出現(xiàn)問題后�,IDP的兩個(gè)接口是直通的狀態(tài)�,BYPASS切換一般需要5秒左右,設(shè)備不同時(shí)間會(huì)不一樣1.1.1�、配置
4、IDP的HA模式�,若IDP都有自帶的HA專用接口。1.1.2���、配置網(wǎng)絡(luò)接口�,若修改工作模式,則需要重啟IDP才可以生效�。1.1.1、選擇多個(gè)虛擬路由器(可選)�����,若配置IDP的工作模式的時(shí)候選擇了transparent模式�,可能需要選擇是否啟動(dòng)多個(gè)虛擬路由器,每兩個(gè)接口屬于一個(gè)虛擬路由器1.1.2���、修改管理口的IP地址和管理口的網(wǎng)關(guān)���,供NSM服務(wù)器和客戶端遠(yuǎn)程連接使用,1.1.1����、配置那些接口處于工作模式的狀態(tài)下,以transparent為例����,其他界面不同,但比較類似1.1.2��、配置IDPMGT接口的
5、靜態(tài)路由和缺省網(wǎng)關(guān)(透明模式)輸入缺省網(wǎng)關(guān)并選擇對應(yīng)的接口����,若IDP為透明模式���,則只需要做一個(gè)管理接口的網(wǎng)關(guān)即可���;若為路由模式則需要在相應(yīng)的接口做相應(yīng)的網(wǎng)關(guān)1.1.1、DNS設(shè)置���,設(shè)置IDP是否自動(dòng)查詢相關(guān)的域名��,IDP特征庫的升級是通過NSM服務(wù)器完成因此在配置NSM服務(wù)器時(shí)必須設(shè)置對應(yīng)的DNS服務(wù)器�,而IDPsensor則可以不設(shè)置����;1.1.1、設(shè)置IDP的時(shí)間區(qū)域建議在中國選擇上海的時(shí)間�����,(PS:這里沒有北京時(shí)間)1.1.1���、設(shè)置時(shí)間服務(wù)器NTP1.1.1��、設(shè)置外置的Radius服務(wù)器�,用戶認(rèn)
6、證的時(shí)候使用1.1.2�、SNMP設(shè)置,設(shè)置對應(yīng)的SNMP服務(wù)器IP地址和端口號1.1.3����、設(shè)置IDP的SSH訪問,此功能必須開放���,NSM服務(wù)器在查找IDPsensor的時(shí)候�,首先是通過SSH獲取IDP的SSHkey���;1.1.1���、配置NSM服務(wù)器的IP地址和一次性密碼,DeviceID可以不填寫���,Primarynetscreen-SecurityManagerIP必須設(shè)置����,通訊端口默認(rèn)是7803,一次性密碼(OTP)可以不設(shè)置�����。NSM服務(wù)器查找IDP時(shí)使用了SSHKEY代替了OTP����,因此可以不設(shè)置�����。1
7�����、.1.2��、ACM配置����,此處提示是否每次啟動(dòng)IDP管理的時(shí)候是否使用ACM模式以上配置完以后會(huì)出現(xiàn)匯總界面,并可以點(diǎn)擊save&apply�。IDP會(huì)進(jìn)行進(jìn)程重啟和修改自身的配置,需要幾分鐘的時(shí)間�����,如果修改了管理口的IP地址,還需要更改自身電腦的IP就可以重新連接IDP模塊的安裝方法Netscreen-ISG系列的防火墻的IDP模塊安裝��,不需要進(jìn)行上述的設(shè)置�。但該模塊的設(shè)置都是通過NSM進(jìn)行。IP地址和路由都是依賴防火墻的路由和IP地址設(shè)置(注�,IDP模塊不支持sniffor模式)安裝步驟:(以NS-I
8、SG-2000為例)1.拆開防火墻NS-ISG-2000的機(jī)箱�,在插槽的最后一個(gè)模塊可以找到管理模塊。Slot3MgtcardSlot2-0SecurityCards(擴(kuò)展)ASICCardI/OModulesFanCard1.管理模塊上有兩條內(nèi)存�,每條512M。將此內(nèi)存拆下�����,然后將NS-ISG-1000-IKT所帶的內(nèi)存����,每條1GB。將內(nèi)存裝上�����,NS-ISG-2000的內(nèi)存即為2G,(增加了內(nèi)存的ISG系列防火墻并發(fā)會(huì)話數(shù)會(huì)增加一倍)2.將NS-ISG-SEC模塊插
