登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter CSAP-ATD高级威胁检测产品 典型配置举例(E6701)-5W103

目录

04-网络入侵检测典型配置举例

本章节下载 04-网络入侵检测典型配置举例  (503.14 KB)

04-网络入侵检测典型配置举例

目录

1 简介

2 配置前提

3 使用限制

4 配置举例

4.1 需求描述

4.2 配置思路

4.3 配置步骤

4.4 验证配置

 

1 简介

网络入侵检测功能(IDS),通过高级威胁检测产品内置的IDS检测引擎,以及丰富的入侵检测攻击知识库,对接入的端口镜像流量进行网络入侵检测,发现流量中包含的各种恶意入侵攻击并告警。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解TCP/IP协议原理和IPv4、IPv6基本特性,以及IDS网络入侵检测的基本原理。

3 使用限制

高级威胁检测产品WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。

4 配置举例

4.1  需求描述

(1)     用户只希望检测指定IP范围的流量是否包含恶意入侵攻击;

(2)     用户希望禁用某一类别或某一个具体的网络入侵攻击事件告警(比如误报较高);

4.2  配置思路

(1)     登录Web管理端。

(2)     配置只针对指定IP范围192.168.0.0/16的IPv4流量和所有IPv6流量进行网络入侵攻击检测。

(3)     配置禁用类别为“ActiveX攻击”的网络攻击事件告警;

(4)     配置禁用规则名称为“针对MicroLogix 1100控制器拒绝服务攻击”的网络攻击事件告警;

4.3  配置步骤

(1)     登录Web管理端

如下图所示,打开Chrome浏览器,使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123(采用默认密码登录后必须修改密码并重新登录,方可正常使用WEB管理端),并点击<登录>按钮。

图4-1 登录高级威胁检测产品 Web管理端

 

(2)     配置只针对指定IP范围192.168.0.0/16的IPv4流量和所有IPv6的流量进行网络入侵攻击检测

通过页面上方菜单栏进入“策略 – 检测策略 – 流量检测配置”菜单,默认配置如下图所示;

图4-2 流量检测配置默认配置

“流量检测范围”配置栏包含当前入侵检测引擎对于需要进行网络入侵攻击检测的流量的IP范围过滤,默认为192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,::,即监控IPv4三个标准内网网段流量,以及所有IPv6流量,进行网络入侵攻击检测;

修改“流量检测范围”配置如下图所示,配置内容代表含义为:只针对IP范围为192.168.0.0/16 的IPv4流量和所有的IPv6流量进行网络入侵攻击检测;(注:请注意,代表所有IPv6流量的“::”配置需要保留,如果配置直接修改为 192.168.0.0/16,如下图所示,那么将仅能检测IP范围为192.168.0.0/16 的IPv4流量,所有的IPv6流量将无法进行网络入侵攻击检测)

图4-3 流量检测范围配置

图4-4 只检测IPv4网段的流量检测范围配置

点击<保存>按钮完成配置;

(3)     配置禁用类别为“ActiveX攻击”的网络攻击事件告警

如果发现某一类别的网络攻击事件出现大量误报,可以临时将该类别的网络入侵检测规则禁用;

进入“策略 – 检测策略 – 流量检测配置”菜单,默认配置如图4-2所示;

“流量检测规则项”配置中包含对于网络入侵检测知识库的规则的相关配置,勾选“ActiveX攻击”

类别,点击下方的“x”按钮,如下图所示,可禁用“ActiveX攻击”这一类别的所有规则所能触发的网络攻击事件告警日志;

图4-5 指定规则类别的网络入侵检测禁用

点击<保存>按钮完成配置;

(4)     配置禁用规则名称为“针对MicroLogix 1100控制器拒绝服务攻击”的网络攻击事件告警

如果发现某一个具体的网络攻击事件出现大量误报,可以临时将该网络入侵检测规则禁用;

进入“策略 – 检测策略 – 流量检测配置”菜单,默认配置如图4-2所示;

“流量检测规则项”配置中包含对于网络入侵检测知识库的规则的相关配置,在规则名称搜索栏输入想要禁用的规则名称,如“针对MicroLogix 1100控制器拒绝服务攻击”,点击搜索按钮,即可定位到该规则所在的类别及其位置,点击勾选规则名称前面的勾选框,点击规则类别内下方的“x”按钮,或者规则列表栏内的“状态”按钮,如下图所示,可禁用“针对MicroLogix 1100控制器拒绝服务攻击”这一条规则所能触发的网络攻击事件告警日志;

图4-6 指定规则的网络入侵检测禁用

点击<保存>按钮完成配置;

(5)     配置完成效果图

图4-7 流量检测配置指定监控范围、禁用指定规则配置效果图

 

4.4  验证配置

(1)     高级威胁检测产品正常接入端口镜像流量,从“监控 – 系统监控”菜单页面中的“网络流量监控”趋势图确认流量已正常接入且流量大小符合预期,如下图所示;

图4-8 网络流量监控趋势图

(2)     查看“事件日志 – 基础事件 – 网络攻击事件”菜单页面,仅存在IPv4地址为192.168.0.0/16网段的网络攻击事件记录,以及任意IPv6地址的网络攻击事件记录,如下图所示,符合预期;(注:流量检测的IPv4、IPv6地址范围过滤,具体作用于源还是目的IP,取决于检测规则所着重的被攻击方,因此,流量中源或目的IP地址任一在检测IP范围内,都有可能产生网络攻击事件)

图4-9 网络攻击事件效果验证

(3)     查看“事件日志 – 基础事件 – 网络攻击事件”菜单页面,不再存在威胁种类为“ActiveX攻击”的网络攻击事件,如图4-9,符合预期。

(4)     查看“事件日志 – 基础事件 – 网络攻击事件”菜单页面,不再存在威胁名称为“针对MicroLogix 1100控制器拒绝服务攻击”的网络攻击事件,如图4-9,符合预期。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们