- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
19-入侵防御及病毒防护配置指导
本章节下载: 19-入侵防御及病毒防护配置指导 (337.17 KB)
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障。
入侵防御涉及以下概念:
· 规则模板:规则模板是一个或多个规则的集合,规则模板分为预定义规则模板、派生规则模板和自定义规则模板。
预定义规则模板由系统自动创建,其中包含的规则以及每条规则的配置(阻断、抓包等)也都由系统预先设定,规则不允许增加或删除,每条规则的配置也不允许修改。预定义规则模板包括以下四个:
¡ ALL:包含全部规则
¡ Webserver:Web规则模板
¡ Windows:包含Windows系统漏洞规则
¡ Unix-like:包含Unix、Linux系统漏洞规则
派生规则模板由预定义规则模板派生而来,其中包含的规则与对应的预定义规则模板相同,也是不允许增加或删除,但是可以修改每条规则的配置。派生规则模板由用户根据需要手动派生创建,派生规则模板不可以再派生。
自定义规则模板完全由用户自己定义创建,其中包含的规则以及配置都可以随意修改。
· 规则:规则除了包含有检测攻击的特征之外,还有规则严重程度、规则状态、日志、阻断、隔离、抓包,CVE、CNNVD、操作系统、发布年份、厂商,操作。一条规则可以属于多个规则模板。
入侵防御安全引擎提供自定义规则功能,通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与、逻辑或形成多条件匹配的方式实现入侵防御。安全管理员可以使用自定义规则功能,自己写签名进行防护。自定义规则检测是基于流检测的,支持多种协议字段,其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP协议。对于字符串字段,可支持正则和非正则匹配的方式。
入侵防御的配置思路:
(1) 配置规则模板,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的规则模板,也可以自定义新的规则模板。
(2) 配置安全控制策略,在控制策略中配置入侵防御,引用已经配置的规则模板,对命中安全策略的流量做入侵防御相关的检测。
按表1-1所示步骤配置IPS模板:
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
— |
|
配置事件集名称 |
ips template NAME |
必选 |
|
配置事件集描述 |
description description |
可选 缺省情况下可不配置。 |
|
添加规则 |
Rule ID |
可选 |
事件id为系统预定义,不对用户公开,每个事件对应了一个唯一的id,命令行只是作为配置恢复使用,本文档进行简单介绍,不建议使用命令行来进行事件的配置。
安全策略通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与和逻辑或形成多条件匹配的方式实现入侵防御。
按表1-2所示步骤配置HTTP协议检测:
表1-2 IPS协议异常检测配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入模板视图 |
Ips template NAME |
必选 |
|
开启、关闭HTTP协议检测 |
proto-check http { enable | disable } |
— |
|
开启/关闭检测 |
proto-check http (urllen-check | headerlen-check | host-check | version-check | dirlen-check) (enable | disable) |
— |
|
配置url/请求长度检测 |
proto-check http (urllen-check | headerlen-check) length <64-4096> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
— |
|
配置host/version字段检测 |
proto-check http (host-check | version-check) action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
— |
|
配置目录长度检测 |
proto-check http dirlen-check length <8-512> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
— |
按表1-2所示步骤配置DNS协议检测:
表1-3 IPS协议异常检测配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入模板视图 |
Ips template NAME |
必选 |
|
开启、关闭DNS协议检测 |
proto-check dns (enable | disable) |
|
|
开启/关闭检测 |
proto-check dns (namelen-check | namelegal-check) (enable | disable) |
|
|
配置域名长度检测 |
proto-check dns namelen-check length <1-1024> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
|
|
配置域名字符检测 |
proto-check dns namelegal-check action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
|
按表1-2所示步骤配置FTP协议检测:
表1-4 IPS协议异常检测配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入模板视图 |
Ips template NAME |
必选 |
|
开启、关闭DNS协议检测 |
proto-check ftp (enable | disable) |
|
|
开启/关闭检测 |
proto-check ftp (cmdlen-check | paralen-check) (enable | disable) |
|
|
配置命令行长度检测 |
proto-check ftp cmdlen-check length <2-128> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
|
|
配置命令参数长度检测 |
proto-check ftp paralen-check length <2-1024> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
|
按表1-2所示步骤配置SMTP|POP3协议检测:
