网络卫士入侵防御系统配置案例
网络卫士入侵防御系统
配置案例
天融信
TOPSEC?
北京市海淀区上地东路1号华控大厦100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-8008105119
https://www.360docs.net/doc/2e9281959.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印? 2009天融信公司
商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC? 天融信公司
信息反馈
https://www.360docs.net/doc/2e9281959.html,
目录
前言 (3)
文档目的 (3)
读者对象 (3)
约定 (4)
相关文档 (4)
技术服务体系 (4)
配置导入、导出 (6)
配置导出 (6)
基本需求 (6)
配置要点 (6)
WEBUI配置步骤 (6)
配置导入 (7)
基本需求 (7)
配置要点 (7)
WEBUI配置步骤 (8)
在线升级 (9)
基本需求 (9)
配置要点 (9)
WEBUI配置步骤 (9)
注意事项 (10)
规则库升级 (11)
基本需求 (11)
配置要点 (11)
WEBUI配置步骤 (11)
注意事项 (12)
TOPIDP快速简易配置 (14)
基本需求 (14)
配置要点 (14)
WEBUI配置步骤 (14)
注意事项 (17)
应用协议控制-BT (18)
基本需求 (18)
配置要点 (18)
WEBUI配置步骤 (18)
注意事项 (20)
以IDS方式接入 (21)
基本需求 (21)
配置要点 (21)
WEBUI配置步骤 (21)
注意事项 (24)
IPS策略+防火墙功能 (25)
基本需求 (25)
配置要点 (25)
WEBUI配置步骤 (25)
注意事项 (27)
自定义规则配置 (28)
注意事项 (28)
TOPIDP的防火墙功能 (36)
前言
本配置案例手册主要介绍网络卫士入侵防御系统的各种典型配置、使用和管理。通过阅读本文档,用户可以了解网络卫士入侵防御系统在实际应用环境中的操作和配置方法。
本章内容主要包括:
z文档目的
z读者对象
z文档基本内容
z约定
z相关文档
z技术服务体系
文档目的
本文档通过各种典型案例介绍如何配置网络卫士入侵防御系统。通过阅读本文档,用户能够在实际应用环境中配置网络卫士入侵防御系统,并综合运用安全设备提供的多种安全技术,包括访问控制、入侵检测和QoS管理等有效地保护用户网络,控制网络的非法访问和抵御网络攻击,实现高效可靠的安全通信。
读者对象
本用户手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作:
?网络卫士入侵防御系统的基本网络配置和系统配置,包括导入、导出配置文件、在线升级、以及带宽管理。
?当网络卫士入侵防御系统作为IDS产品旁路接入网络中时,网络卫士入侵防御系统的具体配置。
?当网络卫士入侵防御系统作为网关产品接入网络中时,网络卫士入侵防御系统的具体配置。
?网络卫士入侵防御系统对应用层协议的控制管理。
?制定IPS策略。
?网络卫士入侵防御系统的日志管理。
约定
本文档遵循以下约定:
命令语法描述采用以下约定:
尖括号(<>)表示该命令参数为必选项。
方括号([])表示该命令参数是可选项。
竖线(|)隔开多个相互独立的备选参数。
加粗大写表示需要用户输入的命令或关键字,例如help命令。
斜体表示需要用户提供实际值的参数。
图形界面操作的描述采用以下约定:
“”表示按钮。
点击(选择)一个菜单项采用如下约定:
点击(选择)高级管理 > 特殊对象 > 用户。
为了叙述方便,本文档采用了大量网络拓扑图,图中的图标用于指明天融信安全设备和通用的网络设备、外设和其他设备,以下图标注释说明了这些图标代表的设备:
文档中出现的提示、警告、说明、示例等,是关于用户在安装和配置网络卫士入侵防御系统过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置。
相关文档
《网络卫士入侵防御系统安装手册》
《网络卫士入侵防御系统用户手册》
《网络卫士入侵防御系统产品说明》
技术服务体系
天融信公司对于自身所有安全产品提供远程产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页
https://www.360docs.net/doc/2e9281959.html,/
在线技术资料
https://www.360docs.net/doc/2e9281959.html,/support/down.asp 安全解决方案
https://www.360docs.net/doc/2e9281959.html,/solutions/qw.asp
技术支持中心
https://www.360docs.net/doc/2e9281959.html,/support/support.asp 天融信全国安全服务热线
800-810-5119
配置导入、导出
网络卫士入侵防御系统提供了设备配置维护功能,用户可以方便地进行诸如查看、保存和上传等维护操作。
系统配置分为两种:保存配置,指的是用户最后一次手工保存在设备上的配置文件,当系统重新启动后,会自动加载该配置文件。运行配置,指的是设备当前运行状态下的配置情况,该配置可以随用户的操作而动态调整,但当系统重新启动后,该配置失效。运行配置不同于保存配置,比如用户添加了某些规则后,该规则立即加入运行配置并生效,但直至用户手工保存,该规则不会加入到保存配置,重启后该规则便会失效。
