- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
45-入侵防禦
本章節下載: 45-入侵防禦 (1.46 MB)
目 錄
隨著互聯網的飛速發展,網絡環境也變得越來越複雜,惡意攻擊、木馬、蠕蟲病毒等混合威脅不斷增大,單一的防護措施已經無能為力,企業需要對網絡進行多層、深層的防護來有效保證其網絡安全,而入侵防禦係統則是提供深層防護體係的保障。
入侵防禦涉及以下概念:
· 規則模板:規則模板是一個或多個規則的集合,規則模板分為預定義規則模板、派生規則模板和自定義規則模板。
預定義規則模板由係統自動創建,其中包含的規則以及每條規則的配置(阻斷、抓包等)也都由係統預先設定,規則不允許增加或刪除,每條規則的配置也不允許修改。預定義規則模板包括以下四個:
¡ all:包含全部規則
¡ web:包含HTTP相關規則
¡ windows:包含Windows係統漏洞規則
¡ unix:包含Unix、Linux係統漏洞規則
預定義規則模板下每條規則的配置初始值如下:
¡ 日誌:根據規則嚴重程度確定,嚴重程度為“高”,日誌默認為告警;嚴重程度為“中”,日誌默認為警告;嚴重程度為“低”,日誌默認為“通知”。
¡ 阻斷:默認阻斷。
¡ 隔離:默認不隔離。
¡ 抓包:默認不抓包。
派生規則模板由預定義規則模板派生而來,其中包含的規則與對應的預定義規則模板相同,也是不允許增加或刪除,但是可以修改每條規則的配置。派生規則模板由用戶根據需要手動派生創建,派生規則模板不可以再派生。
自定義規則模板完全由用戶自己定義創建,其中包含的規則以及配置都可以隨意修改。
· 規則:規則除了包含有檢測攻擊的特征之外,還有規則嚴重程度、規則狀態、日誌、阻斷、隔離、抓包,CVE、CNNVD、操作係統、發布年份、廠商,操作等。一條規則可以屬於多個規則模板。
入侵防禦安全引擎提供自定義規則功能,通過對進入設備報文的協議類型,協議字段,字段內容形成匹配條件,並通過邏輯與、邏輯或形成多條件匹配的方式實現入侵防禦。安全管理員可以使用自定義規則功能,自己寫簽名進行防護。自定義規則檢測是基於流檢測的,支持多種協議字段,其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP協議。對於字符串字段,可支持正則和非正則匹配的方式。
入侵防禦的配置思路:
(1) 配置規則模板,決定需要對哪些事件做檢測,並決定檢測到攻擊之後的日誌和動作,可以使用係統預定義的規則模板,也可以自定義新的規則模板。
(2) 配置安全控製策略,在安全控製策略中配置入侵防禦策略,引用已經配置的規則模板,對命中安全策略的流量做入侵防禦相關的檢測。
通過菜單“策略配置>安全設置>入侵防禦>模板”,進入如圖1-1所示界麵。可以查看係統預定義的規則模板和自定義的規則模板信息。
圖1-1 入侵防禦模板頁麵
在該頁麵上,默認顯示所有入侵防禦規則模板,同時能夠“新建”、“編輯”、“刪除”、“派生”規則模板。
在模板頁麵點擊“新建”,係統彈出新建規則模板對話框,如圖1-2所示。入侵防禦規則模板配置信息如表1-1所示。
|
參數 |
說明 |
|
名稱 |
規則模板的名稱,可輸入1-31個字符,且不能與已創建的規則模板名稱重複。 |
|
描述 |
規則模板的描述信息 |
輸入完名稱、描述之後,點擊提交,完成規則模板的創建。
在規則模板頁麵點擊需要修改的模板後的“
”,進入規則模板編輯頁麵,可以對描述信息進行編輯,規則模板的名稱不可變更。
在入侵防禦配置頁麵點擊需要刪除的規則模板後的“
”,係統彈出確定對話框,點擊“確定”後即可刪除規則模板。
用戶可以根據已經存在的預定義規則模板,派生出相同的自定義規則模板。
點擊模板後麵的派生圖標“
”,進入規則模板對話框,如圖1-3所示。
圖1-3 派生IPS規則模板
輸入新規則模板的名稱、描述信息之後,就完成規則模板的派生。
· 派生後的規則模板不允許增加或刪除,可以修改每條規則的配置。
· 派生規則模板不可以再派生。
