- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-IPS配置
本章节下载: 03-IPS配置 (387.85 KB)
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
IPS具有以下功能:
· 深度防护:可以检测报文应用层的内容,以及对网络数据流进行协议分析和重组,并根据检测结果来对报文做出相应的处理。
· 实时防护:实时检测流经设备的网络流量,并对入侵活动和攻击性网络流量进行实时拦截。
· 全方位防护:可以对多种攻击类型提供防护措施,例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。
· 内外兼防:对经过设备的流量都可以进行检测,不仅可以防止来自企业外部的攻击,还可以防止发自企业内部的攻击。
设备基于IPS策略对报文进行IPS处理。IPS策略中定义了匹配报文的IPS特征和处理报文的IPS动作。
IPS特征用来描述网络中的攻击行为的特征,设备通过将报文与IPS特征进行比较来检测和防御攻击。IPS特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选IPS特征。
设备支持以下两种类型的IPS特征:
· 预定义IPS特征:系统中的IPS特征库自动生成。设备不支持对预定义IPS特征的内容进行创建、修改和删除。
· 自定义IPS特征:管理员在设备上手工创建。通常新的网络攻击出现后,与其对应的攻击特征会出现的比较晚一些。如果管理员已经掌握了新网络攻击行为的特点,可以通过自定义方式创建IPS特征,及时阻止网络攻击,否则,不建议用户自定义IPS特征。
IPS动作是指设备对匹配上IPS特征的报文做出的处理。IPS处理动作包括如下几种类型:
· 重置:通过发送TCP的reset报文断开TCP连接。
· 重定向:把符合特征的报文重定向到指定的Web页面上。
· 源阻断:阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能(由blacklist global enable开启),则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
· 丢弃:丢弃符合特征的报文。
· 放行:允许符合特征的报文通过。
· 捕获:捕获符合特征的报文。
· 生成日志:对符合特征的报文生成日志信息。
IPS处理流程如图1-1所示:
图1-1 IPS数据处理流程图
IPS功能是通过在DPI应用profile中引用IPS策略,并在安全策略或对象策略中引用DPI应用profile来实现的,IPS处理的具体实现流程如下:
(1) 设备收到报文后,首先与IP黑名单匹配:
¡ 如果匹配成功,则直接丢弃报文。
¡ 如果匹配失败,则进入步骤2。
(2) 设备对报文进行规则(即安全策略规则或对象策略规则)匹配:
如果规则引用了IPS业务,设备将对匹配了规则的报文进行深度内容检测:首先,识别报文的协议,然后根据协议分析方案进行更精细的分析,并深入提取报文特征。
有关安全策略规则的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。
(3) 设备将提取的报文特征与IPS特征进行匹配,并进行如下处理:
¡ 如果报文未与任何IPS特征匹配成功,则设备对报文执行允许动作。
¡ 如果报文只与一个IPS特征匹配成功,则根据此特征中指定的动作进行处理。
¡ 如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为:重置 > 重定向 >丢弃 > 允许。但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行。
IPS特征库是用来对经过设备的应用层流量进行病毒检测和防御的资源库。随着网络攻击不断的变化和发展,需要及时升级设备中的IPS特征库,同时设备也支持IPS特征库回滚功能。
IPS特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的IPS特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的IPS特征库。
· 手动离线升级:当设备无法自动获取IPS特征库时,需要管理员先手动获取最新的IPS特征库,再更新设备本地的IPS特征库。
如果管理员发现设备当前IPS特征库对报文进行检测和防御网络攻击时,误报率较高或出现异常情况,则可以将其进行回滚到出厂版本和上一版本。
IPS功能需要安装License才能使用。License过期后,IPS功能可以采用设备中已有的IPS特征库正常工作,但无法升级到比当前版本高的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
IPS配置任务如下:
(1) 创建IPS策略
(2) 配置筛选IPS特征的属性
(3) 配置IPS动作
(4) 配置IPS引用的应用层检测引擎动作参数profile
(6) 激活IPS策略配置
(7) 在安全策略中引用IPS业务
(8) 在对象策略中引用IPS业务
(9) 配置IPS特征库升级和回滚
(10) (可选)导入和删除自定义IPS特征
缺省情况下,IPS策略将使用当前设备上所有处于生效状态的IPS特征与报文进行匹配,并对匹配成功的报文执行IPS特征属性中的动作。管理员可根据实际需求,在新建的IPS策略中,将IPS特征的属性作为过滤条件,筛选出需要与报文进行匹配的IPS特征,并配置IPS特征动作。
(1) 进入系统视图。
system-view
(2) 创建IPS策略,并进入IPS策略视图。
ips policy policy-name
缺省情况下,存在一个缺省IPS策略,名称为default,且不能被修改或删除。
IPS策略将筛选出匹配所有已配置属性的特征,如果属性中配置了多个参数,则IPS特征至少需要匹配上其中一个参数,才表示匹配上该属性。
(1) 进入系统视图。
system-view
(2) 进入IPS策略视图。
ips policy policy-name
(3) 配置筛选IPS特征的属性。
¡ 配置筛选IPS特征的保护对象属性。
protect-target { target [ subtarget | all ] }
缺省情况下,IPS策略匹配所有保护对象的特征。
¡ 配置筛选IPS特征的攻击分类属性。
attack-category { category [ subcategory ] | all }
缺省情况下,IPS策略匹配所有攻击分类的特征。
¡ 配置筛选IPS特征的动作属性。
action { block-source | drop | permit | reset } *
缺省情况下,IPS策略匹配所有动作的特征。
¡ 配置筛选IPS特征的方向属性。
object-dir { client | server } *
缺省情况下,IPS策略匹配所有方向的特征。
¡ 配置筛选IPS特征的严重级别属性。
severity-level { critical | high | low | medium } *
缺省情况下,IPS策略匹配所有严重级别的特征。
缺省情况下,新建IPS策略执行特征属性中的动作。管理员也可以根据实际网络需求,为IPS策略中所有特征配置统一的动作,或者为指定的特征配置动作。
设备对以上动作执行的优先级为:IPS策略中为指定特征配置的动作 > IPS策略为所有特征配置的统一动作 > IPS特征自身属性的动作。
