- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-IPS配置
本章節下載: 01-IPS配置 (381.19 KB)
目 錄
IPS(Intrusion Prevention System,入侵防禦係統)是一種可以對應用層攻擊進行檢測並防禦的安全防禦技術。IPS通過分析流經設備的網絡流量來實時檢測入侵行為,並通過一定的響應動作來阻斷入侵行為,實現保護企業信息係統和網絡免遭攻擊的目的。
IPS具有以下功能:
· 深度防護:可以檢測報文應用層的內容,以及對網絡數據流進行協議分析和重組,並根據檢測結果來對報文做出相應的處理。
· 實時防護:實時檢測流經設備的網絡流量,並對入侵活動和攻擊性網絡流量進行實時攔截。
· 全方位防護:可以對多種攻擊類型提供防護措施,例如蠕蟲、病毒、木馬、僵屍網絡、間諜軟件、廣告軟件、CGI(Common Gateway Interface)攻擊、跨站腳本攻擊、注入攻擊、目錄遍曆、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執行、拒絕服務、掃描工具、後門等。
· 內外兼防:對經過設備的流量都可以進行檢測,不僅可以防止來自企業外部的攻擊,還可以防止發自企業內部的攻擊。
設備基於IPS策略對報文進行IPS處理。IPS策略中定義了匹配報文的IPS特征和處理報文的IPS動作。
IPS特征用來描述網絡中的攻擊行為的特征,設備通過將報文與IPS特征進行比較來檢測和防禦攻擊。IPS特征包含多種屬性,例如攻擊分類、動作、保護對象、嚴重級別和方向等。這些屬性可作為過濾條件來篩選IPS特征,隻有篩選出的特征才能與報文進行匹配。
設備支持以下兩種類型的IPS特征:
· 預定義IPS特征:係統中的IPS特征庫自動生成。設備不支持對預定義IPS特征的內容進行創建、修改和刪除。
· 自定義IPS特征:包括Snort文件導入的Snort特征和用戶手工配置的自定義特征。管理員在設備上手工創建。通常新的網絡攻擊出現後,與其對應的攻擊特征會出現的比較晚一些。如果管理員已經掌握了新網絡攻擊行為的特點,可以通過自定義方式創建IPS特征,及時阻止網絡攻擊,否則,不建議用戶自定義IPS特征。
IPS動作是指設備對匹配上IPS特征的報文做出的處理。IPS處理動作包括如下幾種類型:
· 重置:通過發送TCP的reset報文斷開TCP連接。
· 重定向:把符合特征的報文重定向到指定的Web頁麵上。
· 源阻斷:阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能(由blacklist global enable開啟),則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全配置指導”中的“攻擊檢測與防範”,
· 丟棄:丟棄符合特征的報文。
· 放行:允許符合特征的報文通過。
· 捕獲:捕獲符合特征的報文。
· 生成日誌:對符合特征的報文生成日誌信息。
IPS處理流程如圖1-1所示:
圖1-1 IPS數據處理流程圖
IPS功能是通過在DPI應用profile中引用IPS策略,並在安全策略中引用DPI應用profile來實現的,IPS處理的具體實現流程如下:
(1) 設備識別應用層報文協議,並提取報文特征。
(2) 設備將提取的報文特征與IPS特征進行匹配,並進行如下處理:
¡ 如果報文未與任何IPS特征匹配成功,則設備對報文執行允許動作。
¡ 如果報文隻與一個IPS特征匹配成功,則根據此特征中指定的動作進行處理。
¡ 如果報文同時與多個IPS特征匹配成功,則根據這些動作中優先級最高的動作進行處理。動作優先級從高到低的順序為:重置 > 重定向 >丟棄 > 允許。但是,對於源阻斷、生成日誌和捕獲三個動作隻要匹配成功的特征中存在就會執行。
IPS特征庫是用來對經過設備的應用層流量進行病毒檢測和防禦的資源庫。隨著網絡攻擊不斷的變化和發展,需要及時升級設備中的IPS特征庫。
IPS特征庫的升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的IPS特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的IPS特征庫。
· 手動離線升級:當設備無法自動獲取IPS特征庫時,需要管理員先手動獲取最新的IPS特征庫,再更新設備本地的IPS特征庫。
IPS功能需要購買並正確安裝License後才能使用。License過期後,IPS功能可以采用設備中已有的IPS特征庫正常工作,但無法升級到比當前版本高的特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
IPS配置任務如下:
(1) 配置IPS策略
(2) 激活IPS策略配置
(3) 引用DPI應用profile
請選擇以下一項任務進行配置:
(4) 配置IPS特征庫升級
(5) (可選)導入和刪除Snort特征
(6) (可選)配置自定義IPS特征
(7) (可選)配置IPS特征命中統計功能
(8) (可選)配置IPS白名單
缺省情況下,IPS策略將使用當前設備上所有處於生效狀態的IPS特征與報文進行匹配,並對匹配成功的報文執行IPS特征屬性中的動作。管理員可根據實際需求,在新建的IPS策略中,將IPS特征的屬性作為過濾條件,篩選出需要與報文進行匹配的IPS特征,並配置IPS特征動作。
(1) 進入係統視圖。
system-view
(2) 創建IPS策略,並進入IPS策略視圖。