在使用安全设备时,可以随时点击页面右上方的“保存配置”,将当前的“运行配置”
转换为“保存配置”,以避免因电源或其他严重异常造成的当前系统配置丢失。
配置导出
基本需求
管理员对远程安全设备的配置文件进行导出。
配置要点
?下载配置文件
?保存配置文件
WEBUI配置步骤
1)管理员登录远程安全设备,选择系统管理 > 维护,并点击“配置维护”页签。
2)在“类型”处设置是否要将配置文件加密。
3)点击“运行配置”按钮将设备当前的运行配置下载到本机;点击“保存配置”将设备的保存配置下载到本机。
4)点击蓝色链接,保存配置文件。
配置导入
基本需求
某企业的网络管理员将旧设备的配置文件导入到新设备上。
配置要点
?导入配置文件
?配置文件生效
WEBUI配置步骤
1)管理员登录远程安全设备,选择系统管理 > 维护,并点击“配置维护”页签。
2)点击“浏览…”按钮,选择旧设备的配置文件。
3)点击“替换”按钮,导入配置文件。
配置文件导入成功后,用户需要重新登录网络卫士入侵防御系统。
在线升级
网络卫士入侵防御系统支持基于TFTP协议、HTTP协议(WEBUI升级)和FTP协议的升级方式,以便用户方便、及时地使用天融信不断发布的升级包对设备的性能和功能进行扩充和完善。通过WEBUI进行升级比较简单,本案例将重点介绍如何通过TFTP协议对网络卫士入侵防御系统进行升级。
基本需求
背景:某PC机(IP:172.16.1.2)与网络卫士入侵防御系统的管理口(IP:172.16.1.254)相连,网络卫士入侵防御系统的eth10口(IP:202.59.63.8)与Internet相连,如图2所示。
需求:通过WebUI对本地网络卫士入侵防御系统进行升级。
图 1在线升级网络拓扑示意图
配置要点
?获取网络卫士入侵防御系统升级包
?对网络卫士入侵防御系统进行升级
WEBUI配置步骤
1)选择系统管理 > 维护,并点击“升级”页签,如下图所示。
2)点击“WEBUI升级”按钮,弹出如下对话框。
3)点击“浏览”选择升级包文件,然后点击“升级系统”,便可完成升级。
网络卫士入侵防御系统升级成功后设备会自动重启,导致管理用户与网络卫士入侵防御系统的通信中断。这种情况下,用户只需重新登录网络卫士入侵防御系统即可。
至此,WEBUI方式的配置完成。
注意事项
1)升级前,请确保网络卫士入侵防御系统升级包已经下载到本地。
2)相应版本的升级包只能在对应版本的硬件上进行升级,不能混用。
3)升级过程大约10分钟左右,请耐心等待。并避免对网络卫士入侵防御系统进行任何操作,特别是不能按键CTRL+C。
5)升级完成后,正常情况下网络卫士入侵防御系统的原有配置不会丢失;但为了安全,请在升级设备前做好相关备份工作。如遇特殊情况,可以向天融信当地的技术支持工程师寻求帮助。
规则库升级
为了保障设备对最新攻击类型的快速防御能力,系统规则库要定期进行升级。网络卫士入侵防御系统支持手动和自动两种升级方式。
基本需求
背景:某PC机(IP:172.16.1.2)与网络卫士入侵防御系统的管理口(IP:172.16.1.254)相连,Eth10口(IP:202.59.63.8)通过Internet与FTP服务器(IP:202.99.27.198)相连,Eth11口(IP:172.16.1.100)与内网相连,如图2所示。
需求:通过手动、自动两种方式升级系统规则库。
图 2规则库升级网络拓扑示意图
配置要点
?配置手动升级
?配置自动定时升级
WEBUI配置步骤
1)配置手动升级
选择系统管理 > 规则库管理 > 系统规则库,“手动升级”部分,如下图所示。
点击“浏览”选择规则库更新文件,然后点击“更新规则库”即可完成对系统规则库的手动更新。
注意事项
1)手动升级前,请确保规则库更新文件已经下载到本地。
2)手动更新过程中请不要做任何操作。
2)配置自动定期升级
选择系统管理 > 规则库管理 > 系统规则库,“定时更新”部分,如下图所示。
勾选“自动更新”方式,不要修改服务器地址,设定更新日期及时间,设置完成后点击“应用”即可;如果需要立即更新,可以点击“更新”按钮,会弹出如下的对话框:
点击“确定”,如下图所示。
点击“开始升级”即可。
升级完成后可在本页面上方“规则库更新信息”处查看升级后规则库信息,如下图所示。
TopIDP快速简易配置
TopIDP快速简易配置是为了方便初次实施或者对外测试时使用的一种非常快捷简单的配置方法,以方便管理员快速实施。
基本需求
背景:网络卫士入侵防御系统以在线直连方式接入网络,设备的eth10口与外网相连,eth11口与内网相连,管理口(IP:172.16.1.254)与内网一台管理PC(IP:172.16.1.2)相连,如图3所示。
需求:网络卫士入侵防御系统可以保护所有区域的攻击事件,并产生相应的攻击响应日志。
图 3TopIDP简易配置示意图
配置要点
?配置虚拟线
?配置IPS策略
?配置日志
?查看攻击响应日志
WEBUI配置步骤
1)配置网络部分—虚拟线
选择网络管理 > 虚拟线,点击“添加”,把两个端口加入到虚拟线,如下图所示。
在接口栏内选择两个直连接口(eth10和eth11),然后点击“确定”,即可完成直连口的设定。
2)配置IPS策略
选择入侵防御 > IPS策略,点击添加,如下图所示
“源”、“目的”及“选项”均不需做任何配置,点击“规则集”页签,如下图所示。
将“选择规则集”列表中的“所有事件”选项选入“已选择规则集”中,点击“确定”即可。
3)配置日志
选择日志与报表 > 日志设置,如下图所示。
设置接收日志的服务器地址及端口,在“日志类型”中勾选“入侵防御”,点击“应用”即可。
4)查看攻击响应日志
选择日志与报表 > IPS报表,如下图所示。
