McAfee IPS系统运维手册

McAfee IPS系统运维手册

第一章 操作手册

1 设备面板标识

1.1  M-1450设备

1)  端口

   M-1450高度为 1个机架单位 (2RU)，配备有以下端口：

M-1450设备前面板上的 LED 指示灯提供传感器健康状况信息及其端口上活动的状态信息。 M-1450前面板上的 LED 指示灯状态信息含义如下表：

1)  端口

    M-3050高度为 2个机架单位 (2RU)，配备有以下端口： 

M-3050设备前面板上的 LED 指示灯提供传感器健康状况信息及其端口上活动的状态信息。 M-3050前面板上的 LED 指示灯状态信息含义如下表：

2.1系统登录

  IPS的管理控制台NSM通过HTTPS登录和管理，因为HTTPS使用的证书是NSM的机器名，建议使用https://设备名登录（若因为设备名无法解析而无法使用设备名登录请在客户端上添加hosts记录）。在提示框中分别输入用户名和密码。

2.2系统运行状态监视

登录到NSM，Home页面中的 Operational Status将显示当前Manager及Sensor的相关状态，以下图为例主Manager显示有一个Critical（严重）（红色）报警。

打开Status页面查看故障。

在检查故障后，手动 Acknowledge（确认）该故障。

确认完成后返回Status页面，则显示正常。

2.3 Sensor管理

2.3.1 Sensor登录

通过ssh登录管理。

2.3.2 Sensor设置

Sensor的策略通过NSM进行管理，需要在sensor上作的设置如下： 

1）set sensor name C01-HXIPS-M8000-01 （设置IPS的设备名）；

2）set sensor ip 1.1.1.1 255.255.255.0  （设置IPS的IP地址及子网掩码）；

3）set manager ip 1.1.1.（设置IPS Manager的IP地址）；

4）set sensor gateway 1.1.1.（设置IPS的网关地址）；

5）s（设置IPS与IPS Manager的通信共享密钥）。  

2.3.3 Sensor状态查看

通过SSH登录IntruShield Sensor用status命令查看

Trust Established : yes ; 

Alert Channel : up ; 

Log Channel : up 

这三项必须是yes、up、up状态 

2.3.4 Sensor远程访问控制

Sensor AAA配置（TACACS+）

1)        选择SPDB / Device List > Remote Access > TACACS+

2)        在Enable TACACS+部分选择Yes

3)        输入TACACS+ Server IP: xxx

4)        在Enable Encryption部分选择Yes进行加密，并且输入加密密钥

5)        点击Save保存设置

Sensor SNMP配置

1）  登录NSM，进入SNMP管理界面，选择SPDB / Device List > Remote Access > Permitted NMS，点击New，输入允许访问此设备的SNMP服务器IP地址：xxx

2）  选择SPDB / Device List > Device List > Remote Access > SNMPv3 Users，点击New，创建SNMPv3访问账号snmpuser，输入两次认证密钥和私有密钥

3）  复制\\config\\mibs下的MIB文件到SNMP服务器编译以后即可监控到Sensor的设备状态

Sensor sshaccesscontrol

1） set sshaccesscontrol enable(disable): 启用或者禁用sshaccesscontrol。默认值为禁用。

 在禁用情况下，并且SSHD enable的情况下，任何机器都可以通过SSH连接到sensor。启用sshaccesscontrol，是指启用access control功能。

2） sshaccesscontrol add (delete): 如下图显示，按照A.B.C.D  E.F.G.H 方式添加。删除列表方法相同。

3） show sshaccesscontrol status: 显示当前起作用的access control list (允许地址列表)

2.4 Signature手动更新

1）选择Configure\\Manager\Update server\Manual Import\浏览。

2）点击“浏览”打开，选择要从客户端上传到Manager的signatire软件，点击Open再点击Import导入到manager中。

3）上传完毕后，系统会提示upload complete，关闭窗口。

4）选择相应的管理域下的需要升级的Sensor的“Device List/xxxx >Configuration Update”，点击“Update”

5）Signature升级完成后，不需重起设备。

2.5 Signature更新查看

1)查看当前signature库

Signatures对IPS非常重要，若IPS的Signatures库得不到及时更新则IPS不能正确识别新出现的攻击。用户可从下述目录查看IPS的Signatures信息：选择Sensor名（对应具体的sensor名）/sensor/Summary/Signature Set Version”，

