TrendMicro use only IWSA技術(shù)培訓(xùn) 李國強(qiáng) 2 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 57 205 799 1,484 2,397 3,881 6,279 10,160 16,438 26,598 2007 2009 2011 2013 2015 每小時(shí) 預(yù)計(jì)增加的惡意程序數(shù)量 病毒指數(shù)級增長 數(shù)據(jù)來源： AV-T “大三角 ” 理論：網(wǎng)關(guān)防護(hù)至關(guān)重要 網(wǎng)關(guān) 1個(gè) 2臺 25個(gè) 50臺 5000臺 郵件服務(wù)器 子網(wǎng) 應(yīng)用服務(wù)器 客戶端 Internet 防護(hù)更復(fù)雜 一致性更差 Web 威脅 3年增長了 1731% Web 威脅 : 2005年來的增長統(tǒng)計(jì) Web威脅：增長最快的威脅形態(tài) 典型的 Web威脅 攻擊 知名 募捐 網(wǎng)站 重定向 惡意 網(wǎng)站 （俄羅斯） 信息收集 網(wǎng)站 帳號信息 帳號信息 自動(dòng)下載 （每 10秒更新 1次） 黑色產(chǎn)業(yè)鏈：檢測更困難 付費(fèi)訂購惡意程序 付費(fèi) QA，保證不被任何安全廠商檢測得到 惡意程序類型 訂 購價(jià)格 廣告類間諜程序 美國 $0.3 加拿大 $0.2， 英國 $0.1, 其它 $0.01 惡意程序組合包 （ 基本 ） $1,000 - $2,000 惡意程序組合包 (升級服務(wù) ） $20/次 漏洞挖掘租賃服務(wù) （ 1小時(shí) ） $0.99 漏洞挖掘租賃服務(wù) （ 2.5小時(shí) ） $1.60 漏洞挖掘租賃服務(wù) （ 5小時(shí) ） $4 不能檢測出來的竊取型木馬 $80 DDOS 攻擊 $100/天 10,000臺僵尸控制機(jī)器 $1,000 竊取銀行帳號類木馬 $50 發(fā)送 100萬封惡意郵件 $8 8 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 9 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA 主要功能 HTTP/FTP 惡意代碼掃描 間諜軟件 /灰色軟件掃描 反釣魚 支持 ICAP 支持 LDAP URL過濾 支持 EPS AAXS 支持透明橋模式 與 DCS聯(lián)動(dòng) 硬件產(chǎn)品 IWSA 5000 IWSA 2500 10 TrendMicro use only HTTP/FTP惡意代碼掃描 IWSA 2500 HTTP/FTP掃描 在網(wǎng)關(guān)透明過濾來自 HTTP的病毒； 在網(wǎng)關(guān)透明處理來自 FTP的病毒； 采用趨勢科技獨(dú)創(chuàng)的 Intelliscan技術(shù)； 對壓縮文件靈活的處理方式； 采用獨(dú)特的 Defer Scanning技術(shù)，解決網(wǎng)關(guān)對大文件處理的瓶頸問題； 自帶 File-Blocking技術(shù)。 WEB信譽(yù) 11 TrendMicro use only 12 TrendMicro use only 間諜軟件 /灰色軟件掃描 IWSA 間諜軟件防護(hù) 對特定的 Spyware進(jìn)行掃描； 對特定的 Adware進(jìn)行掃描； 阻止用戶下載間諜軟件； 防止間諜軟件“ call-home”； 13 TrendMicro use only 反釣魚網(wǎng)站 IWSA 反釣魚網(wǎng)站 阻止用戶訪問釣魚網(wǎng)站； 實(shí)時(shí)更新 Phishing Pattern； 采用趨勢科技獨(dú)創(chuàng)的 Phishing Trap技術(shù)； 14 TrendMicro use only URL過濾庫 IWSA URL Filter 靈活的基于策略的設(shè)置； 可以設(shè)置不同的時(shí)間段； 采用趨勢科技提供的 URL過濾庫，目前已達(dá) 820萬條記錄； 有效控制了用戶的上網(wǎng)行為，凈化了企業(yè) Web訪問內(nèi)容。 15 TrendMicro use only IWSA AAXS ActiveX控件及 Java小程序過濾 靈活的基于策略的設(shè)置； 針對 ActiveX控件的安全策略； 針對 Java小程序的安全策略； 16 TrendMicro use only 與 DCS聯(lián)動(dòng) 與 DCS聯(lián)動(dòng) 對感染間諜軟件的客戶端進(jìn)行遠(yuǎn)程修復(fù)； 有效控制了企業(yè)網(wǎng)絡(luò)內(nèi)部的間諜軟件； 17 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 18 TrendMicro use only IWSA (InterScan Web Security Appliance 2500/5000) IWSA2500產(chǎn)品規(guī)格 : 1 U 機(jī)架 能夠支持最多 5000用戶 并發(fā) Http連接數(shù) 2000個(gè) IWSA 2500 IWSA5000產(chǎn)品規(guī)格 : 2 U 機(jī)架 能夠支持最多 10000用戶 并發(fā) Http連接數(shù) 6000個(gè) IWSA 5000 19 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 20 TrendMicro use only IWSA 部署方式 IWSA部署方式；管理員可以根據(jù)企業(yè)的本身需求，部署 IWSA設(shè)備，部署后不會(huì)影響現(xiàn)有客戶的網(wǎng)絡(luò)結(jié)構(gòu)。 