“攻击排名”是TopIDP在一段时间内对于攻击响应次数的排名表,可以有效的反映出哪些攻击的频率比较高;“详细事件”是对所有攻击响应事件的详细描述,可以让用户查看到攻击的源、目的等关心的内容。
注意事项
攻击响应日志在本地存储是有限的,最多可以存储1024条,实施时建议把日志输出到TopPolicy管理服务器上。
应用协议控制-BT
网络卫士入侵防御系统提供对各种应用协议的检测控制功能,可以很好的对应用协议进行限制,管理员可以通过设置相应的策略,从而达到对各种应用协议进行阻断或者限流的目的。下面主要以对BT协议的控制为例,描述网络卫士入侵防御系统对应用协议的控制配置。
基本需求
背景:网络卫士入侵防御系统以在线直连方式接入网络,设备的eth10口与外网相连,设备的eth11口与内网(172.16.1.0)相连,如图4所示。
需求:限制内网172.16.1.0/24的用户在上班时间(09:00-17:30)不能使用BT登录,可以在休息时间使用,但是上传带宽和下载带宽均不能超过100KBps。
图 4应用层协议控制示意图
配置要点
?配置网络部分—虚拟线
?配置QOS—BT动态限流规则
?配置动作对象—BT阻断和BT限流
?配置时间对象—上班时间和所有时间
?配置规则集对象—BT协议规则集
?配置区域对象
?配置IPS策略—外网到内网
WEBUI配置步骤
1)配置网络部分—虚拟线
选择网络管理 > 虚拟线,点击“添加”,将eth10和eth11两个接口加入到虚拟线,如下图所示。
入侵防御系统IPS
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
IPS入侵防御原理
IPS原理 防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。 IPS工作原理 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。 IPS的种类 * 基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的攻击中,起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取
入侵防御系统的功能有哪些
入侵防御系统的功能是:简单来说,它能够监视网络或网络设备的网络资料传输行为的计算机网络完全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行。选择入侵防御系统很重要,一定要找专业从事网络安全与服务的高科技公司。入侵防御系统的功能下面就详细介绍一下,这里以铱迅品牌的入侵防御系统做案例: 铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的全方位的保护,为网络提供深层次的、有效的安全防护。 铱迅入侵防御系统致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供最大的保障。 万兆高并发与请求速率处理技术 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
庞大内置特征库 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。 攻击碎片重组技术 通过铱迅入侵防御系统独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。
网络入侵防御系统的技术研究和实现
小型网络入侵防御系统的技术研究和实现 王新留 谷利泽 杨义先 北京邮电大学网络与交换技术国家重点实验室 信息安全中心 100876 wxl322520@https://www.360docs.net/doc/2e9281959.html, 摘要:针对小型网络的安全防御问题,利用开源IDS(Intrusion Detection System)-Snort,设计了一种IDS告警的融合、过滤机制,实现了IDS和防火墙的智能化联动,并且在入侵检测中成功引入漏洞扫描技术。通过将入侵检测技术、防火墙技术和漏洞扫描技术三者融合在一起,本文构建出一种适用于小型网络的入侵防御系统。 关键词:IDS,IPS,防火墙,漏洞扫描,Snort Research and implementation on small-typed network Intrusion Prevention System Wang XinLiu Gu Lize Yang Yixian Information Security Center, State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications 100876 wxl322520@https://www.360docs.net/doc/2e9281959.html, Abstract: Focusing on the problem of small-typed network security prevention, using the open source IDS(Intrusion Detection System)-Snort, a kind of mechanism for fusing and filtering IDS’s alerts is designed, the intelligent interaction between Snort and firewall is completed, and the vulnerability scanning technology is successfully introduced into the intrusion detection. Through integrating IDS, firewall, and vulnerability scanning technology together, an Intrusion Prevention System for small-typed network is built by this paper. Key words: IDS, IPS, firewall, vulnerability scanning, Snort 1 引言 网络安全是一个系统的概念,有效的安全策略和整体解决方案的制定是网络信息安全的首要目标。