通過菜單“策略配置>安全設置>入侵防禦>規則”進入入侵防禦規則模板界麵,在規則模板列表中單擊需要查看的規則模板名稱,在右側展開顯示規則列表信息。如圖1-4所示。
點擊規則列表頁麵左側的“
”按鈕,可以返回到規則模板主頁麵。
點擊規則列表中的子規則名稱,可以查看具體規則的詳細信息,如下圖所示。
圖1-5 查看規則詳細信息
單擊選擇需要添加規則的自定義規則模板,進入規則列表頁麵,點擊“添加規則”,彈出“添加規則”配置窗口,如圖1-6所示。
勾選需要添加的規則後,點擊“提交”,可以將選中的規則添加到對應的規則模板中。
點擊規則後麵的“
”按鈕,可以刪除已添加的規則。
隻有自定義的規則模板可以添加、刪除規則,預定義規則模板及派生後的規則模板不允許添加、刪除規則。
對於自定義的規則模板或者派生的規則模板,可以修改規則是否啟用、是否記錄日誌,及阻斷、隔離、抓包等配置。
(1) 通過菜單“策略配置>安全設置>入侵防禦>模板”進入入侵防禦規則模板界麵,單擊選擇自定義規則模板,展開顯示規則列表,如圖1-7所示。
(2) 選擇要編輯的規則,點擊編輯按鈕
,彈出規則列表的編輯界麵,如圖1-8所示,各個配置項含義如表1-2所示。
表1-2 編輯規則配置項含義描述表
|
參數 |
說明 |
|
啟用 |
開啟或關閉該事件 |
|
日誌 |
該規則的日誌是否記錄及日誌級別,可以配置成不記錄或告警、警告、通知、信息。 |
|
阻斷 |
是否阻斷,如果配置為阻斷,則匹配到規則後對數據報文或流進行丟棄處理。 |
|
隔離 |
是否隔離,如果配置為隔離,則匹配到規則後進行隔離處理:會將報文的源地址加入黑名單,隔離時間到期後解除隔離。 |
|
抓包 |
是否抓包,如果配置為抓包,則匹配到規則後進行抓包處理,在IPS日誌頁麵可以下載抓包文件進行查看。 |
(3) 點擊提交,完成規則配置的編輯。
隻能對自定義規則模板及派生規則模板中的規則配置進行編輯,係統預定義規則中的內容無法編輯。
可以根據規則ID、名稱、CVE、CNNVD對規則模板中的規則進行查詢,也可以點擊“高級查詢”,進入高級查詢頁麵,選擇攻擊類型、嚴重程度、日誌、動作、操作係統等查詢條件進行查詢。
安全策略通過對進入設備報文的協議類型,協議字段,字段內容形成匹配條件,並通過邏輯與和邏輯或形成多條件匹配的方式實現入侵防禦。
在導航欄中選擇“策略配置>安全設置>入侵防禦>模板”,進入IPS模板界麵,點擊模板名稱選擇協議異常檢測頁麵,如下圖所示。
圖1-10 圖1-10 IPS協議異常檢查界麵
IPS協議檢查說明,如表1-9所示。
表1-3 IPS異常檢查描述表
|
標題項 |
說明 |
|
HTTP協議 |
針對HTTP協議字段進行檢測,支持檢測HTTP頭版本字段,host字段,頭長度,響應數據格式字段,並提供配置選項。 |
|
DNS協議 |
檢測協議響應類型異常,域名長度,域名異常字符。 |
|
SMTP協議 |
根據配置檢測命令參數長度,並提供手動配置與默認配置。 |
|
POP3協議 |
檢測協議的命令行最大長度,文本行最大長度,內容文件名最大長度,並提供手動配置與默認配置。 |
|
FTP協議 |
檢測協議的命令行最大長度,文本行最大長度,內容文件名最大長度,並提供手動配置與默認配置。 |
在導航欄中選擇“策略配置>安全設置>入侵防禦>模板”,進入IPS模板界麵,點擊模板名稱選擇協議異常檢測頁麵,進入HTTP協議配置頁麵,如下圖所示。
圖1-11 HTTP協議異常檢查界麵
HTTP協議檢查說明,如下表所示。
表1-4 HTTP異常檢查描述表
|
標題項 |
說明 |
|
協議異常檢測啟用 |
協議檢查總開關 |
|
HTTP URL長度檢測 |
勾選啟用 |
|
url長度 |
啟用url長度檢測 |
|
抓包 |
開啟抓包 |
|
url長度 |
url長度範圍為:64-4096 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
請求頭長度檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
