- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-网络全流量威胁分析探针典型配置举例
本章节下载: 15-网络全流量威胁分析探针典型配置举例 (1.49 MB)
H3C安全威胁发现与运营管理平台
网络全流量威胁分析探针典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍网络全流量威胁分析探针(以下简称NTA探针)与安全威胁发现与运营管理平台(以下简称CSAP平台)使用的配置案例。
NTA探针可以对流量进行分析,包括入侵防御、防病毒、会话分析等,然后产生相应日志发送安全威胁发现与运维管理平台,进行安全、流量等内容进行分析。
NTA探针主要为旁路部署场景,接入交换机等设备镜像的客户网络流量,仅对流量进行分析检测。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解CSAP平台和网络全流量威胁分析探针的功能特性。
如下图所示组网中,部署了CSAP平台,客户组网中FW/SW将需要分析的流量镜像到NTA探针设备中,NTA探针将镜像的流量基于安全策略进行分析,产生会话日志、威胁日志等。NTA探针配置日志采集器地址后,将日志发送到CSAP平台,CSAP平台对日志进行解析、适配等,最终分析产生安全事件。
图3-1 组网图
说明:图中GE1/0/0是管理口,GE1/0/1是镜像流量口。
· NTA探针配置接口模式并加入安全域,添加安全策略。
· NTA探针开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用,同时启用信誉功能,开启DNS审计日志。
· NTA探针开启抓包上传。
· NTA探针配置日志发送相关参数。
· 安全威胁发现与运营管理平台配置区域和资产。
· 安全威胁发现与运营管理平台配置数据来源。
本举例是在CSAP平台的E1143P05版本上进行配置和验证的。
由于NTA探针不同版本间的配置存在差异,文中已分别介绍不同版本的配置步骤。请在实际配置过程时,参考设备实际版本对应的配置步骤进行配置。
在配置之前确保需要分析的流量已配置好流量镜像。
请确认管理PC、第三方平台、CSAP平台之间网络互通。
请确认NTA探针的版本,并参考本文对应版本的配置进行操作。。
入侵防御设备有入侵防御、防病毒、URL、信誉等特征库授权并已升级最新特征库文件。特征库文件可到如下路径获取:http://www.h3c.com/cn/home/qr/default.htm?id=785。
如果物理探针设备初始版本如果大于等于P1214版本,请按照3.5.1 配置。
如果虚拟探针设备初始版本如果大于等于P1215版本,请按照3.5.2 配置。以虚拟探针设备安装在标准的X2020-G服务器为例。
如果虚拟探针设备初始版本低于P1215版本和物理探针设备低于P1214版本,按照3.5.3 配置。
管理口选择GigabitEthernet 1/0/0,配置该接口的管理IP地址。1~29口为镜像流量接口。
[H3C]interface GigabitEthernet 1/0/0
[H3C-GigabitEthernet0/0] ip address 186.64.4.219 255.255.0.0
开启http服务并创建管理用户。
[H3C]ip http enable
[H3C] ip https enable
[H3C]local-user admin class manage
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]line vty 0 63
[H3C-line-vty0-63]authentication-mode scheme
将NTA接入镜像流量的接口加入黑洞路由。
[H3C-bridge-1-blackhole]bridge 1 blackhole
[H3C-bridge-1-blackhole]add interface GigabitEthernet GE1/0/2
[H3C]security-zone name DMZ
[H3C-security-zone-DMZ]import interface GigabitEthernet GE1/0/2
(1) 单击Web上方标识和面板区的“对象”按钮,然后单击导航栏“应用安全”。
(2) 选择进入“安全动作 > 捕获”页面,设置捕获参数。
¡ 最大捕获千字节数:0
¡ 配置上传URL:
- 如果上报到CSAP平台集群版,URL配置为:tftp://Cyber4的对外通信地址。(Cyber4为集群版第四台设备)
- 如果上报到CSAP平台标准版,URL配置为:tftp://平台的对外通信地址。
本举例中以上送到CSAP平台标准版为例,平台IP地址为192.168.1.2。
(3) 设置完成后,单击<确定>按钮。