将此版本信息与Manager页面Summary中的版本比较即可知Signatures库更新是否正常。

2)查看可用更新

由于目前不采用McAfee Update Server更新的方式，为了知道当前的Signatures库是否是最新的，需要登录McAfee官方网站（http://www.mcafee.com/cn）企业用户产品下载页面中输入Grant NO.号码进行查询，并下载所需要的更新软件（注意：不支持断点续传）。

2.6策略管理和调整

McAfee Sensor接入网络后，会有各种报警，用户管理员可以根据报警设置相应的策略，如过滤某种不关心的攻击等（如即时通讯，P2P下载等违规应用类攻击），或对in-line模式的某些高危攻击进行阻断设置。

1) 确认需要策略调整警报的报警Sensor、端口及其所应用的策略，目前，所有IPS（互联网接入区Sensor除外）均采用Default IPS Pufa策略，以下我们以此策略为例进行示范。登录到NSM，导向到需要修改策略的子域下的IPS Setting/Policies/Default IPS Pufa/View\\Edit，即可对策略进行编辑，

2) 弹出如下的策略管理界面，

3) 以攻击IM: Fetion Instant Messenger traffic Detected为例，可以在策略过滤器应用栏选择im类别，再进行Apply，也可以在Attack Name栏直接输入攻击名查询，

4) 右击某条报警（IM: Fetion Instant Messenger traffic Detected，注意Inbound和Outbound都要选择），选择Disable，则此警报被屏蔽，IPS不会再检测此警报和对此警报报警，

5) 对于同一警报，也可以通过右击选择Edit或Bulk Edit（选择多条攻击时使用），选择Enable攻击，并在Blocking Option For 6.0 Sensors\\customize blocking setting\Enable Blocking处激活来阻断该类攻击（仅限in-line部署模式）， 

6) 策略更改完成后，还需要选择相应的管理域下的需要升级的Sensor的“Device List/xxxx >Configuration Update”，点击“Update”以完成策略的下发。

2.7 备份和恢复

2.7.1 自动备份

选择“Manager/Backing up/ Automation”下的“Yes”和“Weekly”On“Sunday”，并选择时间和备份数据路径，推荐备份Config Table即可（默认为C:\PromgramFiles\\McAfee\\Network Security Platform\\App\\backups\\scheduledbackups下）

2.7.2 手动备份

1） 进入“C:\\PromgramFiles\\McAfee\\Network Security Platform\\App\bin”（假设安装目录为默认C盘）双击dbbackup.bat

2） 选择备份类型，如all tables(保护配置和所有告警及审计信息)、config tables 或Audit & alert tables

3) 输入备份文件名如back1和备份文件存放路径如C:\IPSback，点击backup开始备份

2.7.3 数据恢复

1）在NSM服务器任务栏的右下方，停止IPS Manager Intrushield的manager、 User Interface 和watchdog三个服务。

2） 进入“C:\\PromgramFiles\\McAfee\\Network Security Platform\\App\bin”双击dbbackup.bat

3） 选择“Backup/DB Restore”，若需要恢复的备份数据在列表中则选择该数据后点击“Restore”即可 

4）若需要恢复的数据不在列表中则点击“Browse”找到相应的备份文件后打开，再点击“Restore”

2.8 DoS学习设置

IPS可以基于流量进行dos拒绝服务攻击的检测。

在IPS Policy Editor中，具体策略编辑界面中的DoS学习及阈值攻击（通过Category > Group By查看）。

DoS检测分为学习模式和阈值模式。

在学习模式设置完成后，需要经过48小时的流量学习才能转入检测模式。在某一端口上可以查看当前的学习状态。（相关域/IPS Settings/xxxx >IPS Sensor >DoS Detection Status）

2.9 NSM主备切换

生产中NSM服务器有主备两台，正常情况下应该是主服务器IPS-SERVER1（Primary）处于Active状态，而备服务器IPS-SERVER2（Secondary）处于standby状态。当IPS-SERVER1不可用时IPS-SERVER2会自动接管成为Active状态。

当IPS-SERVER1在恢复可用状态以后，需要通过手工切换回Active状态。

操作步骤如下：

进入IPS-SERVER1的Configure/Manager >MDR >Manager Pair项，点击SwitchBack按钮即可。

操作完成后，检查确认两台NSM服务器状态：主服务器IPS-SERVER1（Primary）处于Active状态，而备服务器IPS-SERVER2（Secondary）处于standby状态。

2.10 故障信息抓取

跟进IPS问题时，一般需要三样材料：故障界面的截图， Sensor Tracelog，NSM infocollector。

2.10.1抓取Trace log步骤如下：

1  SSH登录Sensor，在传感器 CLI 中执行logstat 命令。 

2  等待  30 秒，然后再次执行  logstat 命令，执行完成后退出SSH登录。

3  登录NSM，选择  Sensor_Name （传感器名称） > Advanced Settings （高级设置） > Upload Diagnostics Trace（上载诊断跟踪）。 