請求頭長度 |
請求頭長度範圍為:64-4096 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
目錄長度檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
目錄長度 |
目錄長度範圍為:8-512 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
Host字段檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
Version字段檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
在導航欄中選擇“策略配置>安全設置>入侵防禦>模板”,進入IPS模板界麵,點擊模板名稱選擇協議異常檢測頁麵,進入DNS協議配置頁麵,如下圖所示。
圖1-12 DNS協議異常檢查界麵
DNS協議檢查說明,如下表所示。
表1-5 DNS異常檢查描述表
|
標題項 |
說明 |
|
啟用 |
勾選啟用DNS協議檢查 |
|
域名長度檢測 |
勾選啟用DNS域名長度檢測 |
|
抓包 |
開啟抓包 |
|
域名長度 |
域名長度範圍為:1-1024 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
域名字符檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
在導航欄中選擇“策略配置>安全設置>入侵防禦>模板”,進入IPS模板界麵,點擊模板名稱選擇協議異常檢測頁麵,進入SMTP協議配置頁麵,如下圖所示。
圖1-13 SMTP協議異常檢查界麵
SMTP協議檢查說明,如下表所示。
表1-6 SMTP異常檢查描述表
|
標題項 |
說明 |
|
啟用 |
勾選啟用SMTP協議檢查 |
|
文本長度檢測 |
勾選啟用SMTP文本長度檢測 |
|
抓包 |
開啟抓包 |
|
文本行長度 |
文本行長度範圍為:64-2048 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
附件文件名長度檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
附件文件名長度 |
附件文件名長度範圍為:1-512 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
在導航欄中選擇“策略配置>安全設置>入侵防禦>模板”,進入IPS模板界麵,點擊模板名稱選擇協議異常檢測頁麵,進入POP3協議配置頁麵,如下圖所示。
圖1-14 POP3協議異常檢查界麵
POP3協議檢查說明,如下表所示。
表1-7 POP3異常檢查描述表
|
標題項 |
說明 |
|
啟用 |
勾選啟用POP3協議檢查 |
|
文本長度檢測 |
勾選啟用POP3文本長度檢測 |
|
抓包 |
開啟抓包 |
|
文本行長度 |
文本行長度範圍為:64-2048 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
附件文件名長度檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
附件文件名長度 |
附件文件名長度範圍為:1-512 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
在導航欄中選擇“策略配置>安全設置>入侵防禦>模板”,進入IPS模板界麵,點擊模板名稱選擇協議異常檢測頁麵,進入FTP協議配置頁麵,如下圖所示。
圖1-15 FTP協議異常檢查界麵
FTP協議檢查說明,如下表所示。
表1-8 FTP異常檢查描述表
|
標題項 |
說明 |
|
啟用 |
勾選啟用FTP協議檢查 |
|
命令行長度檢測 |
勾選啟用FTP命令行長度檢測 |
|
抓包 |
