- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
27-APT防禦典型配置舉例
本章節下載: 27-APT防禦典型配置舉例 (229.06 KB)
APT防禦典型配置舉例
本章包含如下內容:
· 簡介
· 配置前提
· 使用限製
· 配置舉例
本文檔介紹APT防禦功能的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解APT防禦特性。
如果用戶需要對APT防禦功能檢測到的攻擊進行阻斷時,則需要同時配置防病毒功能。當後續攻擊流量流經設備時,設備將識別出攻擊流量的應用層協議,並根據防病毒配置文件中對該協議報文執行的動作對攻擊流量進行處理。
如圖-1所示,Device作為安全網關部署在內網邊界。企業內網中部署了沙箱,且沙箱與Device路由可達。現需要Device與沙箱聯動,保護內網用戶免受APT攻擊,當沙箱檢測到APT攻擊時,對攻擊流量執行阻斷操作。
圖-1 APT防禦功能配置組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼長度:192.168.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 安全域:Untrust
· IP地址/掩碼:20.1.1.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· 安全域:DMZ
· IP地址/掩碼:192.168.33.1/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:5.5.5.0
· 掩碼長度:24
· 下一跳IP地址:20.1.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置沙箱聯動功能
# 選擇“對象 > 應用安全 > APT防禦 > 沙箱”,進入沙箱頁麵,配置如下。
· 勾選沙箱聯動功能前的複選框
· 配置沙箱地址:192.168.33.111
· 用戶名:admin
· 密碼:123456abc
# 單擊<確定>按鈕,完成沙箱配置。
圖-2 配置沙箱參數
4. 配置APT防禦配置文件
# 選擇“對象 > 應用安全 > APT防禦 > 配置文件”,單擊<新建>按鈕,進入新建APT防禦配置文件頁麵,新建名為apt1的APT防禦配置文件,配置如下。
圖-3 新建APT防禦配置文件
# 單擊<確定>按鈕,完成APT防禦配置文件的配置。
5. 配置防病毒配置文件(配置步驟略)
APT防禦功能需要與防病毒功能聯動才能實現對報文的阻斷。用戶在配置防病毒配置文件時,需要根據實際需求,將指定協議的動作配置為阻斷。本舉例中僅使用缺省的防病毒配置文件default。
6. 配置安全策略
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:untrust-trust
· 源安全域:untrust
· 目的安全域:trust
· 類型:IPv4
· 動作:允許
· 目的IP地址:5.5.5.0/24
· 內容安全中引用APT防禦配置文件:apt1
· 內容安全中引用防病毒配置文件:default(這裏僅以引用設備缺省的防病毒配置文件為例,請用戶根據實際情況進行配置)
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟,配置安全策略trust-untrust,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:trust
· 目的安全域:untrust
· 類型:IPv4
· 動作:允許
· 源IP地址:5.5.5.0/24
· 內容安全中引用APT防禦配置文件:apt1
· 內容安全中引用防病毒配置文件:default(這裏僅以引用設備缺省的防病毒配置文件為例,請用戶根據實際情況進行配置)
· 其他配置項使用缺省值
# 按照同樣的步驟,配置安全策略local-dmz,使設備可將可疑文件上送到沙箱服務器進行檢測,並進行如下配置:
· 名稱:local-dmz
· 源安全域:local
· 目的安全域:dmz
· 類型:IPv4
· 動作:允許
· 源IP地址:5.5.5.0/24
· 其他配置項使用缺省值
# 按照同樣的步驟,配置安全策略dmz-local,使沙箱服務器可將檢測結果下發到設備,並進行如下配置:
· 名稱:dmz-local
· 源安全域:dmz
· 目的安全域:local
· 類型:IPv4
· 動作:允許
· 目的IP地址:5.5.5.0/24
· 其他配置項使用缺省值
7. 激活配置
# 防病毒配置文件在被安全策略引用後,需要在安全策略頁麵單擊<提交>按鈕,使防病毒配置文件生效。
# 完成安全策略配置後,需要在安全策略頁麵單擊<立即加速>按鈕,激活安全策略加速。
8. 開啟日誌采集功能
# 選擇“係統 > 日誌設置 > 基本設置”,選擇存儲空間設置頁簽,勾選沙箱日誌右側的複選框,開啟沙箱日誌采集功能。
以上配置完成後,Device將與沙箱聯動,保護內網用戶免受APT攻擊,當沙箱檢測到APT攻擊時,對後續攻擊流量執行阻斷操作。管理員可在“監控 > 安全日誌 > 沙箱日誌”中,查看沙箱日誌信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