表1-5 IPS协议异常检测配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入模板视图 |
Ips template NAME |
必选 |
|
开启、关闭SMTP|POP3协议检测 |
proto-check {smtp/pop3} (enable | disable) |
|
|
开启/关闭检测 |
proto-check (smtp | pop3) (contentlen-check | filenamelen-check) (enable | disable) |
|
|
配置文本行长度检测 |
proto-check (smtp | pop3) contentlen-check length <64-2048> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
|
|
配置附件文件名长度检测 |
proto-check (smtp | pop3) filenamelen-check length <1-512> action (deny | permit) log (alert | warning | notice | info | ignore) capture (on | off) |
|
ips-custom rule命令用来增加入侵检测自定义规则并进入ips-custom视图,如果指定的入侵检测自定义规则已经存在,则直接进入ips-custom视图。
按表1-6所示配置IPS自定义规则:
表1-6 配置IPS自定义规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置自定义规则名称 |
ips-custom rule name |
必选 |
|
配置严重程度 |
priority (critical | high | medium | low) |
必选 |
|
配置方向 |
match direction (to_client | to_server | both) |
必选 |
|
配置ip协议号 |
ip proto {equal | unequal } <0-255> |
必选 |
|
配置匹配规则 |
check <0-7> |
必选 |
|
配置ip协议匹配规则的负载长度 |
ip length {equal | greater | less } <0-65535> |
必选 |
|
配置ip协议匹配规则的负载 |
ip payload contain info |
必选 |
|
配置ip协议匹配规则的源地址 |
ip saddr {equal | greater | less } {ipv4-ip|ipv6-ip} |
必选 |
|
配置ip协议匹配规则的目的地址 |
ip saddr {equal | greater | less } {ipv4-ip|ipv6-ip} |
必选 |
|
|
|
|
|
配置tcp协议匹配规则的负载长度 |
tcp length {equal | greater | less } <0-65535> |
必选 |
|
配置tcp协议匹配规则的负载 |
tcp payload contain info |
必选 |
|
配置tcp协议源端口号 |
tcp sport {equal | unequal | greater } <0-65535> |
必选 |
|
配置tcp协议源端口号 |
tcp dport {equal | unequal | greater } <0-65535> |
必选 |
|
配置udp协议匹配规则的负载长度 |
udp length {equal | greater | less } <0-65535> |
必选 |
|
配置udp协议匹配规则的负载 |
udp payload contain info |
必选 |
|
配置udp协议源端口号 |
udp sport {equal | unequal | greater } <0-65535> |
必选 |
|
配置udp协议源端口号 |
udp dport {equal | unequal | greater } <0-65535> |
必选 |
|
配置icmp协议代码 |
icmp code {equal | unequal | greater} <0-255> |
必选 |
|
配置icmp协议负载长度 |
icmp length {equal | greater | less} <0-65535> |
必选 |
|
配置icmp协议负载 |
icmp payload {contain | regular} |
必选 |
|
配置icmp协议类型 |
icmp type {equal | unequal | greater} <0-255> |
必选 |
|
配置http协议各字段匹配的长度 |
http {method | version | url | host| cookie| header| user-agent} length {equal | greater | less} <0-65535> |
必选 |
|
配置http协议各字段匹配的负载内容 |
http {url | host | cookie | header | user-agent} {contain | regular} |
必选 |
|
配置http协议方法内容 |
http method {equal | unequal} {get|head|put|delete|post|options|trace|connect} |
必选 |
|
配置ftp命令或命令参数内容 |
ftp {cmd | cmd-parameter} {contain | regular} |
必选 |
|
配置ftp命令或命令参数长度 |
ftp {cmd | cmd-parameter} length {equal | greater | less} <0-65535> |
必选 |
|
配置pop3命令或命令参数内容 |
pop3 {cmd | cmd-parameter} {contain | regular} |
必选 |
|
配置pop3命令或命令参数长度 |
pop3 {cmd | cmd-parameter} length {equal | greater | less} <0-65535> |
必选 |
|
配置smtp命令或命令参数内容 |
smtp {cmd | cmd-parameter} {contain | regular} |
必选 |
|
配置smtp命令或命令参数长度 |
smtp {cmd | cmd-parameter} length {equal | greater | less} <0-65535> |
必选 |
在IPS实际的使用场景中,攻击者往往会使用逃避技术来掩盖攻击,从而避免被IPS设备发现。如果安全产品未能识别出逃避行为,本来能够防护的漏洞就会轻易被绕过,鉴于此设备增加了IPS防逃避能力,提高对IPS逃避行为的检测能力。此功能只有进入IPS流程后,才能进入IPS防逃避流程。