開啟抓包 |
|
命令行長度 |
命令行長度範圍為:2-128 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
|
命令參數長度檢測 |
勾選啟用 |
|
抓包 |
開啟抓包 |
|
命令參數長度 |
命令參數長度範圍為:2-1024 |
|
動作 |
允許/拒絕 |
|
日誌 |
日誌級別配置 |
安全策略通過對進入設備報文的協議類型,協議字段,字段內容形成匹配條件,並通過邏輯與和邏輯或形成多條件匹配的方式實現入侵防禦。
在導航欄中選擇“策略配置>安全設置>入侵防禦>規則庫”,進入IPS規則庫界麵,可以查看規則庫的規則信息,包括係統預定義規則及用戶自定義規則信息,如圖1-16所示。
圖1-16 IPS規則庫顯示界麵
在入侵防禦規則庫頁麵,點擊<添加自定義規則>進入IPS自定義規則配置頁麵,如圖1-17所示。
IPS自定義規則詳細配置說明,如表1-9所示。
|
標題項 |
說明 |
|
名稱 |
自定義規則的名稱 |
|
嚴重程度 |
規則的嚴重程度,分為:低、中、高、緊急,根據規則的嚴重程度確定日誌的級別。 |
|
方向 |
規則檢測的方向:雙向檢測、向客戶端、向服務端。 |
|
協議字段 |
每個協議字段可以包含8個協議匹配條件,每個匹配條件間為邏輯或。 每條自定義規則可以包含8個協議字段,協議字段之間為邏輯與。 匹配時先匹配每個字段的匹配條件或進行協議字間匹配,即先或後與 表達式為 (..&&..)||(..&&..)。 |
在入侵防禦自定義規則顯示頁麵,點擊<新建自定義規則>可以進入自定義規則配置頁麵,可以選擇多種協議以及協議字段 ,配置字段詳細信息如表1-10所示
|
協議類型 |
協議字段 |
配置方式 |
|
IP |
協議 |
l 等於 l 不等於 |
|
負載長度 |
l 等於 l 大於 l 小於 |
|
|
負載 |
包含 |
|
|
UDP |
源端口號 |
l 等於 l 不等於 l 大於 |
|
目的端口號 |
l 等於 l 不等於 l 大於 |
|
|
負載長度 |
l 等於 l 大於 l 小於 |
|
|
負載 |
包含 |
|
|
TCP |
源端口號 |
l 等於 l 不等於 l 大於 |
|
目的端口號 |
l 等於 l 不等於 l 大於 |
|
|
負載長度 |
l 等於 l 大於 l 小於 |
|
|
負載 |
包含 |
|
|
ICMP |
類型 |
l 等於 l 不等於 l 大於 |
|
代碼 |
l 等於 l 不等於 l 大於 |
|
|
負載長度 |
l 等於 l 大於 l 小於 |
|
|
負載 |
l 包含 l 正則匹配 |
|
|
HTTP |
方法內容 |
l 等於 l 不等於 |
|
URL內容 |
l 包含 l 正則匹配 |
|
|
HOST內容 |
l 包含 l 正則匹配 |
|
|
Cookie內容 |
l 包含 l 正則匹配 |
|
|
Header內容 |
l 包含 l 正則匹配 |
|
|
User-Agent內容 |
l 包含 l 正則匹配 |
|
|
方法長度 |
l 等於 l 大於 l 小於 |
|
|
版本長度 |
l 等於 l 大於 l 小於 |
|
|
URL長度 |
l 等於 l 大於 l 小於 |
|
|
HOST長度 |
l 等於 l 大於 l 小於 |
|
|
Cookie長度 |
l 等於 l 大於 l 小於 |
|
|
Header長度 |
l 等於 l 大於 l 小於 |
|
|
User-Agent長度 |
l 等於 l 大於 l 小於 |
|
|
FTP |
命令內容 ftp標準命令如:STOR,RETR,MLSD |
l 包含 l 正則匹配 |
|
命令參數內容 命令後麵跟的參數如 RETR <文件名> |
l 包含 l 正則匹配 |
|
|
命令長度 |
l 等於 l 大於 l 小於 |
|
|
命令參數長度 |
l 等於 l 大於 l 小於 |
|
|
POP3 |
命令內容 POP3命令如:user |
l 包含 l 正則匹配 |