IDS、防火墙等安全产品的简单堆垒在当前的威胁和攻击面前变得越来越脆弱。因此,对安全产品的整合,逐渐被人们所关注,从IDS和防火墙的联动发展起来的入侵防御系统(Intrusion Prevention System, IPS)脱颖而出。IPS是指不但能检测入侵的发生,而且能通过一定的响应方式,实时中止入侵行为的发生和发展,实时保护信息系统不受攻击的一种智能化的安全产品[2]。它的出现弥补了防火墙及入侵检测系统单一产品的不足。 目前,一些研究人员研究实现了基于Snort与防火墙联动的入侵防御系统。其原理是:当Snort 检测到入侵事件时,就往防火墙中动态添加防御规则,实时阻止入侵事件的发生。这很大程度上弥补了防火墙和入侵检测系统单一产品的不足,并能实时中止入侵行为。但是它们并没有引入好的告警融合、过滤机制,加上Snort的误报,这种简单的联动方式会造成防火墙中的阻塞规则过多,严
网络卫士入侵防御系统配置案例
网络卫士入侵防御系统 配置案例 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.360docs.net/doc/2e9281959.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印? 2009天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.360docs.net/doc/2e9281959.html,
目录 前言 (3) 文档目的 (3) 读者对象 (3) 约定 (4) 相关文档 (4) 技术服务体系 (4) 配置导入、导出 (6) 配置导出 (6) 基本需求 (6) 配置要点 (6) WEBUI配置步骤 (6) 配置导入 (7) 基本需求 (7) 配置要点 (7) WEBUI配置步骤 (8) 在线升级 (9) 基本需求 (9) 配置要点 (9) WEBUI配置步骤 (9) 注意事项 (10) 规则库升级 (11) 基本需求 (11) 配置要点 (11) WEBUI配置步骤 (11) 注意事项 (12) TOPIDP快速简易配置 (14) 基本需求 (14) 配置要点 (14) WEBUI配置步骤 (14) 注意事项 (17) 应用协议控制-BT (18) 基本需求 (18) 配置要点 (18) WEBUI配置步骤 (18) 注意事项 (20) 以IDS方式接入 (21) 基本需求 (21) 配置要点 (21) WEBUI配置步骤 (21) 注意事项 (24) IPS策略+防火墙功能 (25) 基本需求 (25) 配置要点 (25)
网络卫士入侵防御系统安装手册
网络卫士入侵防御系统 安装手册 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.360docs.net/doc/2e9281959.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印 ?2011 天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.360docs.net/doc/2e9281959.html,
目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4相关文档 (2) 1.5技术服务体系 (2) 2安装网络卫士入侵防御系统 (3) 2.1系统组成与规格 (3) 2.1.1系统组成 (3) 2.1.2系统规格 (3) 2.2系统安装 (3) 2.2.1硬件设备安装 (3) 2.2.2检查设备工作状态 (4) 2.3登录网络卫士入侵防御系统 (4) 2.3.1缺省出厂配置 (5) 2.3.2通过CONSOLE口登录 (6) 2.3.3设置其他管理方式 (8) 2.3.4管理主机的相关设置 (10) 2.3.5通过浏览器登录 (11) 2.4恢复出厂配置 (11) 3典型应用 (13) 3.1部署在防火墙前 (13) 3.2部署在防火墙后 (13)
1前言 本安装手册主要介绍网络卫士入侵防御系统(即TopIDP)的安装和使用。通过阅读本文档,用户可以了解如何正确地在网络中安装网络卫士入侵防御系统,并进行简单配置。 本章内容主要包括: ●文档目的 ●读者对象 ●约定 ●相关文档 ●技术服务体系 1.1文档目的 本文档主要介绍如何安装网络卫士入侵防御系统及其相关组件,包括设备安装和扩展模块安装等。 1.2读者对象 本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: 初次使用和安装网络卫士入侵防御系统。 管理网络卫士入侵防御系统。 1.3约定 本文档遵循以下约定: 1)命令语法描述采用以下约定, 尖括号(<>)表示该命令参数为必选项。 方括号([])表示该命令参数是可选项。 竖线(|)隔开多个相互独立的备选参数。 黑体表示需要用户输入的命令或关键字,例如help命令。 斜体表示需要用户提供实际值的参数。 2)图形界面操作的描述采用以下约定: “”表示按钮。