单击Web上方标识和面板区的“系统”按钮,然后单击导航栏“维护 > 系统设置 > 日期和时间”,配置时区。时区:北京(GMT+08:00),修改完成后检查系统时间正常。
(1) 单击Web上方标识和面板区的“策略”按钮,然后单击导航栏“安全策略”。
(2) 单击<新建>按钮,进入 新建安全策略,动作选择允许。
(3) 新建安全策略弹窗下拉进入内容安全部分,IPS策略下拉框选择,新建IPS策略。
· 名称:IPS
· 设置动作:动作选择允许
· 日志:开启
· 抓包:开启
(4) 设置完成后单击<确定>按钮保存。
(5) 下拉进入内容安全部分,防病毒策略下拉框选择,新建防病毒略引用;防病毒策略需进行以下配置:
· 名称:AV
· 传输协议:全部勾选
· 动作:全部为告警
(6) 设置完成后单击<确定>按钮保存。
(7) 下拉进入内容安全部分,URL过滤策略下拉框选择,新建URL过滤策略引用;URL过滤策略需进行以下配置:
· 缺省动作:勾选允许
· 记录日志:勾选
· URL过滤分类:勾选全部分类的记录日志
(8) IPS策略、防病毒策略、URL过滤策略引用后如下图。
说明:安全策略记录日志日志开启会影响设备性能,默认不进行开启。
(9) 单击<确定>按钮,对安全策略进行保存;保存后在安全策略页面进行安全策略配置“提交”。
日志主机通过后台配置,登录NTA探针后台,配置如下命令。其中,日志主机的IP地址为CSAP平台被动采集器的IP地址。
[H3C] customlog host 186.64.5.106 export session dpi url-filter ips anti-virus reputation dns
[H3C] customlog timestamp localtime
说明:可通过如下方式查看CSAP平台被动采集器的IP地址。
进入CSAP,选择“配置管理-数据来源-采集器管理”,即可查看被动采集器IP地址。
(1) 登录CSAP平台,进入“配置中心-数据源配置-日志源管理”页面。
(2) 新增被动采集器日志源。配置如下参数:
¡ IP:此地址配置为NTA探针管理IP。
¡ 设备类型:配置为威胁检测探针。
¡ 编码:选择gbk。
¡ 端口:保持默认的514端口。
(1) 登录CSAP平台,进入“资产中心-区域配置”页面。默认已有默认区域,默认区域中包含常见私网网段;点击新增可以新增其他内网对应网段。
(2) 新增测试区域,配置内网IP段信息。
(3) 进入“资产中心-资产配置”页面,新增资产。
(4) 进入资产中心-资产配置页面,点击<配置>按钮,勾选开启自动发现资产,默认为开启状态。
管理口选择XGE9/0,配置该接口的管理IP地址。XGE9/1、XGE9/2、XGE9/3、XGE1/0、XGE1/1为镜像流量口。
[H3C]interface XGE9/0
[H3C-Ten-GigabitEthernet9/0] ip address 186.64.4.219 255.255.0.0
开启http服务并创建管理用户。
[H3C]ip http enable
[H3C] ip https enable
[H3C]local-user admin class manage
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]line vty 0 63
[H3C-line-vty0-63]authentication-mode scheme
将NTA接入镜像流量的接口加入黑洞路由。
[H3C-bridge-1-blackhole]bridge 1 blackhole
[H3C-bridge-1-blackhole]add interface GigabitEthernet XGE9/2
[H3C]security-zone name DMZ
[H3C-security-zone-DMZ]import interface GigabitEthernet XGE9/2
(1) 单击Web上方标识和面板区的“对象”按钮,然后单击导航栏“应用安全”。
(2) 选择进入“安全动作 > 捕获”页面,设置捕获参数。
¡ 最大捕获千字节数:0
¡ 配置上传URL:
- 如果上报到CSAP平台集群版,URL配置为:tftp://Cyber4的对外通信地址。(Cyber4为集群版第四台设备)
- 如果上报到CSAP平台标准版,URL配置为:tftp://平台的对外通信地址。
本举例中以上送到CSAP平台标准版为例,平台IP地址为186.64.100.252。
(3) 设置完成后,单击<确定>按钮保存。
单击Web上方标识和面板区的“系统”按钮,然后单击导航栏“维护 > 系统设置 > 日期和时间”,配置时区。时区:北京(GMT+08:00),修改完成后检查系统时间正常。
(1) 单击Web上方标识和面板区的“策略”按钮,然后单击导航栏“安全策略”。
(2) 单击<新建>按钮,进入 新建安全策略,动作选择允许。
