第十三章 Deep_Security_深度数据包防御_配置指南_v1.0.docx

趋势科技Deep Security 深度包过滤配置指南Andrea_Xi2013-08定义和分配DPI 规则1. 确认受保护目标计算机类型服务器工作站服务器信息收集操作系统版本主要应用对外开放的端口号执行“推荐扫描”获取系统漏洞信息步骤：登录到Deep Security Manager 8.0 管理控制台在控制台双击打开需要“深度数据包”检查的计算机配置界面c点击“扫描建议”按钮，等待Deep Security Agent自动生成对受保护计算机生成推荐规则列表配置和部署DPI 规则1. 通过安全概要文件部署DPI 规则对于保护的受保护的虚拟机或物理机不建议直接分配对应DPI 规则，建议通过安全配置文件来部署DPI 策略。由于默认安全配置文件已经包含有默认规则，实际操作时建议根据扫描建议结果去除不推荐的规则。操作步骤：点击进入安全配置文件页面，根据操作系统类型选中需要分配的安全配置规则。例如，受保护GUEST OS 为linux则选中“Linux服务器”安全概要文件选中规则复制准备分配的安全配置文件，如图所示：系统会自动生成复制的规则并自动命名为“Linux 服务器（2）”双击进入复制规则的编辑页面，对规则进行自定义编辑修改规则名称，如“linux服务器---自定义规则1”，点击“保存”使规则名称更改生效点击进入 系统设置 --- 网络引擎 ，修改网络引擎模式为 “分接”,点击“保存”使配置生效备注：当网络引擎工作在分接模式时 firewall 规则和DPI 规则都不会对实际数据包造成影响，因此可以避免由于错误规则导致网络中断的风险重新进入自定义规则配置页面 ---深度包检查 --- DPI 规则在DPI 规则过滤条件中选择“显示建议取消分配的项目”全选建议取消分配的规则对选中的规则取消分配规则，点击保存使配置生效如提示自动分配缺少的项目对话框，则直接按 OK 继续更改安全配置文件中的DPI规则筛选条件为 “显示已分配项目”查看当前分配的规则前是否存在有感叹号标记对提示“需要配置的DPI规则”进行配置备注：如对具体规则配置有任何疑问请联系趋势科技技术支持部门对于未提示“需要配置的DPI 规则”但显示“具有配置选项的DPI规则”,一般可以保持默认设定，或联系趋势科技技术支持部门获取该DPI 规则的配置建议。完成以上配置以后请检查受保护的计算机是否有关于深度包保护的告警提示出现，如显示绿色状态则表示当前DPI规则不存在规则依赖性冲突，或端口依赖性冲突等问题。如遇到以上问题，请参考 “DPI规则依赖性问题处理章节”对应内容。DPI 规则分配最佳实践Deep Security 深度包防护功能提供了基于主机的入侵阻止功能，但是趋势科技依然建议对于已知高危系统漏洞优先考虑安装对应的操作系统或应用程序补丁进行防护。Deep Security 深度包过滤功能并非用于完全替代系统或应用程序补丁程序修复软件存在的bug，而是提供了一种快捷部署和防御高危漏洞的手段。精简保护计算机的DPI规则数量有助于提升受保护计算机的网络性能，降低受保护计算机的性能负载和资源消耗。深度包过滤适合应用以下场合：提供更为方便快捷的基于网络的安全漏洞的应对手段对于在线生产服务器可以在不中断业务的情况下，部署漏洞防御规则来保护计算机免受攻击威胁对于暂时无法大规模部署系统补丁的客户机提供临时的虚拟机补丁防护最佳实践对于生产服务器:一旦发现服务器操作系统或应用程序存在严重安全漏洞，可以在服务器不停机的情况下提供虚拟补丁防护。服务器在计划停机时间一旦正式部署对应操作系统或应用服务补丁修复程序以后建议取消对应DPI规则，以确保服务器可以获得最佳性能。对于客户机：客户机一旦发现新的安全漏洞，通常部署对应系统补丁会产生较大工作量并且需要较长时间才能完成全部漏洞补丁部署，此时可以使用Deep Security 深度包过滤提供漏洞保护。趋势科技推荐定期对受保护计算机进行“建议扫描”以提供动态的最佳安全保护状态。性能优化趋势科技深度包过滤的“建议扫描”功能根据操作系统当前的系统版本和应用程序安装情况提供最大化的安全防护建议，实际实施中可以根据受保护计算机不同应用类型进行对应的规则优化，减少一些非必要的规则分配以提升受保护计算机的网络吞吐性能。按应用程序类型优化对于Windows 服务器操作系统建议选择以下应用程序类型：DPI规则应用程序类型备注Windows Services RPC server推荐DNS Client推荐Remote Desktop Protocol Server（可选）如启用远程桌面服务请开启对应分类的规则Web Server IIS（可选）如服务器启用IIS 服务器则启用此规则Web Server IIS HTTPS（可选）如服务器启用IIS 服务器则启用此规则Win