登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

09-典型配置舉例

目錄

20-IPS典型配置舉例

本章節下載 20-IPS典型配置舉例  (239.72 KB)

20-IPS典型配置舉例

入侵防禦典型配置舉例

本章包含如下內容:

·     簡介

·     配置前提

·     使用限製

·     配置舉例

簡介

 

本文檔介紹入侵防禦功能的典型配置舉例。

 

本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解入侵防禦特性。

 

入侵防禦功能需要安裝License才能使用。License期後,入侵防禦功能可以采用設備中已有的入侵防禦特征正常工作,但無法升特征

組網需求

圖-1所示,Device作為安全網關部署在內網邊界。現需要使用入侵防禦功能,保護企業內網用戶免受來自Internet的攻擊。其中,企業內網經常受到漏洞類的攻擊,需要對其進行防範。另外,內網用戶在使用某重要應用軟件時被阻斷,經排查發現該應用被設備檢測出匹配某入侵防禦特征(特征ID936),考慮到該軟件的重要性和來源的可靠性,需要管理員臨時放行該特征,以便用戶使用該軟件。

圖-1 入侵防禦功能配置組網圖

 

使用版本

本舉例是在F1000-AI-55R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口IP地址

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。

·     安全域:Trust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼長度:10.1.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     安全域:Untrust

·     IP地址/掩碼:20.1.1.1/24

·     其他配置項使用缺省值

2.     配置路由

本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。

請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由,並進行如下配置:

·     目的IP地址:5.5.5.0

·     掩碼長度:24

·     下一跳IP地址:20.1.1.2

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成靜態路由的配置。

3.     升級入侵防禦特征庫到最新版本(配置步驟略)

4.     配置入侵防禦配置文件

# 選擇“對象 > 應用安全 > 入侵防禦 > 配置文件”,單擊<新建>按鈕,進入新建入侵防禦配置文件頁麵,新建名為ips的入侵防禦配置文件,配置如下。

# 在篩選條件區域,配置如下。

·     保護對象:全部

·     攻擊分類:漏洞

·     方向:服務端、客戶端

·     預定義動作:丟棄、允許、重置、黑名單

·     嚴重級別:嚴重、高、中、低

·     預定義狀態:使能

# 在設置動作區域,配置如下。

·     動作:丟棄

·     日誌:開啟

·     其他配置項使用缺省值

圖-2 新建入侵防禦配置文件

 

# 在生效特征列表中,勾選特征ID 936,單擊<自定義設置>按鈕,進入自定義設置頁麵,配置如下。

·     狀態:生效

·     設置動作:允許

·     日誌:開啟

·     其他配置項使用缺省值

圖-3 自定義設置頁麵

 

# 單擊<確定>按鈕,完成特征的修改。

# 單擊<確定>按鈕,完成入侵防禦配置文件的配置。

5.     配置安全策略

# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。

# 新建安全策略,並進行如下配置:

·     名稱:untrust-trust

·     源安全域:untrust

·     目的安全域:trust

·     類型:IPv4

·     動作:允許

·     目的IP地址:10.1.1.0/24

·     內容安全中引用入侵防禦配置文件:ips

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

# 按照同樣的步驟,配置安全策略trust-untrust,並進行如下配置:

·     名稱:trust-untrust

·     源安全域:trust

·     目的安全域:untrust

·     類型:IPv4

·     動作:允許

·     IP地址:10.1.1.0/24

·     內容安全中引用入侵防禦配置文件:ips

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

6.     激活配置

# 入侵防禦配置文件在被安全策略引用後,需要在安全策略頁麵單擊<提交>按鈕,使入侵防禦配置文件生效。

# 完成安全策略配置後,需要在安全策略頁麵單擊<立即加速>按鈕,激活安全策略加速。

7.     開啟日誌采集功能

# 選擇“係統 > 日誌設置 > 基本設置”,選擇存儲空間設置頁簽,勾選威脅業務右側的複選框,開啟威脅日誌采集功能。

驗證配置

以上配置完成後,可以實現針對漏洞類的攻擊的防護,管理員可在“監控 > 安全日誌 > 威脅日誌”中,定期查看威脅日誌信息並且,內網用戶使用某重要應用軟件時(被檢測出入侵防禦特征ID936),不會被阻斷。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們