天清入侵防御系统产品白皮书
第1章概述 1.1 关于天清 天清入侵防御系统(Intrusion Prevention System)是启明星辰信息技术有限公司自行研制开发的入侵防御类网络安全产品。 天清入侵防御系统围绕深层防御、精确阻断这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。 启明星辰坚信,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况,把握黑客技术的动态发展,深化对黑客行为的本质分析,预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段,启明星辰专门建立了积极防御实验室(V-AD-LAB),通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑,如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。 启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可,成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位. 启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给国际CVE(Common Vulnerabilities and Exposures)组织。目前已有多个漏洞的命名被国际CVE 组织采用,获得了该组织机构唯一的标识号。 天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的网络安全产品。 1.2 入侵防御 首先我们来探讨一个问题:入侵攻击行为包括哪些?什么样的行为可以称为入侵攻击行为?我们来看对入侵行为的标准定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠,不可用的故意行为。 通常提到对入侵行为的防御,大家都会想到防火墙。防火墙作为企业级安全保障体系的
ips网络入侵防御方案模版
网络入侵防护方案 合肥中方网络安全公司 2013年4月22日
文档说明 非常感谢上海
目录 1
5.6DAP阶段二——30天 (19) 5.7DAP阶段三——1天 (20) 6IntruShield网络入侵防护产品简介 (21) 6.1网络攻击特征检测 (21) 6.2异常检测 (22) 6.3拒绝服务检测 (23) 6.4入侵防护 (24) 6.5实时过滤蠕虫病毒和Spyware间谍程序 (26) 6.6虚拟IPS (27) 6.7灵活的部署方式 (28)
入侵防御系统的功能
入侵防御系统是位于防火墙和网络之间的设备,一般用于数据包传输的检测过滤,保护企业网络文件传输的安全性,以防被盗取或者有非法入侵的文件。为了企业的正常运营入侵防御系统是十分重要的,那么铱迅的入侵防御系统有哪些功能呢?下面简单的来了解一下吧。 产品功能 强大的攻击防御能力: 铱迅入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。 铱迅入侵防御系统是网络拓扑的一部分,而不仅是一个被动的旁路设备,它在线决定数据包的命运,进出被保护网络的数据包都要经过入侵防御系统的深层检查,综合采用多种检测技术,包括特征检测、异常检测、DoS/DDoS检测等,提高入侵检测的准确性,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,从而达到防御攻击的目的。 病毒过滤: 铱迅入侵防御系统具备效率高、灵活的防病毒能力,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。 “铱迅入侵防御系统”系列产品能够识别和检测2-7层网络攻击行为,有效的防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。同时用户也可以通过自定义特征码进行防护。 准确的网络流量分析技术:
“铱迅入侵防御系统”系列产品可辨识超过各种网络及应用程序与数据包协议,完全遵循RFC规定,支持IP 破碎数据包辨识与重组。 流量控制: 阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。 异常行为与检测: “铱迅入侵防御系统”产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能, 支持的协议包括:HTTP、SMTP、POP3、IMAP和DNS等。”铱迅入侵防御系统”支持对应用级别协议进行异常检测,通过拒绝异常数据包来阻止这些非法的数据包,较大化保障网络安全。 上网行为管理: “铱迅入侵防御系统”能够有效的综合分析应用软件特征和数据内容,能够智能识别各种主流的P2P 下载、QQ即时通信、在线视频、网络游戏和在线炒股等用户上网行为,从而更好地协助企业了解当前的网络应用状况,发现非授权网络流量后进行及时限制或阻断: 1)检测/封锁来自IM/P2P软件的行为及威胁 2)封锁网络游戏程序 3)封锁远端控制软件 4)范围涵盖一般及特殊定制的应用软件 5)可利用子网络群组分别管理和控制
IPC$入侵防御实验
