趋势科技tda_nvwe联动测试方案模版

《趋势科技tda_nvwe联动测试方案模版》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、TDA+NVWC&Cserverblock联动测试TDA配置1NVWe配置1使用FakeIWSS工具测试联动4TDA配置由于此测试是由软件来模拟一个虚拟的TDA设备注册到NVWe来进行，所以无需在用户环境里的TDA设备进行相关设置。不过即使是真实环境下，只要保证TDA可以抓取到触发规则的数据包，做Migitation的是NVWe。NVWe配置1.解压Hotifx文件到你的web服务器(en是英文版补丁，sc是简体中文版补丁)2.点击"Administration>BackupConfiguration".备份你当前的NVW配置1.设置NVWe更新源为http://WebServer

2、IP/au并保存2.点击"Update>Manual"并选择"Program"更新1.更新HF1009后重启NVWE，验证“Help--About”内是否已经有了Hotfix1009的信息（中文版则是1002）：2.确认PolicyEnforcement—TDABlocked/Approvedlist里的Blockcommandandcontrol（C&C）serversdetectedbyTDA已经打勾1.进入PolicyEnforcement—NetworkZones，确认测试的ClientIP已经在NetworkZones的列表内1.进入PolicyEnforcement—P

3、olicies—Default--ThreatMitigationRules确认Enablethispolicy和EnableThreatMitigation已经打勾（这里的Quarantine动作是针对NetworkZones里所定义的Client端的，而联动里的block动作是针对C&CServer的，所以这里无论是Monitor还是Quarantine.只要有C&Cserver的信息，就能BlockC&CServer）使用FakeIWSS工具测试联动1.Client端（该Client端必须位于Policy的endpointsnetworkzones）访问外网，流量依次经过NV

4、WE。1.将附件FakeIWSS下载Client端本地并解压。向NVWE发送mitigation请求。2.修改Registration.ini，RequestReceiver=字段的IP修改成实际测试环境中NVW的IP地址。修改完成后，运行Registration.bat，完成注册。3.修改FakeIWSS.ini，RequestReceiver=字段的IP修改成实际测试环境中NVW的IP地址。LocalAddr=字段的IP修改成实际测试环境中Client端的IP地址。修改RuleID=210。保存退出后运行Mitigation.bat，完成mitigation请求。4.NVWE对

5、首先判断client的ip是否位于endpointsnetworkzones,如果位于，接收该请求，对其id进行判定（实例中定义的ID210可以触发），如果在C&Cruleidlist里面，将会将C&Cserver的IP添加到blockedlist里面。NVWE将会阻挡所有的在Blockedlist但不在Approvedlist里面的IP的所有的流量。1.修改Unregistration.ini，RequestReceiver=字段的IP修改成实际测试环境中NVW的IP地址。保存后运行Unregistration.bat取消测试TDA在NVWe上的注册。