ips policy policy-name
缺省情況下,存在一個缺省IPS策略,名稱為default,且不能被修改或刪除。
IPS策略將篩選出匹配所有已配置屬性的特征,如果屬性中配置了多個參數,則IPS特征至少需要匹配上其中一個參數,才表示匹配上該屬性。
(1) 進入係統視圖。
system-view
(2) 進入IPS策略視圖。
ips policy policy-name
(3) 配置篩選IPS特征的屬性。
¡ 配置篩選IPS特征的保護對象屬性。
protect-target { target [ subtarget | all ] }
缺省情況下,IPS策略匹配所有保護對象的特征。
¡ 配置篩選IPS特征的攻擊分類屬性。
attack-category { category [ subcategory ] | all }
缺省情況下,IPS策略匹配所有攻擊分類的特征。
¡ 配置篩選IPS特征的動作屬性。
action { block-source | drop | permit | reset } *
缺省情況下,IPS策略匹配所有動作的特征。
¡ 配置篩選IPS特征的方向屬性。
object-dir { client | server } *
缺省情況下,IPS策略匹配所有方向的特征。
¡ 配置篩選IPS特征的嚴重級別屬性。
severity-level { critical | high | low | medium } *
缺省情況下,IPS策略匹配所有嚴重級別的特征。
¡ 配置篩選IPS特征的推薦狀態屬性。
status { disabled | enabled } *
缺省情況下,IPS策略匹配所有缺省推薦和不推薦使用的特征。
特征的推薦狀態屬性用於標識特征庫中缺省是否推薦使用該特征匹配報文。推薦狀態為enabled時,表示缺省推薦使用該特征;推薦狀態為disabled時,表示缺省不推薦使用該特征。
缺省情況下,新建IPS策略執行特征屬性中的動作。管理員也可以根據實際網絡需求,為IPS策略中所有特征配置統一的動作,或者為指定的特征配置動作。
設備對以上動作執行的優先級為:IPS策略中為指定特征配置的動作 > IPS策略為所有特征配置的統一動作 > IPS特征自身屬性的動作。
若動作配置為logging,生成的日誌信息不會輸出到控製台和監視終端。如需獲取該日誌,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入IPS策略視圖。
ips policy policy-name
(3) 配置IPS策略中所有特征的統一動作。
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
缺省情況下,IPS策略執行特征屬性中的動作。
(4) (可選)修改IPS策略中指定特征的動作和生效狀態。
signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }
缺省情況下,預定義IPS特征使用係統預定義的狀態和動作,自定義IPS特征的動作和狀態在管理員導入的特征庫文件中定義。
缺省IPS策略中的IPS特征的動作屬性和生效狀態屬性不能被修改。
(5) (可選)配置IPS捕獲報文時緩存的報文數量。
ips capture-cache number
缺省情況下,未配置IPS捕獲報文時緩存的報文數量,設備不對報文進行緩存。
僅當配置了本命令後,設備才對IPS捕獲的報文進行緩存。報文緩存結束後,設備將所有緩存報文寫入IPS捕獲文件中,方便用戶分析威脅信息。
IPS動作中,源阻斷、捕獲和日誌僅在配置參數後生效,參數可通過如下方式配置:
· 配置全局動作參數:通過在係統視圖下配置IPS引用參數profile實現,該方式配置的動作參數對所有IPS策略均生效。
· 配置策略動作參數:直接在各個IPS策略視圖下單獨配置各動作的執行參數。目前僅支持配置日誌動作參數。
· 如果IPS策略視圖下既配置了全局動作參數,又配置了策略動作參數,則以全局動作參數為準。
· 如果需要使策略動作參數生效,則必須保證全局動作參數處於未使能狀態。
· 建議在完成全局動作參數的配置之後,再使能全局動作參數。
(1) 進入係統視圖。
system-view
(2) 配置全局動作參數。
ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name
缺省情況下,未配置全局動作參數。
(1) 進入係統視圖。
system-view
(2) 進入IPS策略視圖。
ips policy policy-name
(3) 配置日誌動作參數。
log { email | syslog }
缺省情況下,IPS日誌輸出方式為syslog。
(4) (可選)引用郵件動作參數profile。
email parameter-profile parameter-profile-name
缺省情況下,未引用郵件動作參數profile。
僅當IPS日誌輸出方式為email時需要配置本命令。
(5) 去使能全局動作參數。
undo global-parameter enable
缺省情況下,全局動作參數處於使能狀態。
當IPS的策略被創建、修改和刪除後,需要配置此功能使其策略配置生效。
(1) 進入係統視圖。
system-view
(2) 激活IPS策略配置。
inspect activate
