資源描述:
《idp配置手冊及實例new》由會員上傳分享����,免費在線閱讀,更多相關內(nèi)容在應用文檔-天天文庫�。
1�����、JUNIPERIDP配置手冊作者版本日期科科V1.12008-12-30科科V1.22009-2-241��、IDP的初始化設置3IDPsensor的初始化設置3IDP模塊的安裝方法132�、IDP的策略配置14在NSM中尋找IDP設備和模塊14配置IDP的策略17IDP配置實例22IDP的入侵保護策略配置實例22IDP防網(wǎng)絡掃描配置實例23IDP防SYN配置實例23IDP特征庫的升級24查看IDPsensor的狀態(tài)251�����、IDP的初始化設置IDPsensor的初始化設置加電以后,sensro開始啟動�,
2�����、過了幾分鐘���,設備就會啟動完畢����。用網(wǎng)線連接電腦和sensor的MGT接口����,默認的IP地址是192.168.1.1���,通過https://192.168.1.1/登錄sensor的ACM管理界面����。默認的用戶名和密碼分別是root和abc123�����。采用ACM方式配置,并修改IDPsensor的工作模式等IDPsensor設置�,登錄進去以后會顯示以下的界面,點擊ACM可以開始配置IDPsensor����;1.1.1、修改root和admin的密碼�,在使用NSM尋找sensor的時候需要使用。(NSM服務器查找IDP
3�、sensor的時候會查詢admin用戶名��,admin密碼和root密碼)1.1.1�����、修改設備的名字和域名��,1.1.2����、修改IDP的部署模式,可以根據(jù)實際情況選擇相應的工作模式���,如sniffor����,bridge,transparent等��,若選擇transparent模式��,可以選擇bypass功能(限電口����,IDP800和IDP8200有光纖BYPASS模塊)�����。PS:BYPASS功能是指在IDP掉電或出現(xiàn)問題后,IDP的兩個接口是直通的狀態(tài)�����,BYPASS切換一般需要5秒左右����,設備不同時間會不一樣1.1.1
4、��、配置IDP的HA模式��,若IDP都有自帶的HA專用接口�。1.1.2�����、配置網(wǎng)絡接口��,若修改工作模式,則需要重啟IDP才可以生效。1.1.1���、選擇多個虛擬路由器(可選)�,若配置IDP的工作模式的時候選擇了transparent模式�,可能需要選擇是否啟動多個虛擬路由器����,每兩個接口屬于一個虛擬路由器1.1.2、修改管理口的IP地址和管理口的網(wǎng)關����,供NSM服務器和客戶端遠程連接使用��,1.1.1����、配置那些接口處于工作模式的狀態(tài)下,以transparent為例����,其他界面不同��,但比較類似1.1.2、配置IDPMG
5���、T接口的靜態(tài)路由和缺省網(wǎng)關(透明模式)輸入缺省網(wǎng)關并選擇對應的接口��,若IDP為透明模式�����,則只需要做一個管理接口的網(wǎng)關即可;若為路由模式則需要在相應的接口做相應的網(wǎng)關1.1.1��、DNS設置�����,設置IDP是否自動查詢相關的域名���,IDP特征庫的升級是通過NSM服務器完成因此在配置NSM服務器時必須設置對應的DNS服務器,而IDPsensor則可以不設置�����;1.1.1、設置IDP的時間區(qū)域建議在中國選擇上海的時間,(PS:這里沒有北京時間)1.1.1���、設置時間服務器NTP1.1.1�����、設置外置的Radius服務
6����、器,用戶認證的時候使用1.1.2����、SNMP設置,設置對應的SNMP服務器IP地址和端口號1.1.3����、設置IDP的SSH訪問�����,此功能必須開放��,NSM服務器在查找IDPsensor的時候����,首先是通過SSH獲取IDP的SSHkey;1.1.1�����、配置NSM服務器的IP地址和一次性密碼,DeviceID可以不填寫�,Primarynetscreen-SecurityManagerIP必須設置,通訊端口默認是7803���,一次性密碼(OTP)可以不設置��。NSM服務器查找IDP時使用了SSHKEY代替了OTP�����,因此可
7�����、以不設置。1.1.2���、ACM配置�,此處提示是否每次啟動IDP管理的時候是否使用ACM模式以上配置完以后會出現(xiàn)匯總界面,并可以點擊save&apply�����。IDP會進行進程重啟和修改自身的配置�����,需要幾分鐘的時間�,如果修改了管理口的IP地址,還需要更改自身電腦的IP就可以重新連接IDP模塊的安裝方法Netscreen-ISG系列的防火墻的IDP模塊安裝�����,不需要進行上述的設置�����。但該模塊的設置都是通過NSM進行。IP地址和路由都是依賴防火墻的路由和IP地址設置(注�����,IDP模塊不支持sniffor模式)安裝步驟
8���、:(以NS-ISG-2000為例)1.拆開防火墻NS-ISG-2000的機箱�,在插槽的最后一個模塊可以找到管理模塊。Slot3MgtcardSlot2-0SecurityCards(擴展)ASICCardI/OModulesFanCard1.管理模塊上有兩條內(nèi)存�����,每條512M����。將此內(nèi)存拆下����,然后將NS-ISG-1000-IKT所帶的內(nèi)存����,每條1GB��。將內(nèi)存裝上��,NS-ISG-2000的內(nèi)存即為2G����,(增加了內(nèi)存的ISG系列防火墻并發(fā)會話數(shù)會增加一倍)2.將NS-ISG-SEC模塊插