(1) 进入系统视图。
system-view
(2) 进入IPS策略视图。
ips policy policy-name
(3) 配置IPS策略中所有特征的统一动作。
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
缺省情况下,IPS策略执行特征属性中的动作。
(4) (可选)修改IPS策略中指定特征的动作和生效状态。
signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }
缺省情况下,预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。
缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改。
每类IPS动作的具体执行参数由应用层检测引擎动作参数profile来定义,该profile的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
如果IPS引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值。
(1) 进入系统视图。
system-view
(2) 配置IPS引用的应用层检测引擎动作参数profile。
ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name
缺省情况下,IPS未引用应用层检测引擎动作参数profile。
DPI应用profile是一个安全业务的配置模板,为实现IPS功能,必须在DPI应用profile中引用指定的IPS策略。
一个DPI应用profile中只能引用一个IPS策略,如果重复配置,则新的配置会覆盖已有配置。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用IPS策略。
ips apply policy policy-name mode { protect | alert }
缺省情况下,DPI应用profile中未引用IPS策略。
当IPS的策略被创建、修改和删除后,需要配置此功能使其策略配置生效。
配置此功能会暂时中断所有DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活IPS策略配置。
inspect activate
缺省情况下,IPS策略被创建、修改和删除时不生效。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | name name } *
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
(1) 进入系统视图。
system-view
(2) 进入对象策略视图。
object-policy { ip | ipv6 } object-policy-name
(3) 在对象策略规则中引用DPI应用profile。
rule [ rule-id ] inspect app-profile-name
缺省情况下,在对象策略规则中未引用DPI应用profile。
(4) 退回系统视图。
quit
(5) 创建安全域间实例,并进入安全域间实例视图。
zone-pair security source source-zone-name destination destination-zone-name
有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域”。
(6) 应用对象策略。
object-policy apply { ip | ipv6 } object-policy-name
缺省情况下,安全域间实例内不应用对象策略。
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响IPS业务的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)IPS特征库时,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级IPS特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的IPS特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级IPS特征库功能,并进入自动在线升级配置视图。
ips signature auto-update
缺省情况下,定期自动在线升级IPS特征库功能处于关闭状态。
(3) 配置定期自动在线升级IPS特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间自动升级IPS特征库。
(4) (可选)开启IPS特征文件自动覆盖功能。
override-current
缺省情况下,设备定期自动在线升级IPS特征库时会将当前的特征库文件备份为上一版本。
当管理员发现H3C官方网站上的特征库服务专区中的IPS特征库有更新时,可以选择立即自动在线升级方式来及时升级IPS特征库版本。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级IPS特征库。
ips signature auto-update-now
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级IPS特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的IPS特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的IPS特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用主控板上,否则设备升级特征库会失败。(独立运行模式)
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(IRF模式)
(1) 进入系统视图。
system-view
(2) 手动离线升级IPS特征库。
ips signature update [ override-current ] file-path
IPS特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前IPS特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(1) 进入系统视图。
system-view
(2) 回滚IPS特征库。
ips signature rollback { factory | last }
当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征。导入的IPS特征文件内容会自动覆盖系统中所有的自定义IPS特征。
目前仅支持以Snort文件导入的方式生成自定义IPS特征,Snort文件需要遵循Snort公司的语法。
(1) 进入系统视图。
system-view
(2) 导入自定义IPS特征。
ips signature import snort file-path
(1) 进入系统视图。
system-view
