- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
20-服務器外聯防護配置
本章節下載: 20-服務器外聯防護配置 (208.64 KB)
目 錄
服務器外聯防護是一種針對內網服務器的保護機製,可以有效識別服務器的主動外聯行為,為管理員檢查服務器提供依據,進而防止服務器成為僵屍網絡的一部分,對外發動攻擊或對內進行滲透。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-G3係列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
|
F1000-X-G2係列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
|
F1000-9X0-AI係列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-9330-AI、F1000-9320-AI、F1000-9310-AI、F1000-9305-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
支持 |
|
F1000-C83X0係列 |
F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8330、F1000-C8320、F1000-C8310、F1000-C8305 |
支持 |
|
F1000-C81X0係列 |
F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
支持 |
|
F1000-7X0-HI係列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI、F1000-730-HI、F1000-720-HI、F1000-710-HI |
支持 |
|
F1000-C-X係列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
支持 |
|
F1000-V係列 |
F1000-E-VG、F1000-S-VG |
支持 |
|
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
不支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-A-G5、F100-C-G5、F100-C-G5-EI、F100-C-G5-SI、F100-E-G5、F100-M-G5、F100-M-G5-EI、F100-S-G5 |
支持 |
|
F100-X-G3係列 |
F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3 |
支持 |
|
F100-X-G2係列 |
F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2 |
支持 |
|
F100-WiNet係列 |
F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-S80-WiNet、F100-A81-WiNet、F100-A91-WiNet、F100-C50-WiNet |
支持 |
|
F100-C-A係列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
支持 |
|
F100-X-XI係列 |
F100-A-EI、F100-A-HI、F100-A-SI、F100-C-EI、F100-C-HI、F100-A-XI、F100-C-XI、F100-E-EI、F100-S-HI、F100-S-XI |
支持 |
服務器外聯防護配置任務如下:
(1) 配置服務器外聯學習功能
(2) 配置服務器外聯防護策略
(3) 配置服務器外聯防護策略規則
服務器外聯學習功能會對指定服務器主動外聯的流量進行檢測,識別出服務器的所有外聯行為。管理員可以通過學習結果來判斷服務器的哪些外聯是正常,哪些外聯是異常,可為管理員配置服務器異常防護策略提供數據依據。
服務器外聯學習中,無法在服務器外聯學習視圖下進行任何配置。
(1) 進入係統視圖。
system-view
(2) 進入服務器外聯學習視圖。
scd learning
(3) 配置待防護的服務器。
source-ip object-group-name
缺省情況下,未配置待防護的服務器。
(4) 開啟服務器外聯自動學習功能。
auto-learn enable period { one-day | one-hour | seven-day | twelve-hour }
缺省情況下,服務器外聯自動學習功能處於關閉狀態。
服務器外聯防護策略中可以配置監測對象、監測規則、防護開關和日誌功能。當發現待保護服務器出現異常外聯係行為時,設備可以對其進行告警。
設備僅對指定的待防護服務器發起的外聯行為進行檢測。
不同服務器外聯防護策略中配置的待防護服務器IP地址不能相同。
(1) 進入係統視圖。
system-view
(2) 創建服務器外聯防護策略,並進入服務器外聯防護策略視圖。
scd policy name policy-name
(3) 配置待防護服務器的IP地址。
protected-server ip-address
缺省情況下,不存在待防護服務器的IP地址。
(4) (可選)開啟服務器外聯防護策略記錄日誌的功能。
logging enable
缺省情況下,服務器外聯防護策略記錄日誌的功能處於關閉狀態。
(5) 開啟服務器外聯防護功能。
policy enable
缺省情況下,服務器外聯防護功能處於關閉狀態。
服務器外聯防護規則中可以配置服務器允許外聯的IP地址、協議和端口號,在指定範圍之外的連接都認為是非法外聯行為。
若服務器外聯防護策略中不存在規則,則認為此服務器的所有主動外聯行為是非法連接。
服務器外聯防護規則中的每一項內容都必須配置,否則此規則不會檢測任何報文。
同一服務器外聯防護策略下不同規則中允許外聯IP地址不能相同。
(1) 進入係統視圖。
system-view
(2) 進入服務器外聯防護策略視圖。