IPC$入侵和防范实验 一、试验目的: 学习使用windows系统自带IPC$有关的的网络管理和控制命令,巩固对所学知识的理解。 二、试验内容: 通过使用windows系统自带的IPC$有关的网络管理和控制命令,观看其结果并进行分析,加深对这些工具的理解和灵活运用。 三、试验环境: (1)安装WINDOWS NT 或WINDOWS 2000以上版本的操作系统。 (2)已开放IPC$共享。 (3)已知远程主机IP地址。 (4)已知远程主机的管理员帐号和密码(IPC$空连接除外) 其中远程主机所需条件: 1、安装WINDOWS NT 或WINDOWS 2000以上版本的操作系统。 2、已开放IPC$共享。 3、已启动SERVER服务。 四、试验步骤: ①启动命令行控制台(虚拟机和本地机) 单击“开始”→“运行”,在“运行”对话框中键入:“CMD
“命令启动命令行控制台。 ②查看IPC$共享是否开放: Cmd——Net share ③在虚拟机上建立用户,并把用户加入administators组中 Net user 用户名密码/add Net localgroup administrators 用户名/add Net localgroup adminstrators ④建立IPC$连接 在命令行提示符下键入如下命令: Net use \\IP地址\ipc$“密码”/user:用户名 如:Net use \\IP地址\ipc$“12345”/user:administrator ⑤映射网络驱动器 成功建立了IPC$连接后,在命令行提示符下键入命令: Net use 本地盘符\\IP地址\共享名 如:Net use z: \\192.168.1.3\c$ 该命令的执行结果是将目标主机的C盘映射为本地机的z盘。 映射成功后,就可以对目标主机进行操作和控制了。 ⑥COPY文件 命令格式:Copy 本地文件的路径\文件名\\远程主机IP\远 程主机文件路径。 如:Copy c:/bake.bat \\192.168.1.3\c$ ⑦断开IPC$连接
DPtech IPS2000系列入侵防御系统测试方案设计
DPtech IPS2000测试方案 迪普科技 2011年07月
目录 DPtech IPS2000测试方案 (1) 第1章产品介绍 (1) 第2章测试计划 (2) 2.1测试方案 (2) 2.2测试环境 (2) 2.2.1 透明模式 (2) 2.2.2 旁路模式 (3) 第3章测试容 (4) 3.1功能特性 (4) 3.2响应方式 (4) 3.3管理特性 (4) 3.4安全性 (5) 3.5高可靠性 (5) 第4章测试方法及步骤 (6) 4.1功能特性 (6) 4.1.1 攻击防护 (6) 4.1.2 防病毒 (8) 4.1.3 访问控制 (10) 4.1.4 最接数与DDoS (11) 4.1.5 黑功能 (12) 4.2响应方式 (13) 4.2.1 阻断方式 (13) 4.2.2 日志管理 (14) 4.3管理特性 (15) 4.3.1 设备管理 (15) 4.3.2 报表特性 (16) 4.4安全特性 (17) 4.4.1 用户的安全性 (17) 4.4.2 设备的安全性 (19) 第5章测试总结 (21)
第1章产品介绍 随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。 如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。 漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。 IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。
入侵检测系统与入侵防御系统的区别
入侵检测系统与入侵防御系统的区别 2008-09-04 15:38:12 作者:未知来源:CNET中国 关键字:入侵防御系统入侵检测系统IPS特征匹配IDS攻击安全策略用户网络部署 1. 入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。
这些位置通常是: 服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。 2. 入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS 的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。 对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。 进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。 3. IPS与IDS的区别、选择 IPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS 将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。 目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢? 从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御
入侵防御系统的过去、现在和未来
