57-入侵防御
本章节下载 (712.47 KB)
目 录
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障
入侵防御涉及以下概念:
· 事件:一个事件对应着一个攻击,事件除了包含有检测攻击的特征之外,还有日志、级别、行为等内容。
· 事件集:事件集是一个或多个事件的集合,根据当前实际的网络情况,系统默认提供了4个事件集,最大事件集、常规事件集、应用事件集、攻击事件集,用户也可以根据需要添加自定义的事件集。
· 防护级别:防护级别是事件集的一个属性,同一条事件,对于不同的防护级别,有着不同的动作,防护级别越高,动作越严格。
入侵防御的配置思路:
(1) 配置事件集,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的事件集,也可以自定义新的事件集。
(2) 配置安全策略,在安全策略中配置入侵防御策略,引用已经配置的事件集,对命中安全策略的流量做入侵防御相关的检测。
通过菜单“安全防护 > 事件集”,进入如图1-1所示界面。
在该页面上,默认显示所有入侵防御事件集,同时能够“新建”、“编辑”、“删除”、“拷贝”事件集。
在事件集页面点击“新建”,系统弹出新建IPS事件集对话框,如图1-2所示。IPS事件集配置信息如表1-1所示:
表1-1 新建IPS事件集说明
参数 |
说明 |
名称 |
事件集的名称 |
描述 |
事件集的描述信息 |
防护等级 |
事件集的防护等级,防护等级越高,对事件执行的动作越严格 |
输入完名称、描述、防护等级之后,点击提交,完成事件集的创建。
在事件集页面点击需要修改的事件集后的“”,进入事件集编辑页面,编辑完成后单击“提交”保存配置,如图1-3所示。
图1-3 编辑IPS事件集
表1-2 编辑IPS事件集说明
参数 |
说明 |
名称 |
事件集的名称,不可变更 |
描述 |
事件集的描述信息 |
防护等级 |
事件集的防护等级,防护等级越高,对事件执行的动作越严格 |
在入侵防御配置页面点击需要删除的事件集后的“”,系统弹出确定对话框,点击“确定”后即可删除事件集,如图1-4所示。
图1-4 删除IPS事件集
用户可以根据已经存在的事件集,包括系统默认或自定义的事件集,复制出相同的自定义事件集。
点击事件集后面的拷贝图标“”,进入IPS事件集复制对话框,如图1-5所示。
图1-5 复制IPS事件集
输入新事件集的名称、描述信息之后,就完成事件集的复制。
进入“安全防护>事件集”主界面,选择一个自定义事件集,如图1-6所示。
点击“添加事件”按钮,弹出添加事件界面,如图1-7所示。
选择需要添加的事件,点击提交,如图1-8所示。
在IPS事件集主界面显示添加的事件,如图1-9所示。
进入“安全防护>事件集”主界面,点击选择一个自定义事件集,如图1-10所示。
点击展开事件组,如图1-11所示。
可以配置事件的级别、是否启用、是否记录日志,及匹配事件后执行的动作。
配置步骤:
(1) 进入“安全防护>事件集”主界面,选择自定义事件集,出现详细信息,点击展开事件集,如图1-12所示。
(2) 选择要编辑的事件,点击编辑,弹出“编辑事件”界面,如图1-13所示,各个配置项含义如表1-3所示。
表1-3 编辑事件配置项含义描述表
参数 |
说明 |
名称 |
事件的名称 |
级别 |
该事件级别,可以配置成告警、警示、通知、信息 |
启用 |
开启或关闭该事件 |
日志 |
开启或关闭日志功能 |
动作 |
对数据报或流进行通过、丢弃或重置等动作 |
(3) 点击提交,完成事件集的编辑。
只能对自定义事件中的事件进行编辑,系统默认事件集中的内容无法编辑。
可以根据协议类型、操作系统、安全类型、事件来源、事件级别这5种类型对事件进行分组。
可以对整个事件组进行配置,对本组内的所有事件都会生效。
配置步骤:
(1) 进入“安全防护>事件集”主界面,选中一个自定义事件集,如图1-14所示。
(2) 选择某个事件组,点击事件组后面的“”,进入事件组编辑界面,如图1-15所示,各个配置项含义如表1-4所示。
参数 |
说明 |
组名称 |
事件组的名称 |
级别 |
该事件组级别,可以配置成告警、警示、通知、信息 |
启用 |
开启或关闭该事件 |
日志 |
开启或关闭日志功能 |
动作 |
对数据报或流进行通过、丢弃或重置等动作 |
(3) 点击提交后,事件组内的所有特征都会配置成相同的启用、日志及动作。
(1) 进入“安全防护>事件集”主界面,选择一个事件集,如图1-16所示。
(2) 在上方输入过滤条件,如图1-17所示。
(3) 点击过滤,会显示所有符合条件的预定义事件列表,如图1-18所示。
要想使入侵防御护生效,必须在相应的安全策略上面启用入侵防御策略。
通过菜单 “防火墙>安全策略>IPv4安全策略”进入IPv4安全策略界面,新建或者编辑一条已经存在的策略;点击“入侵防御”标签页,进入“入侵防御”配置界面,如图1-19所示。各个配置项含义如表1-5所示。
参数 |
说明 |
启用 |
对此条策略启用禁用入侵防御 |
日志 |
入侵防御日志的开关 |
事件集 |
入侵防御使用的事件集名称 |
服务器通过Internet提供web和FTP服务,配置入侵防御策略来保护Web和FTP服务器。
图1-20 F1000-C8102 入侵防御配置案例拓扑图
图1-21 F1000-ServerBlade 入侵防御配置案例拓扑图
配置步骤:
(2) 新建一个新的事件集,名称为“事件集1”,如图1-22所示。
(3) 向事件集中添加协议类型为HTTP和FTP的事件,如图1-23所示。
(4) 编辑从internet访问外网的策略,修改入侵防御事件集,选中启用、日志,事件集选择“事件集1”,点击提交完成配置,如图1-24所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!