选择区域语言: EN CN HK

H3C SecPath U系列统一威胁管理产品 UTM深度检测功能Web配置手册-5PW103

05-动作管理

本章节下载  (207.22 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Configure/User_Manual/H3C_SecPath_U_UTM_SDJC_Web-5PW103/201207/749512_30005_0.htm

05-动作管理


1 动作管理

1.1  概述

动作管理模块用于对动作和动作集的管理。动作集是一组动作的集合,可以被IPS、带宽和URL等策略引用,用于设置对匹配报文所采取的动作。动作包括阻断动作和通知动作:

l              阻断动作:是指发现攻击后,对攻击报文进行阻断、隔离。阻断动作适用于IPS、带宽管理和URL过滤。

l              通知动作:是指发现攻击后,输出通知信息。通知动作适用于IPS、带宽管理和URL过滤。

1.2  配置动作管理

1.2.1  配置概述

动作管理配置的推荐步骤如表1-1所示。

表1-1 动作管理配置步骤

步骤

配置任务

说明

1

创建动作

1.2.2  创建阻断动作

二者可选其一

创建阻断/通知动作,并配置具体的动作内容

缺省情况下,存在名为Block的阻断动作和名为Notify的通知动作

1.2.3  创建通知动作

2

1.2.4  创建动作集

可选

创建动作集,并配置动作集中所引用的动作

缺省情况下,存在系统预定义的动作集,具体情况如图1-5所示

3

1.2.5  配置报文跟踪上传

可选

系统支持将报文跟踪动作生成的报文跟踪文件上传到TFTP服务器的功能。当配置了正确的TFTP服务器IP地址时,系统会在指定的时机向TFTP服务器上传报文跟踪文件。同时,系统会定时检查磁盘分区,当使用率达到阈值,系统会从最老的报文跟踪文件开始自动进行上传,直到使用率小于阈值

如果在一次上传的过程中某个报文跟踪文件上传失败,则等待下次上传的时机(包括磁盘分区检查)到来时,再进行上传。如果三次上传失败,则系统会将该报文跟踪文件删除

4

配置激活

必选

将动作和动作集等的配置激活,使配置生效

(1)      系统中有两类配置,配置完成后直接生效的为A类配置,配置完成后需要进行激活操作才能生效的为B类配置

(2)      所有B类配置的相关页面都有<激活>按钮,单击任何一个<激活>按钮,都会将所有的B类配置激活。建议用户完成所需的B类配置后,再单击<激活>按钮统一激活

 

1.2.2  创建阻断动作

在导航栏中选择“系统管理 > 动作管理 > 阻断动作列表”,进入阻断动作的显示页面,如图1-1所示。单击<添加阻断动作>按钮,进入创建动作的配置页面,要创建的动作类型默认选择“阻断动作”,如图1-2所示。

图1-1 阻断动作列表

 

图1-2 添加阻断动作

 

创建阻断动作的详细配置如表1-2所示。

表1-2 创建阻断动作的详细配置

配置项

说明

名称

设置阻断动作的名称

描述

描述该阻断动作的功能等内容

TCP reset方式

设置TCP reset报文的发送方式,包括:

l      不发送:表示不发送TCP reset报文

l      向源地址发送:表示向TCP连接的源IP地址发送TCP reset报文

l      向目的地址发送:表示向TCP连接的目的IP地址发送TCP reset报文

l      向双方发送:表示向TCP连接的源和目的IP地址都发送TCP reset报文

HTTP请求

设置对HTTP请求的处理方式,包括:

l      重定向到URL:表示将HTTP请求重定向到指定的URL。选中此项后,需要设置URL地址

l      返回应答页面:表示向HTTP请求的发出方返回应答页面。选中此项后,需要设置返回的应答页面的内容,包括规则描述(即报文所匹配的策略规则的描述信息)和自定义描述(用户可以根据需要自行设置应答内容),二者可以单独使用,也可以结合使用

隔离的持续时间

设置是否对来自源IP的报文进行隔离(即将该源IP加入黑名单),以及隔离的持续时间(即黑名单的生存周期)

l      不隔离:表示不对报文进行隔离

l      加入隔离表:表示对报文隔离指定的时长。选中此项时,需要设置隔离的持续时间

 

