选择区域语言: EN CN HK

H3C SecPath U系列统一威胁管理产品 UTM深度检测功能Web配置手册-5PW103

07-IPS

本章节下载  (553.93 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Configure/User_Manual/H3C_SecPath_U_UTM_SDJC_Web-5PW103/201207/749514_30005_0.htm

07-IPS


1 IPS

1.1  概述

IPSIntrusion Prevention System,入侵防御系统)以在线方式运行于网络主干上。用户通过配置IPS策略可以实现对网络流量进行实时分析,自动识别异常流量;并对异常流量执行预先定义的动作,例如阻断、隔离源地址或者干扰,以预防可疑程序代码入侵受保护的对象。

1.2  配置IPS

1.2.1  配置概述

IPS配置的推荐步骤如1-1所示。IPS模块还提供了IPS策略的快捷配置途径,以简化用户的配置过程,方便用户的操作。详细配置请参见“1.2.6  配置IPS策略快捷应用”。

表1-1 IPS配置步骤

步骤

配置任务

说明

1

1.2.2  创建IPS策略

可选

创建一个IPS策略,并从一个已存在的策略中拷贝规则

缺省情况下,存在名为“Attack Policy”的IPS策略,该策略可以修改、拷贝和设置与段关联,但不允许删除

2

配置策略中的规则

1.2.3  配置预定义规则

可选

IPS策略中的预定义规则(即拷贝来的规则)进行修改,或者配置用户自定义的规则

l      缺省情况下,默认IPS策略“Attack Policy”中存在规则,这些规则不允许修改和删除,具体内容请以界面显示为准

l      缺省情况下,IPS策略中不存在自定义规则

1.2.4  配置自定义规则

3

1.2.5  在段上应用IPS策略

必选

对指定段或段内的特定IP地址应用IPS策略

 

4

配置激活

必选

将策略、规则、策略应用等的配置激活,使配置生效

(1)      系统中有两类配置,配置完成后直接生效的为A类配置,配置完成后需要进行激活操作才能生效的为B类配置

(2)      所有B类配置的相关页面都有<激活>按钮,单击任何一个<激活>按钮,都会将所有的B类配置激活。建议用户完成所需的B类配置后,再单击<激活>按钮统一激活

 

1.2.2  创建IPS策略

在导航栏中选择“IPS > 策略管理”,进入IPS策略的显示页面,如1-1所示。单击<创建策略>按钮,进入创建IPS策略的配置页面,如1-2所示。

图1-1 策略管理

 

图1-2 创建策略

 

创建IPS策略的详细配置如1-2所示。

表1-2 创建IPS策略的详细配置

配置项

说明

策略类型

显示当前要创建的策略类型为IPS策略

名称

设置要创建的IPS策略的名称

描述

描述策略的详细信息,如策略的用途等

从指定策略拷贝规则

设置从已存在的IPS策略继承规则到新策略中

当通过在“策略管理”页面中单击某策略所对应的图标进入“创建策略”页面时,此配置项不能配置,默认显示为源策略

 

可点击返回“1-1 IPS配置步骤”。

1.2.3  配置预定义规则

在导航栏中选择“IPS > 预定义规则管理”,进入IPS策略预定义规则的显示页面,如1-3所示。页面上半部分可对IPS策略的名称和描述进行修改;下半部分为所选策略的预定义规则列表,并可根据用户的需要显示符合指定搜索条件的预定义规则。

图1-3 预定义规则管理

 

设置搜索条件,包括攻击ID、名称、分类、级别、默认、动作集、状态和CVECommon Vulnerabilities and Exposures)编号,单击<搜索>按钮,可显示符合搜索条件的预定义规则的列表。

