- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
20-服务器外联防护配置
本章节下载: 20-服务器外联防护配置 (177.53 KB)
目 录
服务器外联防护是一种针对内网服务器的保护机制,可以有效识别服务器的主动外联行为,为管理员检查服务器提供依据,进而防止服务器成为僵尸网络的一部分,对外发动攻击或对内进行渗透。
服务器外联防护配置任务如下:
(1) 配置服务器外联学习功能
(2) 配置服务器外联防护策略
(3) 配置服务器外联防护策略规则
服务器外联学习功能会对指定服务器主动外联的流量进行检测,识别出服务器的所有外联行为。管理员可以通过学习结果来判断服务器的哪些外联是正常,哪些外联是异常,可为管理员配置服务器异常防护策略提供数据依据。
服务器外联学习中,无法在服务器外联学习视图下进行任何配置。
(1) 进入系统视图。
system-view
(2) 进入服务器外联学习视图。
scd learning
(3) 配置待防护的服务器。
source-ip object-group-name
缺省情况下,未配置待防护的服务器。
(4) 开启服务器外联自动学习功能。
auto-learn enable period { one-day | one-hour | seven-day | twelve-hour }
缺省情况下,服务器外联自动学习功能处于关闭状态。
服务器外联防护策略中可以配置监测对象、监测规则、防护开关和日志功能。当发现待保护服务器出现异常外联系行为时,设备可以对其进行告警。
设备仅对指定的待防护服务器发起的外联行为进行检测。
不同服务器外联防护策略中配置的待防护服务器IP地址不能相同。
(1) 进入系统视图。
system-view
(2) 创建服务器外联防护策略,并进入服务器外联防护策略视图。
scd policy name policy-name
(3) 配置待防护服务器的IP地址。
protected-server ip-address
缺省情况下,不存在待防护服务器的IP地址。
(4) (可选)开启服务器外联防护策略记录日志的功能。
logging enable
缺省情况下,服务器外联防护策略记录日志的功能处于关闭状态。
(5) 开启服务器外联防护功能。
policy enable
缺省情况下,服务器外联防护功能处于关闭状态。
服务器外联防护规则中可以配置服务器允许外联的IP地址、协议和端口号,在指定范围之外的连接都认为是非法外联行为。
若服务器外联防护策略中不存在规则,则认为此服务器的所有主动外联行为是非法连接。
服务器外联防护规则中的每一项内容都必须配置,否则此规则不会检测任何报文。
同一服务器外联防护策略下不同规则中允许外联IP地址不能相同。
(1) 进入系统视图。
system-view
(2) 进入服务器外联防护策略视图。
scd policy name policy-name
(3) 创建服务器外联防护规则,并进入服务器外联防护规则视图
rule rule-id
(4) 配置服务器允许外联的IP地址。
permit-dest-ip ip-address
缺省情况下,未配置服务器允许外联的IP地址。
(5) 配置服务器允许外联的协议。
protocol { icmp | tcp port port-list | udp port port-list }
缺省情况下,未配置服务器允许外联的协议。
在完成上述配置后,在任意视图下执行display命令可以显示服务器外联防护的配置信息和统计信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除服务器外联防护的统计信息。
|
操作 |
命令 |
|
显示服务器外联学习的相关配置信息 |
display scd auto-learn config |
|
显示服务器外联学习的结果 |
display scd learning record [ protected-server ip-address ] [ destination-ip ip-address ] |
|
显示服务器外联防护策略的配置信息 |
display scd policy [ name policy-name ] |
|
清除服务器外联学习的结果 |
reset scd learning record |
某公司数据中心的服务器通过Device与Internet连接。通过配置服务器外联防护策略可以有效识别服务器的主动外联行为,并对此外联行为进行告警。
图1-1 服务器外联防护基础配置组网图
(1) 配置接口IP地址、路由、安全域及域间策略保证网络可达,具体配置步骤略
(2) 配置对象
# 创建名为abc的IP地址对象组,并定义其子网地址为2.2.1.0/24。
<Device> system-view
[Device] object-group ip address abc
[Device-obj-grp-ip-abc] network subnet 2.2.1.0 24
[Device-obj-grp-ip-abc] quit
(3) 服务器外联学习功能
# 进入服务器外联学习视图。
[Device] scd learning
# 配置待防护的服务器引用的地址对象组为abc。
[Device-scd-learning] source-ip abc
# 开启服务器外联自动学习功能,并配置连续学习时间为一天。
[Device-scd-learning] auto-learn enable period one-day
[Device-scd-learning] quit
(4) 配置服务器外联防护策略
# 创建名称为policy1的服务器外联防护策略,并进入此服务器外联防护策略视图
[Device] scd policy name policy1
# 配置待防护服务器的IP地址为2.2.1.2。
[Device-scd-policy-policy1] protected-server 2.2.1.2
# 开启服务器外联防护策略记录日志的功能。
[Device-scd-policy-policy1] logging enable
# 创建编号为1的服务器外联防护规则,并进入此服务器外联防护规则视图。
[Device-scd-policy-policy1] rule 1
# 在编号为1的服务器外联防护规则中配置服务器允许外联的IP地址为2.2.3.2。
[Device-scd-policy-policy1-1] permit-dest-ip 2.2.3.2
# 在编号为1的服务器外联防护规则中配置服务器允许外联的协议为TCP,端口号为80、443。
[Device-scd-policy-policy1-1] protocol tcp port 80 443
[Device-scd-policy-policy1-1] quit
# 开启服务器外联防护功能。
[Device-scd-policy-policy1] policy enable
[Device-scd-policy-policy1] quit
# 显示服务器外联学习的所有结果。
[Device] display scd learning record
Id Protected server Destination IPv4 address Protocol Port
1 2.2.1.2 2.2.3.2 TCP 80
2 2.2.1.2 2.2.3.2 TCP 443
3 2.2.1.2 2.2.3.2 UDP 4433
4 2.2.1.2 2.2.3.2 UDP 567
Total entries: 4
# 显示名称为policy1服务器外联防护策略的详细配置信息。
<Sysname> display scd policy name policy1
SCD policy name: policy1
Protected server IPv4: 2.2.1.2
Logging: Enabled
Policy status: Enabled
Rule ID: 1
Permitted dest IPv4: 2.2.3.2
Protocol: TCP port 80,443
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
