DefensePro 102快速安装指南

　　

DefensePro 102

　　1. 开始安装前的说明

　　DefensePro 102是Radware公司专门为中小型网络用户提供的

性价比极高的入侵防护整体解决方案，其涵盖了入侵检测和防范、DoS/DDoS攻击防范和流量管理等众多安全功能。本手册仅介绍基本的DefensePro 102安全策略配置、和流量管理策略配置，帮助您在独立的情况下完成对DefensePro 102的快速配置。如您需要更详尽的策略规则配置，请参阅 DefensePro用户手册。

　　在使用本手册前，请详细阅读本章节下面的内容，包括一个范例的拓扑结构，IP地址分配以及其他需求等。

　　1.1. 包装检查

　　

　　1.2. 范例拓扑说明

　　本文档将会以下面的具体拓扑结构和IP地址分配来说明整个DefensePro设备的基本配置。

　　文档中涉及的DefensePro 102 设备信息如下：

　　HW version: Ninia

　　SW version: 3.04.07

　　1.2.1. 拓扑结构

　　

　　

　　

　　

　　

　　

　　

　　DefensePro 102的管理IP是10.1.1.254

　　路由器的内口地址和内部网络的地址处于同一网段，DefensePro 102透明的接入网络进行防护。

　　 1.2.2. 配置需求客户通过路由器接入Internet，路由器内部地址为192.168.100.254;内部网络用户地址是192.168.100.0/24，网关是192.168.100.254;DefensePro 102管理地址是10.1.1.254，管理机的地址是10.1.1.1;在管理机上安装APSolute Insite图形化集中管理平台对DefensePro 102进行策略的配置;DefensePro防范从外部对内部的入侵和DDoS攻击;DefensePro对内部的Http应用程序进行流量管理和限制。共7页。

　　2. 硬件安装

　　DefensePro 102硬件前面板接口包括下面三个部分：电源。首先将电源接上DefensePro背面的电源孔，然后将另一端接上电源插座。注意，只需将变压器的接头接上其背后的电源孔即可启动电源。Console界面。利用RS-232 console线，您即可通过CLI指令来配置DefensePro 102的系统参数。Interface界面。此界面是通过网络线连接Internet以及您位于LAN端的交换机，用来处理所有的网络流量。(根据范例，端口1(管理端口)接管理机，端口2接Internet的路由器，端口3接内部交换机)

　　

　　图一: DefensePro 102正面共7页。

　　3. DefensePro 102配置

　　3.1. 基础配置

　　将位于DefensePro 102背面面板的电源开关打开，请使用RS-232 console线，将DefensePro 102的console接口与管理机的串行端口相连，您可选择COM1端口或COM2端口来配置。 请参考以下超级终端机的配置范例。

　　

　　表格 3.1 超级终端机参数配置

　　 清除原有配置

　　1.设备加电重启，在出现3 2 1 时，点击任意键中断：

　　

　　2.依次输入 q0 q1 清除设备原有配置后，输入@重启。

　　

　　

　　 配置管理IP地址建议管理IP占用最后一个端口建议直接在此打开WEB管理和TELNET管理，如果有安全需要可以打开SSL和SSH，并且修改user name 和password

　　

　　如果有安全需要可以修改community，不使用默认的public。使用CWI对设备进行管理时，需要使用该community。

　　修改管理工作站IP地址

　　修改你的计算机的IP为10.1.1.1(建议)，与DefencePro的管理IP：10.1.1.254在同一个网段

　　

　　启动你的计算机上的syslog server共7页。

　　3.2. APSolute Insite配置DefensePro

　　安装APSolute Insite

　　在随机光盘中有APSolute Insite安装程序，将APSolute Insite安装在管理机上，通过它对DefensePro进行配置和管理。

　　启动APSolute Insite

　　输入缺省帐号 radware radware

　　

　　在APSolute Insite 中添加DefencePro

　　

　　双击DefensePro的图标，输入DefensePro的IP地址，建立连接。

　　

　　 更改DP的物理端口模式

　　为了让DP与互连设备协同工作时更加稳定，强烈建议将DP的物理端口设置为强制全双工，上下两端的相联设备也强制。

　　配置方法：右键点击DP图标，选择setup

在出现的界面中选择physical setting调整每个物理端口的工作模式

　　 设置static forwarding

　　Static forwarding定义了从DP的哪个端口的流量需要处理。选择Static Forwarding

　　

　　DefensePro 102缺省定义了数据流通过端口2和端口3进行处理，不需要进行修改。共7页。

　　3.3. 配置安全策略

　　双击DP，进入配置界面，选中策略：

　　

　　点击port/vlan，设置Port group

　　

　　点击Apply。

　　创建Network

　　Network项项定义了DP经过指定端口时的IP地址。可以设置为IP地址、IP地址段。

　　

　　配置入侵防范策略

　　

　　选择左下角的入侵防范策略，点击Apply。

　　 配置Dos shield点击DOS/DDOS的空白处

选中DOS Shield Policis点击New Profiles，创建新的脚本将右侧Floods攻击组添加至新的脚本;点击Apply;点击Update Policies。

　　配置Behavioral DoS点击Behavioral DoS的空白处

点击New Profiles，创建新的脚本将右侧Behavioral DoS攻击组添加至新的脚本;编辑所需要防范的攻击种类;点击Apply;点击Update Policies。共7页。

　　 3.4. 配置流量管理策略

　　右键点击DP，选择Access Control BWM

　　

　　选择Modify

　　

　　选择Add

　　

　　填写Policy name，选择Http服务，从内部到外部任意的http服务，保证带宽为500K。

　　

　　

　　点击Update Active Policies，激活策略。共7页。

　　4. 附录

　　技术支持

　　以色列瑞得韦尔公司尽可能提供详细的文件以供您安装与配置您所购买的DefensePro102产品。这些文件能帮助您了解本产品的功能与配置步骤。您亦可从以色列瑞得韦尔公司网页http://www.radware.com.cn下载相关产品的文件与数据。

　　如果您对DefensePro102产品有任何技术上的问题或建议，请咨询以色列瑞得韦尔公司技术支持中心。当您咨询技术支持的同时，请您务必准备好以下信息，以节省您与技术人员沟通的时间：保存Radware的配置，需要保存Ber和Txt两种格式网络详细拓扑图在Radware设备上下连接端口利用Sniffer抓包(可选项)连接Console后，将下列CLI命令输出保存到一个文件中

　　首先输入命令：#manage terminal grid-mode set disable

　　然后输入下列命令：

　　· Net route fast-forwarding-table

　　· Net l2-information

　　· Net arp table

　　· Net bridge forwarding-table

　　· system utilization cpu

　　· System inf-stats (Reset the counters 1st by - -

　　· system inf-stats reset)

　　· System os buffers， system os tasks

　　· System internal bridge-fft

　　· System internal arp-wait-list

　　· System internal icmp-counters

　　· System internal driver stat all

　　· System internal driver macstat共7页。