预定义规则列表的详细说明如1-3所示。单击列表中的标题项,可以实现列表信息按标题项排序的功能。

表1-3 预定义规则列表的详细说明

标题项

说明

攻击ID

预定义规则对应的攻击ID

在搜索规则时,若攻击ID设置为“0”或不设置,则表示在所有攻击ID中搜索

名称

预定义规则的名称

在搜索规则时,若不设置名称,则表示在所有名称中搜索;若设置了名称,则表示搜索规则名称中含有指定字符串的规则

分类

预定义规则的分类

级别

匹配该规则的攻击被指定的严重级别

默认

该预定义规则当前是默认状态,还是已经被修改过

动作集

对匹配该规则的攻击所应用的动作集

状态

预定义规则的使能状态

 

选中某条预定义规则前的复选框,可直接在预定义规则管理页面对该预定义规则的动作集和使能状态进行修改:

l              在“请选择一个动作集”配置项中进行选择,单击<修改动作集>按钮,可修改选中预定义规则的动作集。

l              单击<使能规则><禁止规则>按钮,可修改选中预定义规则的使能状态。

l              对于已修改的预定义规则,单击<重置规则>按钮,或直接单击预定义规则对应的图标,可将该规则恢复到默认状态。

也可通过单击某条预定义规则后面的图标,打开该规则的页面,对该规则的使能状态和动作集进行修改,并可查看规则的详细信息和IPS策略的部署情况。预定义规则页面如1-4所示。

l          系统缺省的IPS策略“Attack Policy”中的预定义规则不能被修改,因此其预定义规则页面只能查看信息。

l          “规则”页面的参考参数中可以查看该漏洞的CVE编号、BID编号(网站http://www.securityfocous.com对该漏洞的编号)和微软对该漏洞的编号。其中,CVE编号还提供了到CVE网站的链接功能,点击CVE编号链接即可弹出CVE网站上该漏洞的网页,如“http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1216”;BID编号则直接以网页链接地址的形式给出,如“http://www.securityfocus.com/bid/9122”,点击地址即可弹出相应的网页。

 

图1-4 预定义规则

 

可点击返回“1-1 IPS配置步骤”。

1.2.4  配置自定义规则

在导航栏中选择“IPS > 自定义规则管理”,进入IPS策略自定义规则的显示页面,如图1-5所示。 在页面上方选择一个IPS策略,列表中显示该IPS策略的自定义规则,单击<添加>按钮,进入该IPS策略的自定义规则添加配置页面,如图1-6所示。

图1-5 自定义规则管理

 

图1-6 添加自定义规则

 

添加自定义规则的详细配置如表1-4所示。

表1-4 自定义规则的详细配置

配置项

说明

名称

设置自定义规则的名称

规则描述

设置自定义规则的描述

自定义特征

设置自定义的攻击特征,可以选择配置固定字符串或者正则表达式

单击正则表达式后面的“帮助”链接,会弹出“正则表达式使用说明”页面,指导用户如何配置正则表达式

协议类型

设置自定义特征基于的协议类型

协议方向

设置自定义特征基于的协议方向

分类

设置自定义规则的分类

级别

设置匹配该规则的攻击被指定的严重级别

攻击目标

设置自定义规则的攻击目标

解决方案

设置自定义规则的解决方案

使能状态

设置自定义规则的使能状态

动作集

设置匹配该规则的攻击所应用的动作集

 

可点击返回“表1-1 IPS配置步骤”。

1.2.5  在段上应用IPS策略

在导航栏中选择“IPS > 段策略管理”,进入IPS策略应用的显示页面,如1-7所示。单击<创建策略应用>按钮,进入IPS策略应用的配置页面,如1-8所示。

图1-7 段策略管理

 

图1-8 策略应用

 

在段上应用IPS策略的详细配置如1-5所示。

表1-5 在段上应用IPS策略的详细配置

配置项

说明

设置要应用策略的段ID

 

策略

设置要应用的IPS策略

方向

设置应用IPS策略的数据流的方向,包括内部到外部、双向、外部到内部

内部对应段的内部域,外部对应段的外部域

内部域配置

IP地址列表

设置策略只对内部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

内部域例外IP地址必须包含在内部域IP地址列表中

如果不配置此项,则策略对整个内部域都有效

例外IP地址列表

外部域配置

IP地址列表

设置策略只对外部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

外部域例外IP地址必须包含在外部域IP地址列表中

如果不配置此项,则策略对整个外部域都有效

例外IP地址列表

 