目前支持FTP防逃避、URL防逃避、HTML防逃避检测,只支持命令行。
按下表所示防逃避命令参数配置:
表1-7 防逃避命令参数配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置使能IPS防逃避功能需要正规化的字段 |
ips normalize (all|http_header|http_post_form|http_javascript|http_utf_file) |
必选 |
按下表所示步骤在控制策略中开启IPS入侵防御功能:
表1-8 控制策略中配置入侵防御功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入安全策略视图 |
policy id |
必选 如果安全策略id不存在,需要先创建相应的安全策略。 |
|
配置入侵防御策略 |
ips template NAME protection-mode {on|off} |
必选 |
按表1-9所示步骤显示、维护入侵防御配置:
|
操作 |
命令 |
|
显示IPS模板的配置信息 |
display running-config ips |
|
显示控制策略中IPS功能配置信息 |
display running-config policy |
|
显示IPS自定义规则配置信息 |
display running-config ips-custom |
|
显示IPS模板信息 |
display ips template |
|
显示IPS规则类型信息 |
display ips rule type |
在企业出口网关上开启入侵防御功能,防御事件集选择最大事件集,同时配置一条自定义IPS规则,对办公网络内的所有用户进行IPS安全防护。
(1) 配置自定义IPS规则。
host(config)# ips-custom rule ips_define
host(config-ips-custom)# priority medium
host(config-ips-custom)# match direction both
host(config-ips-custom)# check 0
(2) host(config-ips-custom-check)# ip length equal 234创建控制策略,引用最大事件集、并启用自定义IPS规则。
host(config)# policy any any any any any any any always any permit 2
host(config-policy)# ips template All protection-mode on
host(config-policy)# host:WD-D(config-policy)#
测试用户访问存在安全风险的应用,会命中IPS策略,同时报IPS日志。
图1-1 IPS日志界面
随着互联网的飞速发展,计算机病毒种类也越来越多,电脑中病毒后造成的危害越来越大;并且在互联网快速发展的情况下,病毒传播方式多样化,扩散速度非常快。对于企业来说为了保证内网的安全, 需要借助病毒检测和防护功能来实现。把安全设备部署在出口网关处,启用病毒防护功能后会进行实时的病毒扫描,将外来病毒隔离在内网之外,实现工作站被动防御病毒之外的主动病毒防护,当前的病毒防护功能支持对诸如HTTP、FTP、IMAP、POP3、SMTP等应用协议时进行扫描,同时支持对zip、gz、bz2压缩文件进行检测和防护。
按下表所示步骤配置病毒防护:
表2-1 事件集配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置病毒扫描文件类型 |
av scan file { expr | any } { disable | enable } |
必选
|
|
配置启用|禁用压缩文件检测功能 |
av unpack {on | off} |
可选 默认为禁用状态 |
|
配置压缩文件支持检测的最大解压层级 |
av unpack level <5-20> |
可选 默认为5 |
|
配置使能|关闭AV防病毒模块动态计算MD5值 |
av dynamic_md5 (enable|disable) |
可选 |
病毒防护文件类型不配置的情况下,默认对预定义文件列表中的所有文件类型进行检测和防护
按下表所示步骤在控制策略中开启病毒防护功能:
表2-2 控制策略中配置病毒防护功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入安全策略视图 |
policy id |
必选 如果安全策略id不存在,需要先创建相应的安全策略 |
|
开启|禁用入侵防御功能 |
av-profile {enable | disable} |
必选 |
|
配置病毒防护扫描协议类型及防护动作 |
av-profile { http | ftp | imap | pop3 | smtp} {block | pass} |
必选 block:阻断 pass:允许 |
|
开启|禁用病毒防护检测日志 |
av log {on | off} |
必选 |
按下表所示步骤配置病毒防护:
表2-3 病毒防护显示和维护
|
操作 |
命令 |
|
显示病毒防护配置信息 |
display running-config av |
|
显示控制策略中病毒防护功能配置信息 |
display running-config policy |
|
显示病毒防护支持的文件类型 |
display av scan file |
|
显示病毒防护库版本号 |
display av version |
在企业出口网关上开启病毒防护功能,需要支持针对所有文件类型进行检测,同时对支持的应用协议检测出的病毒进行阻断,并发送日志。
(1) 配置病毒防护扫描所有文件类型。
host# system-view
host:(config)# av scan file any enable
(2) 创建控制策略,并启用病毒防护功能。
host:(config)# policy any any any any any any any always any permit 1
host:WD-D(config-policy)# av-profile enable
host:WD-D(config-policy)#av log on
host:WD-D(config-policy)#av scan http block
host:WD-D(config-policy)#av scan ftp block
host:WD-D(config-policy)#av scan imap block
host:WD-D(config-policy)#av scan pop3 block
host:WD-D(config-policy)#av scan smtp block
测试用户访问下载病毒文件,会命中病毒防护策略被阻断,同时报阻断日志。
图2-1 病毒防护日志界面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
