某用户网络是三层环境,需要对内网的安全进行检测分析,了解当前环境的风险情况。
由于客户网络环境为三层环境,所以实现内网的安全检测,需要将SIP一体机接入在核心接机上接收内网终端上网的数据以及内网区域之间的流量,一台 SIP一体机 可同时接入不同部署环境的镜像流量,实行威胁的侦测分析。
SIP一体机全网流量威胁分析平台
SIP一体机部署:SIP一体机 的ip用于管理,SIP一体机 eth0口配置IP为192.168.1.100,其它口为镜像口用于接收镜像流量。镜像核心交换机的下行端口镜像。
1.将SIP一体机设备接通电源,设备开机,用网线接设备的EHT0,将电脑网卡的IP配置成10.251.251.253,界面如下。
2.打开chrome浏览器,输入https://10.251.251.251,即可到登录界面,输入设备出厂默认的账号密码admin/admin,界面如下。
3.配置网口ip用于管理。(非eth0口需要先接上网线启用网口再配置ip地址,状态为启用)
4.配置路由信息。
5.配置受监控内网IP,定义内网的服务器IP范围和终端的IP范围,需要将内网的IP范围都配置完整,不在受监控内部IP组中的IP会通过的自动识别确认是否为内网IP地址,其余的会认为是互联网IP。不能配置0.0.0.0-255.255.255.255将所有IP地址都定义为内网IP段。
配置完成后,自动发现的服务器和终端,终端会自动归并。
其他说明:
内网IP识别机制:
IP访问dns服务器的源IP和目的IP前两个网段相同。如192.168.0.0/16,前两个网段为192.168。
IP访问公有dns服务器。
IP访问服务器,并且前三段网段相同。
源IP访问不同的TOP100网站,比如百度,腾讯等。
同一个IP作为dns请求方和响应方,识别出内网DNS服务器。
IP请求和响应dns是同一网段,识别出内网DNS服务器。
搜索引擎来爬,可识别出内网web服务器。
应用识别的结果,上网场景不同的应用。
访问的网站是TOP100 + dns,结合第2点和第4点。
6.[业务/服务器]主要配置业务的名称,定义业务的重要级别,再从已知的服务器中添加,配置完成后确定。
7.特征库升级设置
由接口、路由配置完成SIP一体机能连接互联网,或能连接升级服务器。
深圳服务器:update1.sangfor.net
上海服务器:update2.sangfor.net
备用服务器:update3.sangfor.net
必须将所有特征库更新到最新,否则可能影响检测效果。
8.当有深信服的AF、EDR需要接入时,需要新增接入设备。
交换机的配置
将交换机的流量镜像到SIP一体机的镜像口。以下给出常见厂商的镜像配置。
# 配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1上的双向业务流量到GigabitEthernet0/0/2上。
<Quidway> system-view [Quidway] observe-port 1 interface gigabitethernet 0/0/2 [Quidway] interface gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 both |
1.执行命令system-view,进入系统视图。
2.执行命令observe-port index interface interface-type interface-number ,配置观察接口。
3.执行命令interface interface-type interface-number,进入镜像接口的接口视图。
4.执行命令port-mirroring to observe-port index { both | inbound | outbound } ,配置接口镜像。
# 配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1上的双向业务流量到GigabitEthernet0/0/2上。
<sysname>system-view [sysname] mirroring-group 1 local [sysname] mirroring-group 1 mirroring-port G0/0/1 both [sysname] mirroring-group 1 monitor-port G0/0/2 |
1.执行命令system-view,进入系统视图。
2.执行命令mirroring-group number local ,建立一个镜像组。
3.执行命令mirroring-group 1 mirroring-port G0/0/1 { both | inbound | outbound },将端口加入到镜像组中,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量
4.执行命令mirroring-group 1 monitor-port G0/0/2 ,设置镜像的目的端口
# 配置fa0/1为镜像接口,fa0/2为观察接口,观察接口索引号为1。镜像fa0/1上的双向业务流量到fa0/2上。
Switch# configure terminal Switch(config)#monitor session 1 source interface fa0/1 both Switch(config)#monitor session 1 destination interface fa 0/2 |
1.执行命令configure terminal,进入全局配置模式。
2.执行命令monitor session 1 source interface fa0/1 { both | inbound | outbound } ,建立观察接口索引号为1,并将fa0/1加入该索引,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量
3.执行命令monitor session 1 destination interface fa 0/2 设置fa0/2为监控口
# 配置fa0/1为镜像接口,fa0/2为观察接口,观察接口索引号为1。镜像fa0/1上的双向业务流量到fa0/2上。
Switch# configure terminal Switch(config)# monitor session 1 source interface fastethernet 0/1 both Switch(config)# monitor session 1 destination interface fastethernet 0/2 |
1.执行命令configure terminal,进入全局配置模式。
2.执行命令monitor session 1 source interface fa0/1 { both | inbound | outbound } ,建立观察接口索引号为1,并将fa0/1加入该索引,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量。
3.执行命令monitor session 1 destination interface fa 0/2 设置fa0/2为监控口。
建议使用Chrome浏览器访问!