(3) 新建安全策略弹窗下拉进入内容安全部分,IPS策略下拉框选择,新建IPS策略。
· 名称:IPS
· 设置动作:动作选择允许
· 日志:开启
· 抓包:开启
(4) 设置完成后单击<确定>按钮保存。
(5) 下拉进入内容安全部分,防病毒策略下拉框选择,新建防病毒略引用;防病毒策略需进行以下配置:
· 名称:AV
· 传输协议:全部勾选
· 动作:全部为告警
(6) 设置完成后单击<确定>按钮保存。
(7) 下拉进入内容安全部分,URL过滤策略下拉框选择,新建URL过滤策略引用;URL过滤策略需进行以下配置:
· 缺省动作:勾选允许
· 记录日志:勾选
· URL过滤分类:勾选全部分类的记录日志
(8) IPS策略、防病毒策略、URL过滤策略引用后如下图。
说明:安全策略记录日志日志开启会影响设备性能,默认不进行开启。
(9) 单击<确定>按钮,对安全策略进行保存;保存后在安全策略页面进行安全策略配置“提交”。
日志主机通过后台配置,登录NTA探针后台,配置如下命令。其中,日志主机的IP地址为CSAP平台被动采集器的IP地址。
[H3C] customlog host 186.64.5.106 export session dpi url-filter ips anti-virus reputation dns
[H3C] customlog timestamp localtime
说明:可通过如下方式查看CSAP平台被动采集器的IP地址。
进入CSAP,选择“配置管理-数据来源-采集器管理”,即可查看被动采集器IP地址。
(1) 登录CSAP平台,进入“配置中心-数据源配置-日志源管理”页面。
(2) 新增被动采集器日志源。配置如下参数:
¡ IP:此地址配置为NTA探针管理IP。
¡ 设备类型:配置为威胁检测探针。
¡ 编码:选择gbk。
¡ 端口:保持默认的514端口。
(1) 登录CSAP平台,进入“资产中心-区域配置”页面。默认已有默认区域,默认区域中包含常见私网网段;点击新增可以新增其他内网对应网段。
(2) 新增测试区域,配置内网IP段信息。
(3) 进入“资产中心-资产配置”页面,新增资产。
(4) 进入资产中心-资产配置页面,点击<配置>按钮,勾选开启自动发现资产,默认为开启状态。
配置前请确保需要分析的流量已配置好流量镜像。
下面步骤操作基于web页面配置操作。
[H3C]interface GigabitEthernet 0/0
[H3C-GigabitEthernet0/0]port link-mode route
[H3C-GigabitEthernet0/0] ip address 186.64.4.219 255.255.0.0
[H3C-GigabitEthernet0/0]security-zone name Management
[H3C-security-zone-Management]import interface GigabitEthernet 0/0
开启http服务并创建管理用户。
[H3C]ip http enable
[H3C] ip https enable
[H3C]local-user admin class manage
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]line vty 0 63
[H3C-line-vty0-63]authentication-mode scheme
将NTA接入镜像流量的接口加入黑洞路由。
[H3C-bridge-1-blackhole]bridge 1 blackhole
[H3C-bridge-1-blackhole]add interface GigabitEthernet 0/2
[H3C]security-zone name DMZ
[H3C-security-zone-DMZ]import interface GigabitEthernet 0/2
单击Web上方标识和面板区的“系统”按钮,然后单击导航栏“维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常。
(1) 单击Web上方标识和面板区的“策略”按钮,然后单击导航栏“安全策略”。
(2) 单击<新建>按钮,进入 新建安全策略,动作选择允许。
(3) 新建安全策略弹窗下拉进入内容安全部分,IPS策略下拉框选择,新建IPS策略。
· 名称:IPS
· 设置动作:动作选择允许
· 日志:开启
· 抓包:开启
(4) 设置完成后单击<确定>按钮保存。
(5) 下拉进入内容安全部分,防病毒策略下拉框选择,新建防病毒略引用;防病毒策略需进行以下配置:
· 名称:AV
· 传输协议:全部勾选
· 动作:全部为告警
(6) 设置完成后单击<确定>按钮保存。
(7) 下拉进入内容安全部分,URL过滤策略下拉框选择,新建URL过滤策略引用;URL过滤策略需进行以下配置:
· 缺省动作:勾选允许
· 记录日志:勾选
· URL过滤分类:勾选全部分类的记录日志