scd policy name policy-name
(3) 創建服務器外聯防護規則,並進入服務器外聯防護規則視圖
rule rule-id
(4) 配置服務器允許外聯的IP地址。
permit-dest-ip ip-address
缺省情況下,未配置服務器允許外聯的IP地址。
(5) 配置服務器允許外聯的協議。
protocol { icmp | tcp port port-list | udp port port-list }
缺省情況下,未配置服務器允許外聯的協議。
在完成上述配置後,在任意視圖下執行display命令可以顯示服務器外聯防護的配置信息和統計信息,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除服務器外聯防護的統計信息。
|
操作 |
命令 |
|
顯示服務器外聯學習的相關配置信息 |
display scd auto-learn config |
|
顯示服務器外聯學習的結果 |
display scd learning record [ protected-server ip-address ] [ destination-ip ip-address ] |
|
顯示服務器外聯防護策略的配置信息 |
display scd policy [ name policy-name ] |
|
清除服務器外聯學習的結果 |
reset scd learning record |
某公司數據中心的服務器通過Device與Internet連接。通過配置服務器外聯防護策略可以有效識別服務器的主動外聯行為,並對此外聯行為進行告警。
圖1-1 服務器外聯防護基礎配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Internet的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 2.2.3.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為dmz-untrust的安全策略規則,使內網Server可以向Internet發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name dmz-untrust
[Device-security-policy-ip-1-dmz-untrust] source-zone dmz
[Device-security-policy-ip-1-dmz-untrust] destination-zone untrust
[Device-security-policy-ip-1-dmz-untrust] source-ip-host 2.2.1.2
[Device-security-policy-ip-1-dmz-untrust] action pass
[Device-security-policy-ip-1-dmz-untrust] quit
[Device-security-policy-ip] quit
(5) 配置對象
# 創建名為abc的IP地址對象組,並定義其子網地址為2.2.1.0/24,具體配置步驟如下。
[Device] object-group ip address abc
[Device-obj-grp-ip-abc] network subnet 2.2.1.0 24
[Device-obj-grp-ip-abc] quit
(6) 配置服務器外聯學習功能
# 配置待防護的服務器,開啟服務器外聯自動學習功能,連續學習時間為一天,具體配置步驟如下。
[Device] scd learning
[Device-scd-learning] source-ip abc
[Device-scd-learning] auto-learn enable period one-day
[Device-scd-learning] quit
(7) 配置服務器外聯防護策略
# 創建名稱為policy1的服務器外聯防護策略,配置服務器外聯防護規則,具體配置步驟如下。
[Device] scd policy name policy1
[Device-scd-policy-policy1] protected-server 2.2.1.2
[Device-scd-policy-policy1] logging enable
[Device-scd-policy-policy1] rule 1
[Device-scd-policy-policy1-1] permit-dest-ip 2.2.3.2
[Device-scd-policy-policy1-1] protocol tcp port 80 443
[Device-scd-policy-policy1-1] quit
[Device-scd-policy-policy1] policy enable
[Device-scd-policy-policy1] quit
# 在服務器外聯學習完成後,顯示服務器外聯學習的所有結果。
[Device] display scd learning record
Id Protected server Destination IPv4 address Protocol Port
1 2.2.1.2 2.2.3.2 TCP 80
2 2.2.1.2 2.2.3.2 TCP 443
3 2.2.1.2 2.2.3.2 UDP 4433
4 2.2.1.2 2.2.3.2 UDP 567
Total entries: 4
# 顯示名稱為policy1服務器外聯防護策略的詳細配置信息。
<Sysname> display scd policy name policy1
SCD policy name: policy1
Protected server IPv4: 2.2.1.2
Logging: Enabled
Policy status: Enabled
Rule ID: 1
Permitted dest IPv4: 2.2.3.2
Protocol: TCP port 80,443
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
