不支持Flash
|
|
|
DefensePro 102快速安装指南http://www.sina.com.cn 2007年08月27日 16:45 ChinaByte
1. 开始安装前的说明 DefensePro 102是Radware公司专门为中小型网络用户提供的性价比极高的入侵防护整体解决方案,其涵盖了入侵检测和防范、DoS/DDoS攻击防范和流量管理等众多安全功能。本手册仅介绍基本的DefensePro 102安全策略配置、和流量管理策略配置,帮助您在独立的情况下完成对DefensePro 102的快速配置。如您需要更详尽的策略规则配置,请参阅 DefensePro用户手册。 在使用本手册前,请详细阅读本章节下面的内容,包括一个范例的拓扑结构,IP地址分配以及其他需求等。 1.1. 包装检查
1.2. 范例拓扑说明 本文档将会以下面的具体拓扑结构和IP地址分配来说明整个DefensePro设备的基本配置。 文档中涉及的DefensePro 102 设备信息如下: HW version: Ninia SW version: 3.04.07 1.2.1. 拓扑结构
DefensePro 102的管理IP是10.1.1.254 路由器的内口地址和内部网络的地址处于同一网段,DefensePro 102透明的接入网络进行防护。 1.2.2. 配置需求客户通过路由器接入Internet,路由器内部地址为192.168.100.254;内部网络用户地址是192.168.100.0/24,网关是192.168.100.254;DefensePro 102管理地址是10.1.1.254,管理机的地址是10.1.1.1;在管理机上安装APSolute Insite图形化集中管理平台对DefensePro 102进行策略的配置;DefensePro防范从外部对内部的入侵和DDoS攻击;DefensePro对内部的Http应用程序进行流量管理和限制。共7页。 2. 硬件安装 DefensePro 102硬件前面板接口包括下面三个部分:电源。首先将电源接上DefensePro背面的电源孔,然后将另一端接上电源插座。注意,只需将变压器的接头接上其背后的电源孔即可启动电源。Console界面。利用RS-232 console线,您即可通过CLI指令来配置DefensePro 102的系统参数。Interface界面。此界面是通过网络线连接Internet以及您位于LAN端的交换机,用来处理所有的网络流量。(根据范例,端口1(管理端口)接管理机,端口2接Internet的路由器,端口3接内部交换机)
图一: DefensePro 102正面共7页。 3. DefensePro 102配置 3.1. 基础配置 将位于DefensePro 102背面面板的电源开关打开,请使用RS-232 console线,将DefensePro 102的console接口与管理机的串行端口相连,您可选择COM1端口或COM2端口来配置。 请参考以下超级终端机的配置范例。
表格 3.1 超级终端机参数配置 清除原有配置 1.设备加电重启,在出现3 2 1 时,点击任意键中断:
2.依次输入 q0 q1 清除设备原有配置后,输入@重启。
配置管理IP地址建议管理IP占用最后一个端口建议直接在此打开WEB管理和TELNET管理,如果有安全需要可以打开SSL和SSH,并且修改user name 和password
如果有安全需要可以修改community,不使用默认的public。使用CWI对设备进行管理时,需要使用该community。 修改管理工作站IP地址 修改你的计算机的IP为10.1.1.1(建议),与DefencePro的管理IP:10.1.1.254在同一个网段
启动你的计算机上的syslog server共7页。 3.2. APSolute Insite配置DefensePro 安装APSolute Insite 在随机光盘中有APSolute Insite安装程序,将APSolute Insite安装在管理机上,通过它对DefensePro进行配置和管理。 启动APSolute Insite 输入缺省帐号 radware radware
在APSolute Insite 中添加DefencePro
双击DefensePro的图标,输入DefensePro的IP地址,建立连接。
更改DP的物理端口模式 为了让DP与互连设备协同工作时更加稳定,强烈建议将DP的物理端口设置为强制全双工,上下两端的相联设备也强制。 配置方法:右键点击DP图标,选择setup 设置static forwarding Static forwarding定义了从DP的哪个端口的流量需要处理。选择Static Forwarding
DefensePro 102缺省定义了数据流通过端口2和端口3进行处理,不需要进行修改。共7页。 3.3. 配置安全策略 双击DP,进入配置界面,选中策略:
点击port/vlan,设置Port group
点击Apply。 创建Network Network项项定义了DP经过指定端口时的IP地址。可以设置为IP地址、IP地址段。
配置入侵防范策略
选择左下角的入侵防范策略,点击Apply。 配置Dos shield点击DOS/DDOS的空白处 配置Behavioral DoS点击Behavioral DoS的空白处 3.4. 配置流量管理策略 右键点击DP,选择Access Control BWM
选择Modify
选择Add
填写Policy name,选择Http服务,从内部到外部任意的http服务,保证带宽为500K。
点击Update Active Policies,激活策略。共7页。 4. 附录 技术支持 以色列瑞得韦尔公司尽可能提供详细的文件以供您安装与配置您所购买的DefensePro102产品。这些文件能帮助您了解本产品的功能与配置步骤。您亦可从以色列瑞得韦尔公司网页http://www.radware.com.cn下载相关产品的文件与数据。 如果您对DefensePro102产品有任何技术上的问题或建议,请咨询以色列瑞得韦尔公司技术支持中心。当您咨询技术支持的同时,请您务必准备好以下信息,以节省您与技术人员沟通的时间:保存Radware的配置,需要保存Ber和Txt两种格式网络详细拓扑图在Radware设备上下连接端口利用Sniffer抓包(可选项)连接Console后,将下列CLI命令输出保存到一个文件中 首先输入命令:#manage terminal grid-mode set disable 然后输入下列命令: · Net route fast-forwarding-table · Net l2-information · Net arp table · Net bridge forwarding-table · system utilization cpu · System inf-stats (Reset the counters 1st by - - · system inf-stats reset) · System os buffers, system os tasks · System internal bridge-fft · System internal arp-wait-list · System internal icmp-counters · System internal driver stat all · System internal driver macstat共7页。 不支持Flash
|