• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

19-入侵防御及病毒防护配置指导

本章节下载 19-入侵防御及病毒防护配置指导  (337.17 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/ACG1000_CG(R6612_E6453)/03/202104/1406843_30005_0.htm

19-入侵防御及病毒防护配置指导


1 入侵防御

1.1  入侵防御简介

随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障。

入侵防御涉及以下概念:

·     规则模板:规则模板是一个或多个规则的集合,规则模板分为预定义规则模板、派生规则模板和自定义规则模板。

预定义规则模板由系统自动创建,其中包含的规则以及每条规则的配置(阻断、抓包等)也都由系统预先设定,规则不允许增加或删除,每条规则的配置也不允许修改。预定义规则模板包括以下四个:

¡     ALL:包含全部规则

¡     Webserver:Web规则模板

¡     Windows:包含Windows系统漏洞规则

¡     Unix-like:包含Unix、Linux系统漏洞规则

派生规则模板由预定义规则模板派生而来,其中包含的规则与对应的预定义规则模板相同,也是不允许增加或删除,但是可以修改每条规则的配置。派生规则模板由用户根据需要手动派生创建,派生规则模板不可以再派生。

自定义规则模板完全由用户自己定义创建,其中包含的规则以及配置都可以随意修改。

·     规则:规则除了包含有检测攻击的特征之外,还有规则严重程度、规则状态、日志、阻断、隔离、抓包,CVE、CNNVD、操作系统、发布年份、厂商,操作。一条规则可以属于多个规则模板。

入侵防御安全引擎提供自定义规则功能,通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与、逻辑或形成多条件匹配的方式实现入侵防御。安全管理员可以使用自定义规则功能,自己写签名进行防护。自定义规则检测是基于流检测的,支持多种协议字段,其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP协议。对于字符串字段,可支持正则和非正则匹配的方式。

 

入侵防御的配置思路:

(1)     配置规则模板,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的规则模板,也可以自定义新的规则模板。

(2)     配置安全控制策略,在控制策略中配置入侵防御,引用已经配置的规则模板,对命中安全策略的流量做入侵防御相关的检测。

1.2  入侵防御模板配置

表1-1所示步骤配置IPS模板:

表1-1 事件集配置

操作

命令

说明

进入系统视图

system-view

配置事件集名称

ips template NAME

必选

配置事件集描述

description description

可选

缺省情况下可不配置。

添加规则

Rule ID

可选

 

注意

事件id为系统预定义,不对用户公开,每个事件对应了一个唯一的id,命令行只是作为配置恢复使用,本文档进行简单介绍,不建议使用命令行来进行事件的配置。

 

1.3  入侵防御协议异常检测配置

安全策略通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与和逻辑或形成多条件匹配的方式实现入侵防御。

1.3.1  配置HTTP协议异常检查

表1-2所示步骤配置HTTP协议检测:

表1-2 IPS协议异常检测配置

操作

命令

说明

进入系统视图

system-view

进入模板视图

Ips template NAME

必选

开启、关闭HTTP协议检测

proto-check http { enable | disable }

开启/关闭检测

proto-check http (urllen-check | headerlen-check | host-check | version-check | dirlen-check) (enable | disable)

配置url/请求长度检测

proto-check http (urllen-check | headerlen-check) length <64-4096> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

配置host/version字段检测

proto-check http (host-check | version-check) action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

配置目录长度检测

proto-check http dirlen-check length <8-512> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

1.3.2  配置DNS协议异常检查

表1-2所示步骤配置DNS协议检测:

表1-3 IPS协议异常检测配置

操作

命令

说明

进入系统视图

system-view

进入模板视图

Ips template NAME

必选

开启、关闭DNS协议检测

proto-check dns  (enable | disable)

 

开启/关闭检测

proto-check dns (namelen-check | namelegal-check) (enable | disable)

 

配置域名长度检测

proto-check dns namelen-check length <1-1024> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

 

配置域名字符检测

proto-check dns namelegal-check action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

 

1.3.3  配置FTP协议异常检查

表1-2所示步骤配置FTP协议检测:

表1-4 IPS协议异常检测配置

操作

命令

说明

进入系统视图

system-view

进入模板视图

Ips template NAME

必选

开启、关闭DNS协议检测

proto-check ftp  (enable | disable)

 

开启/关闭检测

proto-check ftp (cmdlen-check | paralen-check) (enable | disable)

 

配置命令行长度检测

proto-check ftp cmdlen-check length <2-128> action (deny | permit)  log (alert | warning | notice | info | ignore) capture (on | off)

 

配置命令参数长度检测

proto-check ftp paralen-check length <2-1024> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

 

1.3.4  配置SMTP|POP3协议异常检查

表1-2所示步骤配置SMTP|POP3协议检测:

表1-5 IPS协议异常检测配置

操作

命令

说明

进入系统视图

system-view

进入模板视图

Ips template NAME

必选

开启、关闭SMTP|POP3协议检测

proto-check {smtp/pop3}  (enable | disable)

 

开启/关闭检测

proto-check (smtp | pop3) (contentlen-check | filenamelen-check) (enable | disable)

 

配置文本行长度检测

proto-check (smtp | pop3) contentlen-check length <64-2048> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

 

配置附件文件名长度检测

proto-check (smtp | pop3) filenamelen-check length <1-512> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off)

 

 

1.4  入侵防御自定义规则配置

ips-custom rule命令用来增加入侵检测自定义规则并进入ips-custom视图,如果指定的入侵检测自定义规则已经存在,则直接进入ips-custom视图。

表1-6所示配置IPS自定义规则:

表1-6 配置IPS自定义规则

操作

命令

说明

进入系统视图

system-view

配置自定义规则名称

ips-custom rule name

必选

配置严重程度

priority (critical | high | medium | low)

必选

配置方向

match direction (to_client | to_server | both)

必选

配置ip协议号

ip proto {equal | unequal } <0-255>

必选

配置匹配规则

check <0-7>

必选

配置ip协议匹配规则的负载长度

ip length {equal | greater | less } <0-65535>

必选

配置ip协议匹配规则的负载

ip payload contain info

必选

配置ip协议匹配规则的源地址

ip saddr {equal | greater | less } {ipv4-ip|ipv6-ip}

必选

配置ip协议匹配规则的目的地址

ip saddr {equal | greater | less } {ipv4-ip|ipv6-ip}

必选

 

 

 

配置tcp协议匹配规则的负载长度

tcp length {equal | greater | less } <0-65535>

必选

配置tcp协议匹配规则的负载

tcp payload contain info

必选

配置tcp协议源端口号

tcp sport {equal | unequal | greater } <0-65535>

必选

配置tcp协议源端口号

tcp dport {equal | unequal | greater } <0-65535>

必选

配置udp协议匹配规则的负载长度

udp length {equal | greater | less } <0-65535>

必选

配置udp协议匹配规则的负载

udp payload contain info

必选

配置udp协议源端口号

udp sport {equal | unequal | greater } <0-65535>

必选

配置udp协议源端口号

udp dport {equal | unequal | greater } <0-65535>

必选

配置icmp协议代码

icmp code {equal | unequal | greater} <0-255>

必选

配置icmp协议负载长度

icmp length {equal | greater | less} <0-65535>

必选

配置icmp协议负载

icmp payload {contain | regular}

必选

配置icmp协议类型

icmp type {equal | unequal | greater} <0-255>

必选

配置http协议各字段匹配的长度

http {method | version | url | host| cookie| header| user-agent} length {equal | greater | less} <0-65535>

必选

配置http协议各字段匹配的负载内容

http {url | host | cookie | header | user-agent} {contain | regular}

必选

配置http协议方法内容

http method {equal | unequal} {get|head|put|delete|post|options|trace|connect}

必选

配置ftp命令或命令参数内容

ftp {cmd | cmd-parameter} {contain | regular}

必选

配置ftp命令或命令参数长度

ftp {cmd | cmd-parameter} length {equal | greater | less} <0-65535>

必选

配置pop3命令或命令参数内容

pop3 {cmd | cmd-parameter} {contain | regular}

必选

配置pop3命令或命令参数长度

pop3 {cmd | cmd-parameter} length {equal | greater | less} <0-65535>

必选

配置smtp命令或命令参数内容

smtp {cmd | cmd-parameter} {contain | regular}

必选

配置smtp命令或命令参数长度

smtp {cmd | cmd-parameter} length {equal | greater | less} <0-65535>

必选

 

1.5  入侵防御防逃避

在IPS实际的使用场景中,攻击者往往会使用逃避技术来掩盖攻击,从而避免被IPS设备发现。如果安全产品未能识别出逃避行为,本来能够防护的漏洞就会轻易被绕过,鉴于此设备增加了IPS防逃避能力,提高对IPS逃避行为的检测能力。此功能只有进入IPS流程后,才能进入IPS防逃避流程。

目前支持FTP防逃避、URL防逃避、HTML防逃避检测,只支持命令行。

按下表所示防逃避命令参数配置:

表1-7 防逃避命令参数配置

操作

命令

说明

进入系统视图

system-view

配置使能IPS防逃避功能需要正规化的字段

ips normalize (all|http_header|http_post_form|http_javascript|http_utf_file)

必选

 

1.6  控制策略开启入侵防御配置

按下表所示步骤在控制策略中开启IPS入侵防御功能:

表1-8 控制策略中配置入侵防御功能

操作

命令

说明

进入系统视图

system-view

进入安全策略视图

policy id

必选

如果安全策略id不存在,需要先创建相应的安全策略。

配置入侵防御策略

ips template NAME protection-mode {on|off}

必选

 