缺省情況下,IPS策略被創建、修改和刪除時不生效。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級,否則易造成設備特征庫升級失敗,進而影響IPS業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
· 自動在線升級(包括定期自動在線升級和立即自動在線升級)IPS特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級IPS特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
· 同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的IPS特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級IPS特征庫功能,並進入自動在線升級配置視圖。
ips signature auto-update
缺省情況下,定期自動在線升級IPS特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級IPS特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間自動升級IPS特征庫。
(4) (可選)開啟IPS特征文件自動覆蓋功能。
override-current
缺省情況下,設備定期自動在線升級IPS特征庫時會將當前的特征庫文件備份為上一版本。
當管理員發現官方網站上的特征庫服務專區中的IPS特征庫有更新時,可以選擇立即自動在線升級方式來及時升級IPS特征庫版本。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級IPS特征庫。
ips signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級IPS特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的IPS特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的IPS特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用主控板上,否則設備升級特征庫會失敗。
(1) 進入係統視圖。
system-view
(2) 手動離線升級IPS特征庫。
ips signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ]
開啟本功能後,當IPS特征庫升級成功時,設備將記錄特征庫變更的時間,並在每日按照配置的時間發送日誌。
目前,僅支持以快速日誌方式發送IPS特征庫更新日誌,配置本功能後,還需要配置IPS快速日誌使用國家電網格式(即配置customlog format dpi ips sgcc命令)並允許設備向指定的日誌主機發送IPS模塊的日誌(即配置customlog host命令)。有關快速日誌輸出功能的詳細介紹,請參見“網絡管理和監控命令參考”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 開啟IPS特征庫更新日誌記錄功能並配置每日發送日誌的時間。
ips signature update-log send-time time
當需要的IPS特征在設備當前IPS特征庫中不存在時,可通過編輯Snort格式的IPS特征文件,並將其導入設備中來生成所需的IPS特征。導入的IPS特征文件內容會自動覆蓋係統中所有的自定義IPS特征。
目前僅支持以Snort文件導入的方式生成自定義IPS特征,Snort文件需要遵循Snort公司的語法。
(1) 進入係統視圖。
system-view
(2) 導入自定義IPS特征。
ips signature import snort file-path
(1) 進入係統視圖。
system-view
(2) 刪除導入的所有Snort特征。
ips signature remove snort
當需要的IPS特征在設備當前IPS特征庫中不存在時,可通過手工配置方式自定義創建所需的IPS特征。
(1) 進入係統視圖。
system-view
(2) 創建自定義IPS特征,並進入自定義IPS特征視圖。
ips signature user-defined name signature-name
缺省情況下,不存在自定義IPS特征。
(3) (可選)配置自定義IPS特征的描述信息。
description text
特征具有多種屬性,包括動作、檢測方向、嚴重級別和特征下規則間的邏輯關係。
一個自定義特征下可以配置多條規則作為特征的匹配條件,如果規則間是邏輯與的關係,報文需要匹配該自定義特征的所有規則才結束匹配過程;如果規則間是邏輯或的關係,一旦報文與某條規則匹配成功就結束此匹配過程。
(1) 進入係統視圖。
system-view
(2) 進入自定義IPS特征視圖。
ips signature user-defined name signature-name
缺省情況下,不存在自定義IPS特征。
(3) 配置自定義IPS特征屬性。
¡ 配置自定義IPS特征的動作。
action { block-source | drop | permit | reset } [ capture | logging ] *
缺省情況下,自定義IPS特征的動作為permit。
¡ 配置自定義IPS特征的檢測方向。
direction { any | to-client | to-server }