|
命令參數內容 |
l 包含 l 正則匹配 |
|
|
命令長度 |
l 等於 l 大於 l 小於 |
|
|
命令參數長度 |
l 等於 l 大於 l 小於 |
|
|
SMTP |
命令內容 SMTP命令如:mail |
l 包含 l 正則匹配 |
|
命令參數內容 |
l 包含 l 正則匹配 |
|
|
命令長度 |
l 等於 l 大於 l 小於 |
|
|
命令參數長度 |
l 等於 l 大於 l 小於 |
在IPS實際的使用場景中,攻擊者往往會使用逃避技術來掩蓋攻擊,從而避免被IPS設備發現。如果安全產品未能識別出逃避行為,本來能夠防護的漏洞就會輕易被繞過,鑒於此設備增加了IPS防逃避能力,提高對IPS逃避行為的檢測能力。此功能隻有進入IPS流程後,才能進入IPS防逃避流程。
目前支持FTP防逃避、URL防逃避、HTML防逃避檢測,隻支持命令行。
IPS防逃避命令參數配置說明,如下表所示。
表1-11 IPS防逃避命令參數配置
|
【命令名稱】 |
ips normalize { all | http_header | http_post_form | http_javascript | http_utf_file } |
|
【視圖】 |
配置視圖 |
|
【描述】 |
配置使能IPS防逃避功能需要正規化的字段 默認狀態均為關閉 |
|
【參數解釋】 |
http_header:HTTP頭部字段; http_post_form:http_post_form_data字段(請求方向的http_msgbody); http_javascript:HTTP響應的JS文件; http_utf_file:HTTP響應的文件(UTF16或UTF32編碼)。 |
|
【命令名稱】 |
no ips normalize { all | http_header | http_post_form | http_javascript | http_utf_file } |
|
【視圖】 |
配置視圖 |
|
【描述】 |
配置關閉IPS防逃避功能需要正規化的字段 |
如需使入侵防禦生效,必須在相應的安全策略上麵啟用入侵防禦策略。
通過菜單“策略配置>控製策略”進入控製策略界麵,新建或者編輯一條已經存在的策略;點擊“入侵防禦”標簽頁,進入“入侵防禦”配置界麵,如圖1-18所示。各個配置項含義如表1-12所示。
|
參數 |
說明 |
|
規則模板 |
選擇入侵防禦使用的規則模板名稱 |
|
防護模式 |
是否啟用防護模式,隻有啟用防護模式且模板下的規則或協議異常檢查配置為阻斷,匹配到策略後才會阻斷流量。 |
· R6612及以上版本中,入侵防禦預定義規則模板的默認動作為阻斷,匹配到規則後會對數據報文或流進行丟棄處理。因此,開局時如果使用預定義模板規則,建議取消勾選“防護模式”,係統運行一段時間後,再根據實際場景情況定義合適的入侵防禦規則模板。
· 設備從R6612以下版本升級到R6612及以上版本時,除了IPS自定義規則,其它所有IPS配置不進行恢複,如果原來控製策略中配置了IPS策略,則默認恢複為引用All模板的IPS策略。升級後,建議將IPS策略的“防護模式”設置為不勾選,係統運行一段時間後,再根據實際場景情況定義合適的入侵防禦規則模板。
IPS入侵日誌支持聚合,係統可將符合聚合規則(協議ID相同、特征規則ID相同)的日誌信息進行聚合,從而減少日誌數量,避免日誌服務器接受冗餘的日誌信息。係統僅支持聚合由IPS功能所產生的日誌信息。聚合的前提條件是特征規則ID、應用必須相同,然後根據聚合方式進行聚合。
該功能默認為關閉狀態。
通過菜單“數據中心>日誌中心>安全日誌>入侵日誌>日誌聚合”進入日誌聚合配置界麵,點擊“下拉框”選擇日誌聚合方式,如圖1-18所示。各個配置項含義如表1-12所示。
圖1-19 入侵防禦日誌聚合
表1-13 入侵防禦日誌聚合方式配置項含義描述表
|
聚合方式 |
說明 |
|
不聚合 |
默認不聚合 |
|
按照規則聚合 |
是指一段時間之內相同規則ID、相同應用的事件隻會產生一條日誌。 |