可点击返回“1-1 IPS配置步骤”。

1.2.6  配置IPS策略快捷应用

在导航栏中选择“IPS > 快捷应用”,进入IPS快捷应用的配置页面,展开“规则明细”,如1-9所示。

图1-9 快捷应用

 

IPS策略快捷应用的详细配置如1-6所示。

表1-6 IPS策略快捷应用的详细配置

配置项

说明

名称

设置要创建的IPS策略的名称

要创建的IPS策略的规则从默认IPS策略“Attack Policy”中拷贝

描述

描述策略的详细信息,如策略的用途等

规则明细

状态

根据规则分类设置每类规则的状态

l      选择“推荐”表示保持该分类中规则的缺省状态

l      选择“使能”表示设置该分类中所有规则的状态为使能

l      选择“禁止”表示设置该分类中所有规则的状态为禁止

动作集

根据规则分类设置每类规则的动作集

l      选择“推荐”,表示保持该分类中规则的缺省动作集

l      选择某个具体的动作集,表示设置该分类中所有规则的动作集为指定动作集

段编号

设置要应用该IPS策略的段的编号

 

方向

设置在段上应用IPS策略的数据流的方向,包括内部到外部、双向、外部到内部

内部对应段的内部域,外部对应段的外部域

 

完成上述配置后,可以直接单击<确定 & 激活>按钮使配置生效;也可以先单击<确定>按钮将配置保存到数据库中,待用户需要时再激活。

1.3  IPS典型配置举例

1. 组网需求

l              Device上进行配置,在段0的内部到外部方向上应用IPS策略“RD”。

l              策略“RD”从缺省IPS策略“Attack Policy”中拷贝规则,并修改ID为“150999021”的规则,使能该规则,修改其动作集为“Block+Notify”。

图1-10 IPS配置组网图

 

2. 配置步骤

# 创建一个IPS策略“RD”。

l              在导航栏中选择“IPS > 策略管理”,单击<创建策略>按钮,进行如下配置,如1-11所示。

图1-11 创建策略

 

l              输入名称为“RD”。

l              输入描述为“IPS policy for RD”。

l              选择从指定策略拷贝规则为“Attack Policy”。

l              单击<确定>按钮完成操作。

# 搜索IPS策略“RD”的预定义规则“150999021”,并对其进行修改。

l              完成上述配置后,页面跳转到“IPS > 预定义规则管理”的页面,策略已默认选择为“RD”。进行如下配置,如1-12所示。

图1-12 搜索并修改预定义规则

 

l              输入攻击ID为“150999021”。

l              单击<搜索>按钮,搜索到攻击ID为“150999021”的规则。

l              选中攻击规则“150999021”前的复选框。

l              选择动作集为“Block+Notify”,单击<修改动作集>按钮。

l              单击<使能规则>按钮。

# 在段“0”上应用IPS策略“RD”。

l              在导航栏中选择“IPS > 段策略管理”,单击<创建策略应用>按钮,进行如下配置,如1-13所示。

图1-13 新建段策略

 

l              选择要关联的段为“0”。

l              选择策略为“RD”。

l              选择方向为“内部到外部”。

l              单击<确定>按钮完成操作。

# 将配置激活。

l              完成上述的配置后,页面跳转到段策略的显示页面,如1-14所示。单击<激活>按钮,弹出确认对话框。

l              在确认对话框中单击<确定>按钮后,将配置激活。

图1-14 配置激活

 

1.4  注意事项

配置IPS时需要注意如下事项:

(1)        已经应用到段上的IPS策略不能删除。

(2)        系统预定义的IPS策略和规则不能删除。

(3)        一个报文在一个段上只能匹配一条IPS段策略。当一个段上应用了多个IPS策略,则系统在对报文进行匹配时,会根据段策略中指定的IP地址范围的精确程度,越精确的(即IP地址范围越小的)段策略越优先匹配;当有多个段策略的IP地址范围精确程度相同时,则先配置的段策略优先匹配。


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!