- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-IPS典型配置舉例
本章節下載: 18-IPS典型配置舉例 (378.46 KB)
IPS典型配置舉例
本文檔介紹IPS功能的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解IPS特性。
IPS功能需要安裝License才能使用。License過期後,IPS功能可以采用設備中已有的IPS特征庫正常工作,但無法升級特征庫。
如圖-1所示,Device作為安全網關部署在內網邊界。現需要使用IPS功能,保護企業內網用戶免受來自Internet的攻擊。其中,企業內網經常受到漏洞和惡意代碼類的攻擊,需要對以上攻擊進行防範。另外,內網用戶在使用某重要應用軟件時被阻斷,經排查發現該應用被設備檢測出匹配某入侵防禦特征(特征ID為4479),考慮到該軟件的重要性和來源的可靠性,需要管理員臨時放行該特征,以便用戶使用該軟件。
圖-1 IPS功能配置組網圖
本舉例是在F1080的R9333版本上進行配置和驗證的。
1. 配置各接口IP地址並將接口加入對應的安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 選中接口GE1/0/1前的複選框,單擊<編輯>按鈕,配置如下。
· 加入安全域:Trust。
· IP地址/掩碼:10.1.1.1/24。
· 其他配置項保持默認情況即可。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入安全域:Untrust。
· IP地址/掩碼:20.1.1.1/24。
· 其他的配置項保持默認情況即可。
2. 創建內網地址對象組
# 選擇“對象 > 對象組 > IPv4地址對象組”,單擊<新建>按鈕,進入新建IPv4地址對象組頁麵,添加名為private的內網地址對象組。
# 在新建IPv4地址對象組頁麵中,單擊<添加>按鈕,進入添加對象頁麵,配置如下。
· 對象:網段。
· IPv4地址/掩碼長度:10.1.1.0/24。
3. 升級入侵防禦特征庫到最新版本(配置步驟略)
4. 配置入侵防禦配置文件
# 選擇“對象 > 應用安全 > 入侵防禦 > 配置文件”,單擊<新建>按鈕,進入新建入侵防禦配置文件頁麵,新建名為ips的入侵防禦配置文件,配置如下。
# 在設置特征篩選條件區域,配置如下。
· 保護對象:全部。
· 攻擊分類:漏洞、惡意代碼類攻擊。
· 對象:服務端、客戶端。
· 缺省動作:丟棄、允許、重置、黑名單。
· 嚴重級別:嚴重、高、中、低。
圖-2 設置特征篩選條件區域
# 在設置特征統一動作區域,配置如下。
· 動作:丟棄。
· 日誌:開啟。
· 其他配置項保持默認情況即可。
圖-3 設置特征統一動作區域
# 在設置特征例外動作區域,配置如下。
# 在輸入框中,輸入特征ID為4479,單擊右側的<添加>按鈕,將該特征添加到特征例外列表中。
圖-4 設置特征例外動作區域
# 單擊右側的<編輯>按鈕,進入修改例外特征頁麵,將動作修改為允許。
圖-5 修改例外特征
# 單擊<確定>按鈕,完成例外特征的修改。
# 單擊<確定>按鈕,完成入侵防禦配置文件的配置。
# 在創建入侵防禦配置文件後,單擊<提交>按鈕,使新建的入侵防禦配置文件生效。
5. 創建源安全域Untrust到目的安全域Trust的安全策略,並引用入侵防禦配置文件
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,進入新建安全策略頁麵。具體配置如下。
· 名稱:ips
· 源安全域:Untrust
· 目的安全域:Trust
· 動作:允許
· 目的IP地址中選擇地址對象組:private
· 內容安全中引用IPS策略:ips
· 其他配置項保持缺省情況即可。
# 單擊<確定>按鈕,完成配置。
以上配置完成後,可以實現針對漏洞和惡意代碼類的攻擊的防護,管理員可在“監控 > 安全日誌 > 威脅日誌”中,定期查看威脅日誌信息。並且,內網用戶使用某重要應用軟件時(被檢測出入侵防禦特征ID為4479),不會被阻斷。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