(2) 删除导入的所有导入的自定义IPS特征。
ips signature remove snort
完成上述配置后,在任意视图下执行display命令可以显示配置后IPS的运行情况,通过查看显示信息验证配置的效果。
表1-1 IPS显示和维护
|
操作 |
命令 |
|
显示IPS策略信息 |
display ips policy policy-name |
|
显示IPS特征库版本信息 |
display ips signature library |
|
显示IPS特征属性列表 |
display ips signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] * |
|
显示指定IPS特征的详细属性 |
display ips signature { pre-defined | user-defined } signature-id |
|
显示IPS自定义特征解析失败的信息 |
display ips signature user-defined parse-failed |
如图1-2所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省IPS策略对用户数据报文进行IPS防御。
图1-2 在安全策略中引用缺省IPS策略配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为ipsfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address ipsfilter
[Device-obj-grp-ip-ipsfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-ipsfilter] quit
(4) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用缺省IPS策略default,并指定该IPS策略的模式为protect。
[Device-app-profile-sec] ips apply policy default mode protect
[Device-app-profile-sec] quit
# 激活IPS策略配置。
[Device] inspect activate
(5) 配置安全策略引用IPS业务
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为ipsfilter的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组ipsfilter、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。
[Device-security-policy-ip] rule name ipsfilter
[Device-security-policy-ip-10-ipsfilter] source-zone trust
[Device-security-policy-ip-10-ipsfilter] source-ip ipsfilter
[Device-security-policy-ip-10-ipsfilter] destination-zone untrust
[Device-security-policy-ip-10-ipsfilter] action pass
[Device-security-policy-ip-10-ipsfilter] profile sec
[Device-security-policy-ip-10-ipsfilter] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,使用缺省IPS策略可以对已知攻击类型的网络攻击进行防御。比如GNU_Bash_Local_Memory_Corruption_Vulnerability(CVE-2014-718)类型的攻击报文经过Device设备时,Device会匹配该报文,并对报文按照匹配成功的IPS特征的动作(reset和logging)进行处理。
如图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 将编号为2的预定义IPS特征的动作改为丢弃并进行报文捕获和生成日志。
· 禁用编号为4的预定义IPS特征。
· 使编号为6的预定义IPS特征生效。
图1-3 在安全策略中引用自定义IPS策略配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为ipsfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address ipsfilter
[Device-obj-grp-ip-ipsfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-ipsfilter] quit
(4) 配置IPS策略
# 创建一个名称为ips1的IPS策略,并进入IPS策略视图。
[Device] ips policy ips1
# 配置IPS策略保护所有对象。
[Device-ips-policy-ips1] protect-target all
# 将编号为2的预定义IPS特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息。
[Device-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging
# 禁用编号为4的预定义IPS特征。
[Device-ips-policy-ips1] signature override pre-defined 4 disable
# 使编号为6的预定义IPS特征生效。
[Device-ips-policy-ips1] signature override pre-defined 6 enable
[Device-ips-policy-ips1] quit
(5) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用IPS策略ips1,并指定该IPS策略的模式为protect。
[Device-app-profile-sec] ips apply policy ips1 mode protect
[Device-app-profile-sec] quit
# 激活IPS策略配置。
[Device] inspect activate
(6) 配置安全策略引用IPS业务
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为ipsfilter的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组ipsfilter、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。
[Device-security-policy-ip] rule name ipsfilter
[Device-security-policy-ip-10-ipsfilter] source-zone trust
[Device-security-policy-ip-10-ipsfilter] source-ip ipsfilter
