SecPath F1000-9350-AI產品如何配置自動更新規則庫
- 0關注
- 0收藏,1143瀏覽
問題描述:
當前SecPath F1000-9350-AI產品無法自動更新規則庫,當前防火牆訪問公網沒問題,如何配置自動更新規則庫。
組網及組網描述:
當前防火牆可訪問公網。
|
設備型號SecPath F1000-9350-AI
|
| 軟件版本信息 |
|
|
| 序列號 |
|
|
- 2025-07-16提問
- 舉報
-
(0)
最佳答案
1.12.4 定時自動升級IPS特征庫典型配置舉例
1. 組網需求
如圖1-5所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源。現要求每周六上午九點前後半小時內,定期自動在線升級設備的IPS特征庫。
2. 組網圖
圖1-5 定時自動升級IPS特征庫配置組網圖
3. 配置步驟
(1) 配置各接口的IP地址(略)
(2) 配置設備解析H3C官方網站對應IP地址的域名解析功能(略)
(3) 配置安全策略保證Trust安全域的局域網用戶可以訪問Untrust安全域的Internet資源(略)
(4) 配置定期自動在線升級IPS特征庫
# 開啟設備自動升級IPS特征庫功能,並進入自動升級配置視圖。
<Device> system-view
[Device] ips signature auto-update
[Device-ips-autoupdate]
# 設置定時自動升級IPS特征庫計劃為:每周六上午9:00:00自動升級,抖動時間為60分鍾。
[Device-ips-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-ips-autoupdate] quit
4. 驗證配置
設置的定期自動在線升級IPS特征庫時間到達後,可以通過display ips signature information命令查看當前特征庫的版本信息。
1.13 基於對象策略的IPS典型配置舉例
1.13.1 應用缺省IPS策略的典型配置舉例
1. 組網需求
如圖1-6所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現要求使用設備上的缺省IPS策略對用戶數據報文進行IPS防禦。
2. 組網圖
圖1-6 應用缺省IPS策略的配置組網圖
3. 配置步驟
(1) 配置各接口的IP地址(略)
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置對象組
# 創建名為ipsfilter的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address ipsfilter
[Device-obj-grp-ip-ipsfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-ipsfilter] quit
(4) 配置DPI應用profile
# 創建名為sec的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile sec
# 在DPI應用profile sec中應用缺省IPS策略default,並指定該IPS策略的模式為protect。
[Device-app-profile-sec] ips apply policy default mode protect
[Device-app-profile-sec] quit
# 激活DPI各業務模塊的策略和規則配置。
[Device] inspect activate
(5) 配置對象策略引用IPS業務
# 創建名為ipsfilter的IPv4對象策略,並進入對象策略視圖。
[Device] object-policy ip ipsfilter
# 對源IP地址對象組ipsfilter對應的報文進行深度檢測,引用的DPI應用profile為sec。
[Device-object-policy-ip-ipsfilter] rule inspect sec source-ip ipsfilter destination-ip any
[Device-object-policy-ip-ipsfilter] quit
# 配置安全域間實例並應用對象策略,創建源安全域Trust到目的安全域Untrust的安全域間實例,並應用對源IP地址對象組ipsfilter對應的報文進行深度檢測的對象策略ipsfilter。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip ipsfilter
[Device-zone-pair-security-Trust-Untrust] quit
4. 驗證配置
以上配置生效後,使用缺省IPS策略可以對已知攻擊類型的網絡攻擊進行防禦。比如GNU_Bash_Local_Memory_Corruption_Vulnerability(CVE-2014-718)類型的攻擊報文經過Device設備時,Device會匹配該報文,並對報文按照匹配成功的IPS特征的動作(reset和logging)進行處理。
1.13.2 應用自定義IPS策略的典型配置舉例
1. 組網需求
如圖1-7所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有組網需求如下:
· 將編號為2的預定義IPS特征的動作改為丟棄並進行報文捕獲和生成日誌。
· 禁用編號為4的預定義IPS特征。
· 使編號為6的預定義IPS特征生效。
2. 組網圖
圖1-7 應用自定義IPS策略配置組網圖
- 2025-07-26回答
- 評論(0)
- 舉報
-
(0)
注意先測試下訪問官網流量有誤被阻攔,web界麵配置
如果設備可以訪問官方網站,可以采用定期自動在線升級方式來對設備上的特征庫進行升級。
選擇“係統 >升級中心 > 特征庫升級”。
在“特征庫升級”頁麵,勾選目標特征庫上的<開啟定時升級>複選框,進入“XXX特征庫定時升級配置”頁麵。
圖-2 開啟定時升級
在“XXX特征庫定時升級配置”頁麵,配置特征庫定時升級的時間。定時升級配置存在抖動時間(即實際自動升級開始時間的偏差範圍),取值為指定的定時升級時間的前後一小時。
圖-3 特征庫定時升級配置
單擊<確定>,此特征庫定時升級時間即可配置成功。
- 2025-07-16回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論