(8) IPS策略、防病毒策略、URL过滤策略引用后如下图。
说明:安全策略记录日志日志开启会影响设备性能,默认不进行开启。
(9) 单击<确定>按钮,对安全策略进行保存;保存后在安全策略页面进行安全策略配置“提交”。
DNS审计日志需要通过后台开启。日志主机IP配置为CSAP平台日志被动采集器IP地址。可登录CSAP平台查看具体地址。
[H3C]dns snooping log enable
[H3C]customlog host 186.64.5.106 export dns
[H3C]customlog format dns
(1) 进入策略-威胁情报页面,分别选择IP信誉、域名信誉启用信誉功能。
(2) 在对象-应用安全-URL过滤页面,配置开启URL信誉功能。
(1) 单击Web上方标识和面板区的“对象”按钮,然后单击导航栏“应用安全”。
(2) 选择进入“安全动作 > 捕获”页面,设置捕获参数。
¡ 最大捕获千字节数:0
¡ 配置上传URL:
- 如果上报到CSAP平台集群版,URL配置为:tftp://Cyber4的对外通信地址。(Cyber4为集群版第四台设备)
- 如果上报到CSAP平台标准版,URL配置为:tftp://平台的对外通信地址。
本举例中以上送到CSAP平台标准版为例,平台IP地址为186.64.5.106。
(3) 设置完成后,单击<确定>按钮保存。
(1) 单击Web上方标识和面板区的“系统”按钮,然后单击导航栏“日志设置”。
(2) 选择进入“威胁日志”页面,进行如下配置。
· 入侵防御日志-输出快速日志:勾选
· 入侵防御日志-输出中文日志:勾选
· 防病毒日志-输出快速日志:勾选
(3) 选择进入“URL过滤日志”页面,进行如下配置。
· 日志类型-快速日志:勾选
· 开启URL过滤日志:勾选
(4) 选择进入“信誉日志”页面,开启信誉快速日志。
(5) 选择会话日志页面,进行如下配置。
· 日志类型:选择快速日志
· 配置生成日志的接口列表
(6) 进入“系统 > 会话设置 > 高级设置”页面,开启会话统计功能。
(7) 选择进入“基本配置”页面,进入“快速日志”页面,新建日志主机,配置如下:
· 日志信息时间戳:设备本地时间
· 日志信息的源IP地址:默认使用管理口IP地址,不进行配置;实际选择与被动采集器IP路由可达地址
(8) 新建日志主机
· 日志主机:填写CSAP平台的被动采集器IP(查看该IP可参见下方说明)
· 端口号:默认填写514(可以根据实际场景进行设置)
· 会话日志:勾选
· 入侵防御日志:勾选
· 防病毒日志:勾选
· URL过滤日志:勾选
· 信誉日志:勾选
(9) 配置完成后单击<确定>按钮即可
安全威胁发现与运营管理平台-被动采集器IP地址,进入安全威胁发现与运营管理平台,选择“配置管理-数据来源-采集器管理”,即可查看被动采集器IP地址。
登录CSAP平台,进入“配置中心 > 数据源配置 > 日志源管理”,新增日志源,IP地址配置NTA探针管理IP,设备类型为威胁检测探针,编码选择gbk。
(1) 登录CSAP平台,进入资产中心 > 区域配置,默认已有默认区域,默认区域中包含常见私网网段;单击新增可以新增其他内网对应网段。
(2) 新增测试区域,配置内网IP段信息。
(3) 进入“资产中心 > 资产配置”页面,新增资产。
进入“资产中心 > 资产配置”页面,单击<配置>按钮,勾选开启自动发现资产,默认为开启状态。
(1) 用户流量满足NTA探针安全策略中入侵防御配置时,可以产生入侵防御日志,登录安全威胁发现与运营管理平台,进入“日志中心 > 安全日志”页面,可以查看到对应日志记录。
(2) 用户流量满足NTA探针安全策略中防病毒配置时,可以产生防病毒日志,登录安全威胁发现与运营管理平台,进入“日志中心 > 安全日志”页面,可以查看到对应日志记录。
(3) 用户流量满足NTA探针安全策略中URL过滤配置时,可以产生URL过滤日志,登录安全威胁发现与运营管理平台,进入“日志中心 > 网络审计日志 > URL访问日志”页面,可以查看到对应日志记录。
(4) 用户流量有新建和删除会话时,可以产生会话日志,登录安全威胁发现与运营管理平台,进入“日志中心 > 流量日志 > 会话日志”页面,可以查看到对应日志记录。
(5) 用户流量中源IP、目的IP、URL或域名,匹配对应类型的威胁情报时,可以产生信誉日志,登录安全威胁发现与运营管理平台,进入“日志中心 > 安全日志 > 恶意通信”页面,可以查看到对应日志记录。
(6) 登录安全威胁发现与运营管理平台,进入资产中心 > 资产配置,有内网流量发现资产。
(7) 登录安全威胁发现与运营管理平台,进入处置中心 > 安全事件 > 详情模式,查看有安全事件生成。
(8) 单击查看安全事件详情模式下的安全事件详情,详情页面可以查看到网络取证报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