1.7  入侵防御显示和维护

表1-9所示步骤显示、维护入侵防御配置:

表1-9 入侵防御显示和维护

操作

命令

显示IPS模板的配置信息

display running-config ips

显示控制策略中IPS功能配置信息

display running-config policy

显示IPS自定义规则配置信息

display running-config ips-custom

显示IPS模板信息

display ips template

显示IPS规则类型信息

display ips rule type

 

1.8  入侵防御配置举例

1.8.1  入侵防御配置举例

1. 组网需求

在企业出口网关上开启入侵防御功能,防御事件集选择最大事件集,同时配置一条自定义IPS规则,对办公网络内的所有用户进行IPS安全防护。

2. 配置步骤

(1)     配置自定义IPS规则。

host(config)# ips-custom rule ips_define

host(config-ips-custom)# priority medium

host(config-ips-custom)# match direction both

host(config-ips-custom)# check 0

(2)     host(config-ips-custom-check)# ip length equal 234创建控制策略,引用最大事件集、并启用自定义IPS规则。

host(config)# policy any any any any any any any always any permit 2

host(config-policy)# ips template All protection-mode on

host(config-policy)# host:WD-D(config-policy)#

3. 验证配置

测试用户访问存在安全风险的应用,会命中IPS策略,同时报IPS日志。

图1-1 IPS日志界面

 

2 病毒防护

2.1  病毒防护简介

随着互联网的飞速发展,计算机病毒种类也越来越多,电脑中病毒后造成的危害越来越大;并且在互联网快速发展的情况下,病毒传播方式多样化,扩散速度非常快。对于企业来说为了保证内网的安全, 需要借助病毒检测和防护功能来实现。把安全设备部署在出口网关处,启用病毒防护功能后会进行实时的病毒扫描,将外来病毒隔离在内网之外,实现工作站被动防御病毒之外的主动病毒防护,当前的病毒防护功能支持对诸如HTTP、FTP、IMAP、POP3、SMTP等应用协议时进行扫描,同时支持对zip、gz、bz2压缩文件进行检测和防护。

2.2  病毒防护配置

按下表所示步骤配置病毒防护:

表2-1 事件集配置

操作

命令

说明

进入系统视图

system-view

配置病毒扫描文件类型

av scan file { expr | any } { disable | enable }

必选

 

配置启用|禁用压缩文件检测功能

av unpack {on | off}

可选

默认为禁用状态

配置压缩文件支持检测的最大解压层级

av unpack level <5-20>

可选

默认为5

配置使能|关闭AV防病毒模块动态计算MD5值

av dynamic_md5 (enable|disable)

可选
默认状态为使能状态

 

注意

病毒防护文件类型不配置的情况下,默认对预定义文件列表中的所有文件类型进行检测和防护

 

2.3  控制策略开启病毒防护配置

按下表所示步骤在控制策略中开启病毒防护功能:

表2-2 控制策略中配置病毒防护功能

操作

命令

说明

进入系统视图

system-view

进入安全策略视图

policy id

必选

如果安全策略id不存在,需要先创建相应的安全策略

开启|禁用入侵防御功能

av-profile {enable | disable}

必选

配置病毒防护扫描协议类型及防护动作

av-profile { http | ftp | imap | pop3 | smtp} {block | pass}

必选

block:阻断

pass:允许

开启|禁用病毒防护检测日志

av log {on | off}

必选

 

2.4  病毒防护显示和维护

按下表所示步骤配置病毒防护:

表2-3 病毒防护显示和维护

操作

命令

显示病毒防护配置信息

display running-config av

显示控制策略中病毒防护功能配置信息

display running-config policy

显示病毒防护支持的文件类型

display av scan file

显示病毒防护库版本号

display av version

 

2.5  病毒防护配置举例

2.5.1  病毒防护配置举例

1. 组网需求

在企业出口网关上开启病毒防护功能,需要支持针对所有文件类型进行检测,同时对支持的应用协议检测出的病毒进行阻断,并发送日志。

2. 配置步骤

(1)     配置病毒防护扫描所有文件类型。

host# system-view

host:(config)# av scan file any enable

(2)     创建控制策略,并启用病毒防护功能。

host:(config)# policy any any any any any any any always any permit 1

host:WD-D(config-policy)# av-profile enable

host:WD-D(config-policy)#av log on

host:WD-D(config-policy)#av scan http block

host:WD-D(config-policy)#av scan ftp block

host:WD-D(config-policy)#av scan imap block

host:WD-D(config-policy)#av scan pop3 block

host:WD-D(config-policy)#av scan smtp block

3. 验证配置

测试用户访问下载病毒文件,会命中病毒防护策略被阻断,同时报阻断日志。

图2-1 病毒防护日志界面

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们