|
按源IP聚合 |
是指一段時間之內相同源IP、相同規則ID、相同應用的事件隻會產生一條日誌。 |
|
按目的IP聚合 |
是指一段時間之內相同目的IP、相同規則ID、相同應用的事件隻會產生一條日誌。 |
|
按源目IP聚合 |
是指一段時間之內相同源IP、相同目的IP、相同規則ID、相同應用的事件隻會產生一條日誌。 |
通過菜單“數據中心>日誌中心>安全日誌>入侵日誌>告警規則”進入告警規則配置界麵,點擊“新建”進入告警規則配置頁麵,如下圖所示。
圖1-20 入侵防禦告警規則
表1-14 入侵防禦告警規則配置項含義描述表
|
參數 |
說明 |
|
規則名稱 |
告警規則名稱,可輸入1-31個字符,不支持中文。 |
|
源地址 |
源地址對象支持子網、範圍、主機地址三種。 |
|
目的地址 |
目的地址對象支持子網、範圍、主機地址三種。 |
|
代理地址 |
代理地址對象:支持子網、範圍、主機地址三種。 |
|
源端口 |
範圍為:0-65535,0代表任意端口。 |
|
目的端口 |
範圍為:0-65535,0代表任意端口。 |
|
級別 |
全部、告警、嚴重、警告、通知、信息。 |
|
動作 |
全部、允許、拒絕、丟棄、丟棄會話、阻斷源地址。 |
|
事件類型 |
全部、CGI攻擊、安全審計、木馬後門、CGI訪問、可疑行為、安全漏洞、緩衝溢出、拒絕服務、蠕蟲病毒、間諜軟件、安全掃描、網絡娛樂、協議分析、網絡數據庫攻擊、網絡設備攻擊、欺騙劫持、分布式拒絕服務、網絡通訊、脆弱口令、窮舉檢測、WAF攻擊。 |
|
發送頻率 |
時間範圍(60-86400秒),攻擊條數閾值(1~99999999)。 |
|
外發設置 |
syslog , 郵件(配置郵箱)。 |
|
告警郵件 |
收件地址:多個郵箱回車分割,最多支持輸入32個。 |
如圖1-21所示,服務器通過Internet提供web和FTP服務,在設備上啟用入侵防禦功能來保護Web和FTP服務器。同時通過自定義規則來禁止使用除210以外的端口訪問ftp服務器,且不允許上傳文件和新建目錄,為了減少日誌量,按照規則進行日誌聚合。
· 配置模板,決定需要對哪些規則做檢測,並決定檢測到攻擊之後的日誌和動作,可以使用係統預定義的模板,也可以自定義新的模板。
· 配置控製策略,在控製策略中配置入侵防禦,引用已經配置的模板,對命中控製策略的流量做入侵防禦相關的檢測。
· 入侵防禦策略匹配是由上至下進行匹配,策略匹配到之後將不會往下繼續匹配。
· 是否啟用防護模式,隻有啟用防護模式且模板下的規則或協議異常檢查配置為阻斷,匹配到策略後才會阻斷流量。
進入“策略配置>安全設置>入侵防禦>規則庫”,進入IPS自定義規則配置頁麵,如下圖所示,禁止使用除210以外的端口訪問ftp服務器,且不允許上傳文件和新建目錄。
圖1-22 配置自定義入侵防禦規則
進入“策略設置>安全設置>入侵防禦>模板”,進入入侵防禦配置頁麵,新建模板並添加規則,如下圖所示。
進入“策略配置>策略配置>控製策略”,進入控製策略頁麵,如圖1-24所示,新建策略,在入侵防禦子菜單中啟用功能並選擇模板“test”,完成後點擊提交。
進入“數據中心>日誌中心>安全日誌>入侵日誌>日誌聚合”,進入日誌聚合配置頁麵,如圖1-24所示,選擇聚合方式點擊提交。
圖1-25 配置日誌聚合
使用測試PC進行攻擊操作。在“數據中心>日誌中心>安全日誌>入侵日誌”中可看到相應攻擊日誌信息,如圖1-26所示。
配置完成自定義IPS規則後,用戶隻能使用 210端口訪問FTP服務器,可以下載文件,但是無法上傳和創建目錄。否則無法登錄服務器,並記錄相應日誌信息。使用測試PC進行FTP服務器登錄操作,在“數據中心>日誌中心>安全日誌>入侵日誌”中可看到相應日誌信息,如圖1-27所示。
點擊“詳細”可看到相應日誌的詳細信息,包括日誌聚合信息等,如圖1-27所示。
圖1-28 入侵檢測日誌聚合信息
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