缺省情況下,自定義IPS特征的檢測方向為any。
¡ 配置自定義IPS特征的嚴重級別。
severity-level { critical | high | low | medium }
缺省情況下,自定義IPS特征的嚴重級別為low。
¡ 配置自定義IPS特征下規則間的邏輯關係。
rule-logic { and | or }
缺省情況下,自定義IPS特征下規則間的邏輯關係為or。
設備支持以下兩種類型自定義IPS特征規則:
· 關鍵字類型
· 數值類型
規則下可以配置匹配條件以及檢查項。僅當報文與規則的匹配條件匹配成功後,才會對規則的檢查項進行檢測。
一條規則可以配多個檢查項,用於精確匹配報文中所需檢測的內容。檢查項之間為邏輯與的關係,匹配順序為配置順序,隻有所有檢查項都匹配成功,規則才算成功匹配。
觸發檢查項是同一規則下檢查項的觸發條件,隻有關鍵字類型自定義特征規則才需要配置觸發檢查項。如果一條規則的觸發檢查項匹配失敗,則該規則匹配失敗,不會再對該規則下的檢查項進行檢測。
· 檢查項僅檢測指定協議字段範圍內的數據。
· 配置檢查項匹配的協議字段時,建議依據HTTP協議中各協議字段順序進行配置,否則可能會影響設備的檢測結果。
· 對於關鍵字類型的自定義特征規則,在配置檢查項之前,必須先配置觸發檢查項。刪除觸發檢查項後,將一並刪除所有的檢查項。
· 可使用偏移量、檢測深度或者相對偏移量、相對檢測深度兩組參數精確定位檢測的起始和終止位置。其中,偏移量、檢測深度和相對偏移量、相對檢測深度兩組參數隻可配置一組。
(1) 進入係統視圖。
system-view
(2) 進入自定義IPS特征視圖。
ips signature user-defined name signature-name
(3) 創建自定義IPS特征規則,並進入自定義IPS特征規則視圖。
rule rule-id l4-protocol l4-protocol-name l5-protocol l5-protocol-name pattern-type { keyword | integer }
缺省情況下,不存在自定義IPS特征規則。
(4) 配置自定義IPS特征規則的匹配條件。
¡ 配置自定義IPS特征規則匹配的源IP地址。
source-address ip ip-address
缺省情況下,自定義IPS特征規則匹配所有源IP地址。
¡ 配置自定義IPS特征規則匹配的目的IP地址。
destination-address ip ip-address
缺省情況下,自定義IPS特征規則匹配所有目的IP地址。
¡ 配置自定義IPS特征規則匹配的源端口。
source-port start-port [ to end-port ]
缺省情況下,自定義IPS特征規則匹配所有源端口。
¡ 配置自定義IPS特征規則匹配的目的端口。
destination-port start-port [ to end-port ]
缺省情況下,自定義IPS特征規則匹配所有目的端口。
¡ 配置自定義IPS特征規則匹配的HTTP報文請求方法。
http-method method-name
缺省情況下,自定義IPS特征規則匹配所有HTTP報文請求方法。
(5) 配置關鍵字類型自定義IPS特征規則的觸發檢查項和檢查項。
a. 配置觸發檢查項。
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
b. 配置檢查項。
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
(6) 配置數值類型自定義IPS特征規則的檢查項。
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
本功能用於統計IPS策略中每個特征的命中次數,管理員可在設備的Web界麵查看統計數據。
(1) 進入係統視圖
system-view
(2) 進入IPS策略視圖。
ips policy policy-name
(3) 開啟IPS特征命中統計功能。
statistics signature-hit enable
缺省情況下,IPS特征命中統計功能處於關閉狀態。
當用戶通過查看IPS日誌發現存在誤報的情況時,可配置IPS白名單功能,將日誌中獲取到的特征ID、URL和源IP地址加入白名單,設備將放行匹配白名單的報文,降低誤報率。
當白名單表項中同時存在特征ID、URL和源IP地址中的兩者或以上時,需要同時匹配才認為匹配成功。
(1) 進入係統視圖。
system-view
(2) 開啟IPS白名單功能。
ips whitelist enable
缺省情況下,IPS白名單功能處於關閉狀態。
(3) 創建並進入IPS白名單表項視圖。
ips whitelist entry-id
(4) 配置IPS白名單描述信息。
description text
缺省情況下,未配置IPS白名單描述信息。
(5) 向IPS白名單表項中添加匹配信息。請至少選擇其中一項進行配置。
¡ 向IPS白名單表項中添加特征ID。
signature-id sig-id
缺省情況下,IPS白名單表項中不存在特征ID。
¡ 向IPS白名單表項中添加URL。
url match-type { accurate | substring } url-text
缺省情況下,IPS白名單表項不存在URL。
¡ 向IPS白名單表項中添加源IP。
source-address { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,IPS白名單表項不存在源IP地址。
