趋势科技IWSA 2015

TCSE2015认证培训课件ChannelEnablingTeam趋势科技IWSA(InterscanWebSecurityAppliance）3/16/2020Confidential|Copyright2013TrendMicroInc.TCSE2015认证培训课件学习目的•通过本课程学习，您可以掌握InterscanWebSecurityAppliance在企业网络中的安装部署及常规配置。帮助用户实现Web网关安全防护。TCSE2015认证培训课件内容大纲•功能概述•安装讲解及实验•重要配置讲解及实验•日志以及报告呈现TCSE2015认证培训课件产品概述TCSE2015认证培训课件IWSA的主要功能•协议的防护–HTTP，HTTPS，FTPTCSE2015认证培训课件6TrendMicrouseonlyIWSA新型号部署方式IWSA部署方式；管理员可以根据企业的本身需求，部署IWSA设备，部署后不会影响现有客户的网络结构。•代理联动模式•ICAP+IWSA•完全透明桥模式•与L4交换机联动•与Cisco交换机联动•多链路支持TCSE2015认证培训课件透明桥接模式•无需终端变更•无需网络架构变更•无网络“故障点”TCSE2015认证培训课件代理部署模式•整合用户上网代理•无需指定代理服务器类型TCSE2015认证培训课件高可用性部署•有效利用原有投入•无网络“故障点”•提供网络高可用性WCCP模式负载均衡设备联动TCSE2015认证培训课件多链路支持•IWSA新型号支持以下种类的多链路部署方式–多链路–端口组–断路检测–链路聚合•*详情请参见附件SOPTCSE2015认证培训课件IWSA产品系列规格比较（1）TCSE2015认证培训课件IWSA产品系列规格比较（2）TCSP2013TrainingCourse|Copyright2013TrendMicroInc.TCSE2015认证培训课件安装部署TCSE2015认证培训课件安装前的准备•必须掌握用户的网络拓扑–是否有代理/防火墙/监控/审计等专用设备•了解用户使用习惯–并发连接数，吞吐量–对比IWSA官方数据•换个流量小的位置部署•换一个部署模式•Bypass一些IP或IP段•利用隐藏功能(大于某个并发连接阙值的都不扫描)–软件使用习惯•决定IWSA的部署模式•决定网络参数TCSE2015认证培训课件用户的需求分析•用户的实际功能需求•用户极为重视IWSA扫描对性能的影响–参考IWSA测试建议配置相关文档调优，如•文件类型拦截•大文件处理方式•压缩文件处理方式•……TCSE2015认证培训课件硬件准备工作•IWSA设备•9针串口线•USB键盘•显示器•交叉线TCSE2015认证培训课件安装演示•使用虚拟环境下部署时–绕过硬件检测•安装界面按Tab键•输入“nohwfail”TCSE2015认证培训课件安装部署实验•实验一：完成IWSA的程序安装TCSE2015认证培训课件配置和维护TCSE2015认证培训课件管理界面•Web控制台––用户名：adminTCSE2015认证培训课件策略配置•测试流程建议–上线前先关闭所有扫描功能，网络通讯正常后再逐步启用–用户现场测试不建议启用•Web信誉规则•Applets/ActiveX•URL过滤•HTTP/HTTPS/FTP扫描配置•黑白名单的设置TCSE2015认证培训课件配置实验•实验二：阻止用户访问的网页上显示图像文件，网址例外•实验三：配置IWSA，使客户端无法上，但能访问music.baidu.com.cn：•实验四：阻止用户通过FTP下载eicar测试病毒TCSE2015认证培训课件日常维护配置•登录预设控制台–可使用Putty工具（需启用SSH）–用户名：root，密码为安装时所设置•补丁和系统的更新TCSE2015认证培训课件维护实验•实验五：使用Putty工具登录IWSA预设置控制台TCSE2015认证培训课件日志报告呈现•摘要管理•报告设置•日志查询和分析–开启URL访问日志TCSE2015认证培训课件日志报告实验•实验六：开启URL访问日志，并查询生成的日志内容•实验七：生成一份实时报告TCSE2015认证培训课件BYPASS机制TCSE2015认证培训课件Bypass机制：硬件bypass（Lanbypass卡）•原理硬件bypass即为lanbypass卡bypass，如果被启用，IWSA就像一根网线，网络流量根本不经过IWSA机器，对于客户的网络性能没有任何影响，•适用场景–如果IWSA出现故障，需要暂时bypass;–如果需要重启IWSA网卡；–如果需要重启IWSA机器。•优势不影响客户网络流量下，可以对IWSA机器做任何事情TCSE2015认证培训课件•常用命令（假设eth1和eth2为IWSA上下行网口,其中eth1为master网口，下面的命令必须对master网口设置才起作用，如果对slave网口设置，其会提示出错信息。）查看IWSA的网卡是否为bypassbpctleth1get_bypass启用lanbypass(即网络流量不经过IWSA)bpctleth1set_bypasson禁用lanbypass(即恢复扫描状态)bpctleth1set_bypassoff•注意事项在启用lanbypass功能之前，需要设置IWSA的管理口连接，否则无法管理机器，在lanbypass启用之后，只用通过管理口或者COM口才能连上IWSA。Bypass机制：硬件bypass（Lanbypass卡）TCSE2015认证培训课件Bypass机制：系统bypass（IWSA系统内核层）•原理利用IWSA操作系统内核conntrack进行bypass，即通常所说的rpolicybypass。通过rpolicy设置，可以控制IWSVA对哪些端口，哪些IP（包括目的IP和源IP）或者哪些mac地址进行扫描。