4  选中  Upload:（上载:）复选框，单击  Apply（应用）。弹出窗口显示了上载状态。 

5  出现“ DOWNLOAD COMPLETE” （下载完成）消息后，单击  Close Window。跟踪文件将保存到 NSM 服务器上，位置为：D:IntruShield\emp\ftpin\\\race\race.enc。下载之后，该文件将出现在该操作的“ Uploaded Diagnostics Files” （上载的诊断文件）对话框中。 

6  通过在“ Uploaded Diagnostics Files”对话框中选择文件并单击 Export，将诊断文件导出到客户端计算机。将文件保存至客户端机器。

2.10.2抓取Info Collector的操作如下：

1  用远程桌面登录NSM所在服务器，导航到\\IntruShield\\diag\\InfoCollector目录，执行该目录下的Infocollector.bat程序，

2 Include项目使用默认选定的项目即可。

3 选择时间段，为最近半个月。

4 选择输出目录，点击run。

第二章 IPS应急手册

1故障发现

故障发现阶段主要是通过对设备状态的监控以及巡检来发现故障。故障主要分两类，第一类为IPS自身故障，第二类为对接设备故障（如对端设置down机导致IPS指示灯异常）。

IPS监控和检查主要有三种方式：

1）巡检设备

2）设备自带系统监控

3）其它网管监控系统

1.1巡检设备

巡检设备是通过定期检查物理设备及设备上的各种指示灯状态判断设备的工作状态，主要指示灯状态信息如下请参考第一章1.1、1.2部分。

1.2设备自带系统监控

1.2.1 NSM监控

1)  查看系统健康 

Status（系统状态）会详细显示所有安装的IPS 组件的工作状态。同时还生成消息详细描述 Manager及IPS Sensor 遇到的系统故障。 

2)系统健康状况指示器 

首先可从主页查看系统健康。要查看系统健康信息，请单击菜单栏中的 Status（系统状态）选项卡。 

您可以从 NSM 的 Status（系统状态）菜单中查看故障。 

从Status（系统状态）（系统健康状况）界面选择消息值 (n/n) 可切换到显示选定类别故障消息的视图。我们称之为“Faults of Type”（某类故障）屏幕。每条消息均包含出现的日期和时间。 

• 复选框：选中一个或多个故障实例复选框，对故障执行操作（Fault window action buttons（故障窗口操作按钮）。如果选中顶部的复选框（在表的标题行中），将选中所有故障并视为对单个故障执行操作。 

• Ack（确认）：手动认可故障。勾选符号表示您已经选中该故障复选框并单击 Acknowledge（确认）操作按钮。没有勾选符号表示您尚未确认此故障。 

• Date（日期）：故障的记录日期和时间。 

• Severity（严重性）：故障的严重性。 

• Fault Type（故障类型）：故障的简短说明。您可以单击此链接查看故障的详细信息。 

3) 事件严重性解释

单击故障时，即可查看故障的详细信息，以及为纠正故障所要采取的可能措施。

系统健康配色方案 

Status（系统状态）表单元格的配色方案反映当前未确认警报的数目。 

• 绿色：如果所有单元格都为绿色，就表示该组件没有未确认警报。 

• 蓝色：如果组件的单元格显示为蓝色，就表示该组件有一个或多个未确认的“Informational”（信息）警报。 

• 黄色：如果组件的单元格显示为黄色，就表示该组件有一个或多个未确认的“Warning”（警告）警报。 

橙色：如果组件的单元格显示为橙色，就表示该组件有一个或多个未确认“Error”（错误）警报。 

• 红色：如果组件的单元格显示为红色，就表示该组件有一个或多个未确认的“Critical”（严重）警报。

4） 错误类型描述

对于传感器，状态由三个通信通道参数决定：命令通道、警报通道和数据包日志通道。单击传感器 Status（状态）单元格中的链接，便可打开“Sensor Status Detail”（传感器状态详细信息）。

Active（活动）：所有通道工作都正常。 

Attention（注意）：一个或两个通信通道不工作。

Disconnected（断开）：三个通信通道全部不工作。

Uninitialized（未初始化）：初始设置存在故障或正在初始化。

Standby（待机）：命令通道仍在建立中。

Unknown（未知）：当传感器已添加到 IntruShield 用户界面但尚未建立实际传感器与 NSM 之间的通信时，会显示此状态。

Back（后退）按钮：返回“System Health Status”（系统健康状况）对话框。

1.2.2 Sensor状态

通过SSH登录Sensor用status命令查看

Trust Established : yes ; 