您现在的位置:IT专家网> 安全子站> 评论分析 入侵防御系统的过去、现在和未来 作者: CC, 出处:IT专家网,责任编辑: 张帅, 2007-12-10 10:33 入侵防御系统IPS如今被越来越多的用户所采用,就在几年前著名的市场调查机构Gartner还发表过IDS is dead,然如今一切仍在继续,本文将介绍入侵防御系统IPS的过去、现在和未来…… 入侵防御系统(Intrusion Prevention System,IPS)是这段时间网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。 有人认为,入侵防御系统(IPS)就是入侵检测系统(Intrusion Detection System,IDS)的升级产品,有了IPS,就可以替代以前的IDS系统,这也正是Gartner 在2003年发表那篇著名的“IDS is dead” 的理由。 从入侵防御系统的起源来看,这个“升级说”似乎有些道理:Network ICE公司在2000年首次提出了IPS这个概念,并于同年的9月18日推出了BlackICE Guard,这是一个串行部署的IDS,直接分析网络数据并实时对恶意数据进行丢弃处理。 但这种概念一直受到质疑,自2002年IPS概念传入国内起,IPS这个新型的产品形态就不断地受到挑战,而且各大安全厂商、客户都没有表现出对IPS的兴趣,普遍的一个观点是:在IDS基础上发展起来的IPS产品,在没能解决IDS固有问题的前提下,是无法得到推广应用的。 这个固有问题就是“误报”和“滥报”,IDS的用户常常会有这种苦恼:IDS界面上充斥着大量的报警信息,经过安全专家分析后,被告知这是误警。但在IDS旁路检测的部署形式下,这些误警对正常业务不会造成影响,仅需要花费资源去做人工分析。而串行部署的IPS 就完全不一样了,一旦出现了误报或滥报,触发了主动的阻断响应,用户的正常业务就有可能受到影响,这是所有用户都不愿意看到和接受的。正是这个原因,导致了IPS概念在05年之前的国内市场表现平淡。 随着时间的推进,自2006年起,大量的国外厂商的IPS产品进入国内市场,各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。 IPS到底是什么? “IPS可以阻断攻击,这正是IDS所做不了的,所以IPS是IDS的升级,是IDS的替代品”,可能很多人都会有这种看法。 我们先来看IPS的产生原因: A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
H3C SecPath T系列入侵防御系统配置指南
H3C SecPath T 系列入侵防御系统 配置指南
前言 本书简介 本手册主要介绍H3C SecPath T 系列入侵防御系统的产品概况、安装前的准备、安装过程、设备启动以及常见问题处理。在安装设备的过程中,为避免可能出现的设备损坏和人身伤害,请仔细阅读本手册。本手册各章节内容如下: ?第1 章产品介绍。介绍了设备的概况、产品外观、产品规格以及接口。 ?第2 章接口模块。介绍设备支持的接口模块规格、外观、指示灯含义、接口属性和连接电缆。 ?第3 章安装前的准备。介绍设备安装前的准备工作及相关的安全注意事项。 ?第4 章设备安装。介绍设备的安装、线缆的连接以及安装后的检查。 ?第5 章设备启动及软件升级。介绍设备初次上电时的启动过程以及升级软件的方法。 ?第6 章常见问题处理。对设备操作过程的常见问题进行故障说明及故障处理。 本书约定 1.命令行格式约定 2.图形界面格式约定
3.各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下: 。
目录 1 产品介绍............................................................................. 1-1 1.1 产品概述............................................................................ 1-1 1.2 产品外观及指示灯说明................................................................ 1-1 1.2.1 T200/T200-E产品外观 .......................................................... 1-1 1.2.2 T200-A/M/S产品外观 ........................................................... 1-3 1.2.3 T1000-A/M/S/C产品外观 ........................................................ 1-6 1.3 产品规格............................................................................ 1-8 1.3.1 处理器和存储器................................................................ 1-8 1.3.2 外形尺寸和重量................................................................ 1-9 1.3.3 固定接口和槽位数............................................................. 1-10 1.3.4 输入电源..................................................................... 1-11 1.3.5 工作环境..................................................................... 1-12 1.4 产品组件........................................................................... 1-12 1.4.1 处理器及存储器............................................................... 