[Device-security-policy-ip-10-ipsfilter] destination-zone untrust
[Device-security-policy-ip-10-ipsfilter] action pass
[Device-security-policy-ip-10-ipsfilter] profile sec
[Device-security-policy-ip-10-ipsfilter] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,在IPS策略ips1中可看到以上有关IPS策略的配置。
如图1-4所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的IPS特征库文件ips-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为ips和123。现需要手动离线升级IPS特征库,加载最新的IPS特征。
图1-4 手动离线升级IPS特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置安全策略保证Device与DMZ安全域之间互通
# 向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为update的安全策略规则,过滤条件为:源安全域Local和DMZ、目的安全域DMZ和Local,动作为允许。
[Device-security-policy-ip] rule name update
[Device-security-policy-ip-11-update] source-zone local
[Device-security-policy-ip-11-update] source-zone dmz
[Device-security-policy-ip-11-update] destination-zone dmz
[Device-security-policy-ip-11-update] destination-zone local
[Device-security-policy-ip-11-update] action pass
[Device-security-policy-ip-11-update] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(3) 手动升级IPS特征库
# 采用FTP方式手动离线升级设备上的IPS特征库,且被加载的IPS特征库文件名为ips-1.0.8-encrypt.dat。
[Device] ips signature update ftp://ips:123@192.168.2.4/ips-1.0.8-encrypt.dat
IPS特征库升级后,可以通过display ips signature library命令查看当前特征库的版本信息。
如图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,定期自动在线升级设备的IPS特征库。
图1-5 定时自动升级IPS特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置设备解析H3C官方网站对应IP地址的域名解析功能(略)
(3) 配置安全策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)
(4) 配置定期自动在线升级IPS特征库
# 开启设备自动升级IPS特征库功能,并进入自动升级配置视图。
<Device> system-view
[Device] ips signature auto-update
[Device-ips-autoupdate]
# 设置定时自动升级IPS特征库计划为:每周六上午9:00:00自动升级,抖动时间为60分钟。
[Device-ips-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-ips-autoupdate] quit
设置的定期自动在线升级IPS特征库时间到达后,可以通过display ips signature library命令查看当前特征库的版本信息。
如图1-6所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省IPS策略对用户数据报文进行IPS防御。
图1-6 在对象策略中引用缺省IPS策略配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为ipsfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address ipsfilter
[Device-obj-grp-ip-ipsfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-ipsfilter] quit
(4) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用缺省IPS策略default,并指定该IPS策略的模式为protect。
[Device-app-profile-sec] ips apply policy default mode protect
[Device-app-profile-sec] quit
# 激活IPS策略配置。
[Device] inspect activate
(5) 配置对象策略引用IPS业务
# 创建名为ipsfilter的IPv4对象策略,并进入对象策略视图。
[Device] object-policy ip ipsfilter
# 对源IP地址对象组ipsfilter对应的报文进行深度检测,引用的DPI应用profile为sec。
[Device-object-policy-ip-ipsfilter] rule inspect sec source-ip ipsfilter destination-ip any
[Device-object-policy-ip-ipsfilter] quit
# 配置安全域间实例并应用对象策略,创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组ipsfilter对应的报文进行深度检测的对象策略ipsfilter。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip ipsfilter
[Device-zone-pair-security-Trust-Untrust] quit
以上配置生效后,使用缺省IPS策略可以对已知攻击类型的网络攻击进行防御。比如GNU_Bash_Local_Memory_Corruption_Vulnerability(CVE-2014-718)类型的攻击报文经过Device设备时,Device会匹配该报文,并对报文按照匹配成功的IPS特征的动作(reset和logging)进行处理。
如图1-7所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 将编号为2的预定义IPS特征的动作改为丢弃并进行报文捕获和生成日志。
· 禁用编号为4的预定义IPS特征。