Alert Channel : up ; 

Log Channel : up 

这三项必须是yes、up和up状态 。

1.3关于设备温度的说明

Sensor工作环境温度范围（无冷凝）：

工作状态下 0C(32F) 到 40C(104F) 

非工作状态下 -40C(-40F) 到 70C(158F) 

温度报警：Temperature error（温度错误） 严重 表示传感器的温度异常。 

当传感器的内部温度超过 50 摄氏度时，传感器将发出温度警报。只有当温度降到 40 摄氏度以下时，此故障才会清除。

设备面板检查：温度指示灯如下 绿色 机箱内测量的进气温度正常。（机箱温度正常。） 黄色 机箱内测量的进气温度过高。（机箱温度过高。）

2 现场分析与处理

2.1 故障分析

设备自身故障：

.指示灯异常

.“System Health”报警

.设备连接中断

当发生设备故障时,要确认发生故障的是哪一台设备和那个端口，确定该端口是否正在被使用，检查该设备是否可以正常登陆，检查设备面板的状态灯是否为正常（参考“第一章 操作手册 1.1、1.2 状态灯判断”）。

    在正常情况下,NSM应该可以正常与sensor通信，从Sensor获取数据，NSM能通过WEB页面的HTTPS登陆管理界面,查看Status”的告警，也可以在NSM上进行测量调整和查看sensor的警告信息。若发生Sensor严重问题的时候,首先确认是否是sensor设备还是NSM出现了问题.若确定是设备硬件本身的问题,则直接将设备返回厂家进行设备硬件维修,若是NSM出现问题，重建系统恢复NSM，并将备份的NSM配置和Alert恢复。

对接设备故障（主要针对互联网区串连传感器的情况）：

.指示灯异常

.“Status”报警

.设备连接中断

这种故障通常可以通过，拔除sensor电源线，使数据旁路过去，这时因为所有数据处理均与sensor无关，若故障依然存在说明不是sensor的故障，若故障不再存在说明与sensor有关，最大的可能往往有端口速率和双工协商引起，请先检查对接端口的速率和双工模式。

2.2 故障处理

故障分析需要判断两种故障类型：设备自身故障和对接设备故障。

1 sensor和NSM通信故障

如果 Manager 与传感器通信有问题，请检查是否是以下原因所造成的。

1）网络连接

⏹确保传感器和 Manager 服务器都通电，并且以适当方式连接网络。

⏹检查两个设备上的链路 LED 是否指示它们具有活动链路。

⏹Ping 传感器和 Manager 服务器，确保它们在网络上可用。

2）传感器和 Manager 的配置不一致

⏹检查在 CLI 中输入的传感器名称是否与 Manager 中输入的名称完全相同。检查共享密钥值是否相同。如果这些值不一致，双方就无法通信。请注意，传感器名称是区分大小写的。

⏹SSH登录到sensor,在传感器 CLI 命令提示符处键入 show，检查 Manager、Manager 网关及传感器的网络地址是否都配置正确。

3) 软件或特征码集不兼容

检查传感器软件映像、Manager 软件版本以及特征码集版本是否兼容。

⏹每个产品发行版附带的发行说明中都提供兼容矩阵。

4) 设备之间的防火墙

如果传感器和 Manager 服务器之间有防火墙，请打开适当端口以确保设备可以通信。通信端口分别TCP 8501、TCP 8502和TCP 8503。

5) 管理端口配置

如果传感器和 Manager 通信有问题，可能是传感器的管理端口与其连接的网络设备之间通信有问题。检查传感器的管理端口链路 LED，如果链路断开，请尝试以下建议措施，检查能否使连接正常。

⏹检查网络设备是否联机。

⏹检查连接传感器和网络设备的电缆。

⏹确保管理端口连接的设备端口已启用/处于活动状态。

⏹两台设备的端口速度及双工模式必须匹配。例如，如果传感器连接的设备未设置为自动协商，则必须配置管理端口使用与其连接的设备相同的设置。可使用 set mgmtport 命令排除此问题。

2传感器健康状况

要检查传感器能否正确运行，请执行以下操作之一：

1) 在传感器上：

⏹在命令提示符处键入 status。这将显示系统状态，例如系统健康、系统初始化、特征码版本、信任关系、通道状态、警报计数等。传感器应该已初始化并处于良好的健康状况。

