ips入侵防御系统部署

信息内网边界防御系统实施方案

• 项目背景
• 实施需求；设备需求，环境需求，资源需求
• 设备部署示意
• 安装部署规划：ip地址规划；端口连接规划；设备物理位置规划
• 加电测试
• 新增设备预设置：许可管理；特征库升级；设备登录管理；安全策略管理；
• 项目实施

1.项目概述

  项目背景
  目前，公司信息内网入侵防御系统部署在信息内网主链路上，设备存在单点故障，无法保障关键网络节点检测和限制从内外网络发起网络攻击行为过部署两台ips入侵防御设备，实现主备链路上设备冗余备份，实现访问控制功能，内容过滤，病毒防范，网络攻击等其他因素对内，外网络造成威胁，提高安全处置工作的效率和质量，保障公司各业务正常稳定的运行。

2.设备需求

• 硬件环境需求

  a)温度（摄氏）（工作）：10-30 摄氏度
  b)温度（摄氏）（非工作）：0-50 摄氏度
  c)相对湿度（非凝结）（工作）：45%-60%
  d)相对湿度（非凝结）（非工作）：5%-95%
  e)电磁兼容性：通过GB9254-1998 A 级

• 环境需求
  设备规格：1U
  国标电源，接地良好

• 资源需求
  网络跳线 2
  多模光钎跳线 4
  ip地址 信息内网管理ip地址两个

3设备部署示意图

4.安装部署规划

• ip地址规划

接口	ip地址/端口模式
管理口	至核心交换机
Gel/4	下连-核心交换机
Gel/3	上连-核心路由器/防火墙

• 端口连接规划

本端端口	对端端口
管理端口	信息内网核心交换机
Ge1/4下连端口	信息内网核心交换机
Ge1/3上连端口	信息内网防火墙

5.加点测试

 设备安装前对设备进行 加电测试包含(板卡、模块、系统运行状态等)，确保设备运行状态正常。

6.设备预先设置

许可管理
1)选择系统>许可管理，如下图：
2)点击“更新授权”，将授权码粘贴到输入框中：

2)点击“更新授权”，将授权码粘贴到输入框中：

3)点击“提交”

特征库升级

1)为保证网络环境得到及时的安全防护，设备上线前手动进行特征库升级；
2)选择系统>版本管理>特征库版本，如下图：
3)选择手动升级，选择需要更新的文件，然后点击“提交”
设备登录管理

a)登陆地址“https://192.168.1.250
b)原厂设备默认管理口IP地址是：192.168.1.250/24,（ 默认用户名：admin，密码：venus.nips）。
c)修改登录地址，开启远程登录访问限制，关闭不安全接口服务。

安全策略配置
d)三权分立配置
开启设备三权分立配置，实现不同账号对设备的管理权限。
e)安全策略梳理
根据现有IPS配置信息进行设备配置格式转换导入，（附件1配置过程记录）。
配置策略梳理（附件1配置过程记录）。
f)新增配置
根据现有设备攻击防护记录数据信息，开启安全防护策略，并进行安全防护策略调整包含阻断、告警、提示等规则。

项目实施需要注意
需要收集以下信息进行数据同步：
ntp 服务器
snmp 团体名
日志服务器
ips 管理ip 地址 主备各一个共2个
ips 用户名 密码
管理主机范围
内网ip段

升级管理

透明网桥配置在这里插入图片描述
snmp 团体名

地址对象

静态路由配置

防攻击配置
弱口令配置

安全访问配置