1-12 1.4.2 各类接口..................................................................... 1-13 1.4.3 USB接口..................................................................... 1-19 1.4.4 扩展接口卡(选配)........................................................... 1-19 1.4.5 RPS电源(选配)............................................................. 1-19 2 接口模块............................................................................. 2-1 2.1 4GBE/8GBE ...................................................................................................................................... 2-1 2.2 4GBP ................................................................................................................................................. 2-3 2.3 GT4C ................................................................................................................................................. 2-5 2.4 GX4C................................................................................................................................................. 2-7 3 安装前的准备......................................................................... 3-1 3.1 通用安全注意事项.................................................................... 3-1 3.2 检查安装场所........................................................................ 3-1 3.2.1 温度/湿度要求.................................................................. 3-1 3.2.2 洁净度要求.................................................................... 3-1 3.2.3 防静电要求.................................................................... 3-2 3.2.4 抗干扰要求.................................................................... 3-2 3.2.5 防雷击要求.................................................................... 3-2 3.2.6 接地要求...................................................................... 3-3 3.2.7 布线要求...................................................................... 3-3 3.3 激光使用安全........................................................................ 3-3 3.4 安装工具............................................................................ 3-3 4 设备安装............................................................................. 4-1 4.1 安装前的确认........................................................................ 4-1 4.2 安装流程............................................................................ 4-2