可点击返回“表1-1 动作管理配置步骤”。

1.2.3  创建通知动作

在导航栏中选择“系统管理 > 动作管理 > 通知动作列表”,进入通知动作的显示页面,如图1-3所示。单击<添加通知动作>按钮,进入创建动作的配置页面,要创建的动作类型默认选择“通知动作”,如图1-4所示。

图1-3 通知动作列表

 

图1-4 添加通知动作

 

创建通知动作的详细配置如表1-3所示。

表1-3 创建通知动作的详细配置

配置项

说明

名称

设置通知动作的名称

描述

描述该通知动作的功能等内容

通知方式

输出到本地数据库

设置将通知信息输出到本地数据库

Email通知

设置将通知信息用Email的方式通知给用户

Email的地址等参数可以在“日志管理 > 日志配置 >邮件配置”中配置,请参见“UTM深度检测功能Web配置手册  日志管理”

输出到syslog主机

设置将通知信息输出到日志主机,此时需要从日志主机列表框中选择要输出到的日志主机,可以选择多个

日志主机列表框中可选的日志主机由用户手工设置。每条日志主机信息包括日志主机的名称、描述、IP地址和监听端口号(一般为514),设置好这些参数后,单击“<<增加”按钮即可向日志主机列表框中添加该日志主机。可选的日志主机是全局有效的,最多可以配置10个

 

可点击返回“表1-1 动作管理配置步骤”。

1.2.4  创建动作集

在导航栏中选择“系统管理 > 动作管理 > 动作集列表”,进入动作集的显示页面,如图1-5所示。单击<添加动作集>按钮,进入创建动作集的配置页面,如图1-6所示。

图1-5 动作集列表

 

图1-6 添加动作集

 

创建动作集的详细配置如表1-4所示。

表1-4 创建动作集的详细配置

配置项

说明

名称

设置动作集的名称

描述

描述该动作集的功能等内容

选择动作

设置该动作集所引用的动作,包括:

l      允许/阻断:二者必选其一,分别表示允许报文通过、采取阻断动作。如果选择阻断,则需在后面的下拉框中选择一个阻断动作

l      报文跟踪:表示采取对报文进行跟踪的动作,即从报文中捕获一部分数据,形成报文跟踪文件,供分析使用。单击报文跟踪动作名称(缺省情况下为“Packet Trace”)的超链接,打开如图1-7所示的页面,可对报文跟踪动作进行修改,详细说明如表1-5所示

l      通知:表示采取通知动作。如果选择通知,则需在后面的下拉框中选择一个通知动作

l      干扰:当选择“允许”报文通过时,此项可配置,表示允许报文通过,但要在报文中加入干扰信息,使目的方收到错误的报文

(3)      单击报文跟踪动作名称的超链接时,会弹出对话框提示用户“进入新的页面,未保存的修改将会丢失”,单击<确定>按钮,可进入报文跟踪动作的配置页面

(4)      建议不要长时间应用报文跟踪动作。应用报文跟踪动作后,在流量较大的情况下会产生大量报文跟踪文件,占用大量的存储空间,影响设备的正常运行

 

图1-7 报文跟踪动作

 

表1-5 报文跟踪动作的详细配置

配置项

说明

名称

设置报文跟踪动作的名称

描述

描述报文跟踪动作的功能等内容

每报文的最大捕获长度

设置从每个报文中捕获数据的最大长度

每次捕获的最大报文数

设置每个Packet Trace文件最多包含的捕获报文个数

 

可点击返回“表1-1 动作管理配置步骤”。

1.2.5  配置报文跟踪上传

在导航栏中选择“系统管理 > 动作管理 > 报文跟踪上传”,进入如图1-8所示的页面。可以显示和配置报文跟踪上传的相关参数。

图1-8 报文跟踪上传配置

 

报文跟踪上传的详细配置如表1-6所示。

表1-6 报文跟踪上传的详细配置

配置项

描述

TFTP上传

设置是否开启上传报文跟踪文件的功能

TFTP服务器IP地址

设置报文跟踪文件要上传到的TFTP服务器的IP地址

文件上传时机

设置上传报文跟踪文件的时机,有两种:

l      产生后立刻上传:当一个报文跟踪文件中保存的报文个数达到报文跟踪动作中指定的“每次捕获的最大报文数”后,立刻将文件上传

l      每天定点上传:即在一天中的指定整点时刻到达时,遍历系统中所有的报文跟踪文件,统一进行上传

 

可点击返回“表1-1 动作管理配置步骤”。


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!