· 使编号为6的预定义IPS特征生效。
图1-7 在对象策略中引用自定义IPS策略配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为ipsfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address ipsfilter
[Device-obj-grp-ip-ipsfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-ipsfilter] quit
(4) 配置IPS策略
# 创建一个名称为ips1的IPS策略,并进入IPS策略视图。
[Device] ips policy ips1
# 配置IPS策略保护所有对象。
[Device-ips-policy-ips1] protect-target all
# 将编号为2的预定义IPS特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息。
[Device-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging
# 禁用编号为4的预定义IPS特征。
[Device-ips-policy-ips1] signature override pre-defined 4 disable
# 使编号为6的预定义IPS特征生效。
[Device-ips-policy-ips1] signature override pre-defined 6 enable
[Device-ips-policy-ips1] quit
(5) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用IPS策略ips1,并指定该IPS策略的模式为protect。
[Device-app-profile-sec] ips apply policy ips1 mode protect
[Device-app-profile-sec] quit
# 激活IPS策略配置。
[Device] inspect activate
(6) 配置对象策略引用IPS业务
# 创建名为ipsfilter的IPv4对象策略,并进入对象策略视图。
[Device] object-policy ip ipsfilter
# 对源IP地址对象组ipsfilter对应的报文进行深度检测,引用的DPI应用profile为sec。
[Device-object-policy-ip-ipsfilter] rule inspect sec source-ip ipsfilter destination-ip any
[Device-object-policy-ip-ipsfilter] quit
(7) 配置安全域间实例并应用对象策略
# 配置安全域间实例并应用对象策略,创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组ipsfilter对应的报文进行深度检测的对象策略ipsfilter。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip ipsfilter
[Device-zone-pair-security-Trust-Untrust] quit
以上配置生效后,在IPS策略ips1中可看到以上有关IPS策略的配置。
如图1-8所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的IPS特征库文件ips-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为ips和123。现需求手动离线升级IPS特征库,加载最新的IPS特征。
图1-8 基于对象策略手动离线升级IPS特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置安全域间实例保证Device与FTP服务器互通
# 配置ACL 2001,定义规则允许所有报文通过。
<Device> system-view
[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit
[Device-acl-ipv4-basic-2001] quit
# 向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
# 创建源安全域Local到目的安全域DMZ的安全域间实例,允许Local域用户访问DMZ域的报文可以通过。
[Device] zone-pair security source local destination dmz
[Device-zone-pair-security-Local-DMZ] packet-filter 2001
[Device-zone-pair-security-Local-DMZ] quit
# 创建源安全域DMZ到目的安全域Local的安全域间实例,允许DMZ域用户访问Local域的报文可以通过。
[Device] zone-pair security source dmz destination local
[Device-zone-pair-security-DMZ-Local] packet-filter 2001
[Device-zone-pair-security-DMZ-Local] quit
(3) 手动升级IPS特征库
# 采用FTP方式手动离线升级设备上的IPS特征库,且被加载的IPS特征库文件名为ips-1.0.8-encrypt.dat。
[Device] ips signature update ftp://ips:123@192.168.2.4/ips-1.0.8-encrypt.dat
IPS特征库升级后,可以通过display ips signature library命令查看当前特征库的版本信息。
如图1-9所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,定期自动在线升级设备的IPS特征库。
图1-9 基于对象策略定时自动升级IPS特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置设备解析H3C官方网站对应IP地址的域名解析功能(略)
(3) 配置对象策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)
(4) 配置定期自动在线升级IPS特征库
# 开启设备自动升级IPS特征库功能,并进入自动升级配置视图。
<Device> system-view
[Device] ips signature auto-update
[Device-ips-autoupdate]
# 设置定时自动升级IPS特征库计划为:每周六上午9:00:00自动升级,抖动时间为60分钟。
[Device-ips-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-ips-autoupdate] quit
设置的定期自动在线升级IPS特征库时间到达后,可以通过display ips signature library命令查看当前特征库的版本信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