如果在rpolicy清空的情况下，即进行全部bypass，在1000M网络性能下，其可以达到900M+，可以说对网络性能几乎没有影响。•应用场景–在性能测试中，IWSVA的吞吐量不够；–在某些时段，客户流量达到一定的并发值之后，上网会变慢；–在某些情形下，内网通过IWSVA不能访问某些网站；–在某些情形下，某些特殊的客户端或者某个子网不能上网；•优势不需要重启网卡，在设置后自动生效TCSE2015认证培训课件两个角度：•从总的connection数目bypass通常IWSA6000会设置总连接bypass的数目为5000，即系统连接数超过5000个连接后的请求直接从系统内核经过，不会再扫描;•对于符合条件的流量进行bypass,比如某些目的/源IP地址，某些目的/源端口，某些目的/源MAC地址；Bypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件•跟rpolicy密切相关的文件（1）/etc/iscan/network.ini（需要重启网卡）–ct_redir_max=5000,即总的连接数超过5000之后即bypass–bypass_dstIP=…，该项参数是bypass所有这些目的IP的数据包/proc/conntrack/rpolicy,查看rpolicy规则Bypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件•跟rpolicy密切相关的文件（2）/proc/conntrack/ct_redir_max–查看当前总连接的bypass数目–network.ini文件中的ct_redir_max参数设置是对应的/proc/conntrack/help–查看rpolicy设置的帮助命令Bypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件常见应用1：动态更改bypass的总连接数(即通常所说的overloadbypass)场景：在测试中频繁使用大文件测试，造成IWSA的性能降低方法：动态降低总的bypass连接数：echo3000/proc/conntrack/ct_redir_max注：在重启网卡或者机器会失效要保留设置，同时修改network.ini参数ct_redir_maxBypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件常见应用2：删除某个policy方法echoDEL5/proc/conntrack/redirect即可以删除第5条rpolicyBypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件常见应用3：动态增加Bypass某些目的IP方法1.先查看rpolicy中端口转发的规则编号(more/proc/conntrack/rpolicy)2.再删除rpolicy中端口转发的规则Bypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件常见应用3：动态增加Bypass某些目的IP方法3.再添加bypass某些目的IP的规则4.然后再添加端口转发规则5.再确认规则是否成功添加(more/proc/conntrack/rpolicy)Bypass机制：系统bypass（IWSA系统内核层）注：保留该设置，请同时修改network.ini参数bypass_dstIP，添加该目的IP段TCSE2015认证培训课件常见应用4：动态增加Bypass某些源IP方法有时候某些特殊的子网IP可能由于IWSA不能上网，这样的话可以增加bypass源IP的命令，步骤和3)完全一样，只是在第c)步的命令为：echoADD–sip10.64.60.1/24-actionpass/proc/conntrack/redirect可以bypass源IP为10.64.60.1的C网IP地址Bypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件常见应用5：bypass所有网络流量(即清空rpolicy)方法：a).先保存现有的rpolicy策略cat/proc/conntrack/rpolicy/tmp/rpolicyb).清空rpolicy很简单：echo/proc/conntrack/rpolicy需要恢复的话，请按以下步骤：c).编辑/tmp/rpolicy文件：vi/tmp/rpolicy如果rpolicy形式如下：Bypass机制：系统bypass（IWSA系统内核层）TCSE2015认证培训课件常见应用5：bypass所有网络流量(即清空rpolicy)方法：需要改为：d).然后键入：cat/tmp/rpolicy/proc/conntrack/rpolicye).more/proc/conntrack/rpolicy确认Bypass机制：系统bypass（IWSA系统内核层）注：rpolicy规则不能超过128条，超过128条后rpolicy会被清空TCSE2015认证培训课件Bypass机制：一键bypass(WSVA5.6)Bridge部署模式：•当出现严重的性能问题或网络数据包无法向外发送时，使用该方法bypass所有流量•摘要页要--“ByPassTraffic”.–已使用LanBypass卡,该操作会启用LanBypass模式mode–未使用LanBypass卡,rpolicy表会被清空TCSE2015认证培训课件Bypass实验•实验八：–配置IWSA下某一客户端，能正常下载eicar.comTCSE2015认证培训课件ThankYou!CEOEva微博云计算安全博客趋势科技官网