(6) 退回到係統視圖。
quit
(7) 激活IPS白名單配置。
ips whitelist activate
當創建、修改和刪除含有URL的IPS白名單後,需要執行本命令使其生效。
可在任意視圖下執行以下命令:
· 顯示IPS策略信息。
display ips policy policy-name
· 顯示IPS特征庫版本信息。
display ips signature library
· 顯示IPS特征屬性列表。
display ips signature [ pre-defined | user-defined { snort | user-config } ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] *
· 顯示指定預定義IPS特征的詳細屬性。
display ips signature pre-defined signature-id
· 顯示指定自定義IPS特征的詳細屬性。
display ips signature user-defined { snort | user-config } signature-id
· 顯示IPS自定義特征解析失敗的信息。
display ips signature user-defined parse-failed
如圖1-2所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源,以及DMZ安全域的FTP服務器。FTP服務器根目錄下保存了最新的IPS特征庫文件ips-1.0.8-encrypt.dat,FTP服務器的登錄用戶名和密碼分別為ips和123。現需求手動離線升級IPS特征庫,加載最新的IPS特征。
圖1-2 手動離線升級IPS特征庫配置組網圖
(1) 配置各接口的IP地址(略)
(2) 配置安全域間實例保證Device與FTP服務器互通
# 配置ACL 2001,定義規則允許所有報文通過。
<Device> system-view
[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit
[Device-acl-ipv4-basic-2001] quit
# 向安全域DMZ中添加接口GigabitEthernet0/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 0/0/3
[Device-security-zone-DMZ] quit
# 創建源安全域Local到目的安全域DMZ的安全域間實例,允許Local域用戶訪問DMZ域的報文可以通過。
[Device] zone-pair security source local destination dmz
[Device-zone-pair-security-Local-DMZ] packet-filter 2001
[Device-zone-pair-security-Local-DMZ] quit
# 創建源安全域DMZ到目的安全域Local的安全域間實例,允許DMZ域用戶訪問Local域的報文可以通過。
[Device] zone-pair security source dmz destination local
[Device-zone-pair-security-DMZ-Local] packet-filter 2001
[Device-zone-pair-security-DMZ-Local] quit
(3) 手動升級IPS特征庫
# 采用FTP方式手動離線升級設備上的IPS特征庫,且被加載的IPS特征庫文件名為ips-1.0.8-encrypt.dat。
[Device] ips signature update ftp://ips:[email protected]/ips-1.0.8-encrypt.dat
IPS特征庫升級後,可以通過display ips signature library命令查看當前特征庫的版本信息。
如圖1-3所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源。現要求每周六上午九點前後半小時內,定期自動在線升級設備的IPS特征庫。
圖1-3 定時自動升級IPS特征庫配置組網圖
(1) 配置各接口的IP地址(略)
(2) 配置設備解析官方網站對應IP地址的域名解析功能(略)
(3) 配置安全策略保證Trust安全域的局域網用戶可以訪問Untrust安全域的Internet資源(略)
(4) 配置定期自動在線升級IPS特征庫
# 開啟設備自動升級IPS特征庫功能,並進入自動升級配置視圖。
<Device> system-view
[Device] ips signature auto-update
[Device-ips-autoupdate]
# 設置定時自動升級IPS特征庫計劃為:每周六上午9:00:00自動升級,抖動時間為60分鍾。
[Device-ips-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-ips-autoupdate] quit
設置的定期自動在線升級IPS特征庫時間到達後,可以通過display ips signature library命令查看當前特征庫的版本信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