代理聯(lián)動(dòng)模式 ICAP+IWSA 完全透明橋模式 與 L4交換機(jī)聯(lián)動(dòng) 與 Cisco交換機(jī)聯(lián)動(dòng) 21 TrendMicro use only 代理聯(lián)動(dòng)模式 部署在客戶端與代理服務(wù)器之間，接管所有來自客戶端的 HTTP/FTP請求 優(yōu)勢說明 保護(hù)投資， IWSA可以與任何的代理服務(wù)器兼容； 與 DCS聯(lián)動(dòng)，有效抵御間諜軟件的攻擊； 注意事項(xiàng)：需要更改客戶機(jī)的 IE代理設(shè)置 I n t e r n e t代 理 服 務(wù) 器客 戶 端 內(nèi) 部 網(wǎng) 絡(luò)22 TrendMicro use only ICAP + IWSA 部署 ICAP Client的旁路，對流經(jīng) ICAP的 HTTP及 FTP數(shù)據(jù)流進(jìn)行掃描 優(yōu)勢說明 配合 Catch，對 Web安全掃描有更高的效率； 如果客戶原來就使用 ICAP，則無需更改客戶端配置，部署簡單； 注意事項(xiàng)：需要使用兩個(gè)以太網(wǎng)口 I n t e r n e t客 戶 內(nèi) 部 網(wǎng) 絡(luò)23 TrendMicro use only 透明橋模式 部署客戶端與防火墻之間，對流經(jīng) IWSA的 HTTP及 FTP數(shù)據(jù)流進(jìn)行掃描 優(yōu)勢說明 透明橋工作模式，無需更改客戶端的代理設(shè)置； 即插即用，部署簡單； 注意事項(xiàng)：需要使用兩個(gè)以太網(wǎng)口 I n t e r n e t客 戶 內(nèi) 部 網(wǎng) 絡(luò)24 TrendMicro use only Index Web安全現(xiàn)狀 IWSA產(chǎn)品概況及功能描述 IWSA產(chǎn)品規(guī)格及性能介紹 IWSA部署介紹 IWSA Demo配置 25 IWSA開 /關(guān)機(jī)的特別說明 開關(guān)機(jī)說明 : 開機(jī)：接通電源后按一下開關(guān)，松手； 關(guān)機(jī)： 同樣按一下開關(guān)，松手 。等待 1.5分鐘左右，讓機(jī)器自行關(guān)閉。系統(tǒng)在自行關(guān)閉時(shí)會(huì)同步 RAID，依次關(guān)閉服務(wù)。 絕對禁止 ： 關(guān)機(jī)時(shí)長按電源開關(guān)不松手進(jìn)行強(qiáng)制關(guān)機(jī)，此舉有可能會(huì)造成 RAID/硬盤損壞，系統(tǒng)服務(wù)出現(xiàn)問題 。 26 IWSA 2500 RAID狀態(tài)檢查 處理步驟 : 從超級終端中進(jìn)入 linux系統(tǒng)，執(zhí)行如下操作： 1. #cd /etc 2. #./raid_setup 如果顯示的兩個(gè)設(shè)備不全是 Active，則代表 RAID在關(guān)機(jī)過程中損壞； 請依照 8、 IWSA硬盤損壞的檢查與恢復(fù) 200706.doc 文檔前部分方法進(jìn)行處理。 Proxy Mode 訪問網(wǎng)頁慢 27 TrendMicro use only 癥狀 每一次訪問的響應(yīng)時(shí)間都很差 . What to look for 從 IWSA Shell界面中執(zhí)行 nslookup查詢已知的響應(yīng)慢的站點(diǎn)，是不是nslookup的響應(yīng)也非常慢？ If so 這種延遲可能是由 DNS的響應(yīng)比較差造成的?？蛻魧?IWSA的 DNS指向外網(wǎng) ISP的。 ISP的 DNS服務(wù)響應(yīng)相比內(nèi)網(wǎng) DNS，響應(yīng)會(huì)變慢很多。 What to do 這種情況可通過在 IWSA中部署 DNS cache來實(shí)現(xiàn)， IWSA 5000將內(nèi)置，IWSA3.1可采用 BIND按文檔步驟來實(shí)現(xiàn) 查看是否能用透明方式部署，透明方式由瀏覽器來執(zhí)行 DNS查詢 28 TrendMicro use only MIME Skip 大型門戶網(wǎng)站視頻，圖片， Flash不斷騷擾，導(dǎo)致 IWSA處理延時(shí)很大。建議做一下配置 : Skip audio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv image/x-icon image/jpeg image/gif image/png application/x-shockwave-flash application/vnd.rn-realmedia 控制單用戶最大連接數(shù) 1. 使用 console或者 SSH連接到 IWSA 2. 進(jìn)入 Shell Environment 3. vi /var/iwss/intscan.ini 查找到下面的參數(shù) , enable_client_connection_quota=yes, 然后在client_connection_quota=中輸入您希望每個(gè)客戶端最大的連接數(shù) , 默認(rèn)為 50: # Switch for client connection quota enable_client_connection_quota=no # If enable_client_connection_quota is turned on, this indicat