- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01 安全检测典型配置举例
本章节下载: 01 安全检测典型配置举例 (831.83 KB)
本文档主要介绍安全检测日志的配置过程,通过配置安全检测日志接收服务器,实现日志服务器对IPS、AV、威胁情报日志的接收。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解旁路审计特性。
· 接口已经作为镜像规则接口时不可再配置为其它管理接口。
· 仅支持旁路部署审计。
· 安全日志包括入侵检测日志、病毒检测日志、威胁情报日志仅支持通过syslog方式发送到第三方平台,无前端页面展示日志内容。
· IPv6仅支持应用审计策略模块。
· IPv6日志包括应用审计日志、流量会话日志,仅支持通过syslog方式发送到第三方平台,无前端页面展示日志内容。
如图1-1所示,验证使用交换机镜像互联网流量,验证流量探针对网络攻击检测能力。
说明:
· NTA管理口配置IP地址。
· NTA采集接口采集数据,数据包从交换机镜像到NTA。
按照组网图组网。
(2) 登录NTA。
(3) 新建安全检测规则。
(4) 配置日志服务器。
(5) 配置流量镜像(参考配置)
如图1-2所示,使用https的方式登录NTA,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图1-2 登录H3C NTA
如图1-3所示,进入“业务设置 > 安全策略”,单击“新建”,进入新增策略页面,入侵检测预定义事件集选择最大事件集,病毒检测勾选所有,威胁情报勾选所有,点击<提交>按钮。
如图1-4所示,进入“业务设置 > 数据接口”,启用日志服务器,配置syslog服务器IP地址192.168.199.116。如图1-5所示,进入日志过滤界面,server日志发送选择,除告警日志、arp会话日志、报文统计日志不发送外,其它类型日志全部发送,点击<提交>按钮。
下面以H3C交换机S5152S-EI为例,进行流量镜像的配置,本配置只做参考,不同品牌不同型号的交换机可能存在配置差异。
<Sysname> system-view
[Sysname] mirroring-group 1 local
[Sysname] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 both
[Sysname] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/2
[Sysname] quit
<Sysname> save
以上配置中,1/0/1口为镜像口,1/0/2为监听口,需要将1/0/2接口连接到流量探针的采集接口。
查看接收syslog日志接收结果,如下图所示
图1-6 入侵检测日志
图1-7 AV日志
图1-8 威胁情报日志
NTA的应用场景主要是配合安全威胁发现与运营管理平台使用,NTA上只需要在“业务配置>数据接口>日志设置>日志服务器”中配置安全威胁发现与运营管理平台的地址即可,具体安全威胁发现与运营管理平台的配置请联系技术支持。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