⏹在命令提示符处键入 show。这将显示配置信息，例如传感器映像版本、类型、名称、Manager 和传感器 IP 地址等。

2) 在 Manager 上：

⏹在 Manager， 查看“Status”（系统健康）。Manager 的状态应该是 UP（打开），而传感器的状态应该是 ACTIVE （活动）。

3) Ping 传感器：

⏹传感器管理端口每秒只响应 1 个 ping。这可以防止受到大量 ping 产生的攻击。要从多个主机 ping 传感器管理端口，请增加 ping 之间的时间间隔。

3)开启Fail-Open功能应对紧急情况（针对互联网M3050）

⏹若无法排除故障可以打开Fail-Open功能并拔出电源，让数据直接通过sensor，Fail-Open时间为2到5个ping包。

⏹目前IntruShield 1400开启Faire-Open功能，保障断电或设备故障时网络正常。

3  Manager 与数据库的连接

1)Manager 数据库已满

如果 Manager 数据库或磁盘空间已满，则 NSM 将无法处理任何新警报或数据包日志。另外，NSM 可能无法处理任何配置更改，包括策略更改、警报确认等，并且NSM 可能完全停止运行。

要调整此情况，需在数据库上执行维护操作，包括删除不必要的警报和数据包日志。此外，请重新评估数据库容量规划和大小划分，并主动监视可用空间。Manager 设计有多种文件和磁盘维护功能。可以对警报和数据包日志数据进行存档，然后删除数据以释放磁盘空间。它还提供创建数据库备份的工具，可以对数据库备份进行存档以用于紧急恢复。

Manager 还提供磁盘维护警报，当某些与磁盘有关的进程超出用户定义的阈值（例如 70%）时，它将主动发送系统故障消息。

2)如果超出传感器带宽，则传感器发出响应

每个传感器型号都有吞吐率。例如， M-3050 传感器的性能为1.5 Gbps。如果超出带宽，传感器将像 Cisco 交换机一样丢弃数据包 —— 您不能向1G端口发送 10G 的通信量。您必须遵守所部署的设备的操作参数。

3)MySQL 问题

数据库表被损坏后出现的常见症状：

⏹ems.log 文件中报告 .MYI 或 .MYD 错误

⏹无法确认或删除系统健康状况故障

⏹当尝试在警报查看器中查看数据包日志时，将收到以下错误消息：

⏹您收到消息“No Packet log available for this alert at this time”（此时没有数据包日志可用于此警报）

如果您认为 MySQL 数据库表已损坏，则请按照 McAfee 知识库文章 KB37773 中提供的说明来验证数据库表。

3 厂商二线分析与处理

现场维护人员在短时间内无法解决的或尝试上述方法无法解决时,应立即通知代理商和厂商，要求技术支持。

第三章 IPS监控手册

1IPS系统监控

IPS系统监控是指对IPS本身设备运行状态的监控，包括sensor和NSM状态。IPS系统监控主要通过NSM管理界面及网管平台进行。NSM界面上可以对设备的目前状态进行显示和查询，而网管平台则是接收IPS sensor的snmp trap和syslog报警信息。

NSM上的系统监控操作如下：

1.登录NSM监控界面

2.右下部的Status栏显示目前NSM服务器和sensor的状态和告警条目。

【注意】  生产中NSM服务器有主备两台，正常情况下应该是主服务器（Primary）处于Active状态，而备服务器（Secondary）处于standby状态。

3.左边中部update status显示签名库更新状态，包括最新的签名库版本、目前NSM上可用的签名库版本、sensor的最后更新时间以及目前是否需要执行更新。

4.点击上面红色十字System Health进入系统健康状态

5.点击各类信息的数字显示详细信息

2IPS事件监控

IPS事件监控是指对IPS报告的攻击事件的监控。

NSM上的事件监控操作如下：

1.登录NSM监控界面

2.在右上可以选择Real-time Threats或Historical Threats。

3.当选择Real-time Threats后点击会弹出实时事件监控界面，

【注意】  已经手动或自动acknowledge的事件不会在Real-time Threats中显示。

4.点击上部的Alerts可查看事件详细信息。

5.当选择Historical Threats后点击会弹出历史事件监控界面

选择需要查看事件的时间段及相应过滤条件后点击OK。

【注意】  History Alert Manager中会显示指定时间段内所有事件，包括已经acknowledge的事件。

6.点击上部的Alerts可查看事件详细信息。

7.右键点击某一事件点击Detail可查看该条事件详细信息。

8.点击Attack Description可查看事件描述信息。