- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
53-入侵防御典型配置举例
本章节下载: 53-入侵防御典型配置举例 (318.59 KB)
目录
本文档介绍ACG1000设备入侵防御功能配置举例。随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障。
入侵防御涉及以下概念:
· 事件:一个事件对应着一个攻击,事件除了包含有检测攻击的特征之外,还有日志、级别、行为等内容。
· 事件集:事件集是一个或多个事件的集合,根据当前实际的网络情况,系统默认提供了4个事件集,最大事件集、常规事件集、应用事件集、攻击事件集,用户也可以根据需要添加自定义的事件集。
· 防护级别:防护级别是事件集的一个属性,同一条事件,对于不同的防护级别,有着不同的动作,防护级别越高,动作越严格。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解入侵防御特性。
无。
如图1所示,服务器通过Internet提供web和FTP服务,在ACG1000上启用入侵防御功能来保护Web和FTP服务器。同时通过自定义规则来禁止使用除210以外的端口访问ftp服务器,且不允许上传文件和新建目录。
· 配置事件集,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的事件集,也可以自定义新的事件集。
· 配置安全策略,在安全策略中配置入侵防御策略,引用已经配置的事件集,对命中安全策略的流量做入侵防御相关的检测。
本举例是在R6611P01版本上进行配置和验证的。
· 入侵防御策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。
· 若选择自定义的IPS规则,应在IPv4控制策略中勾选启用自定义规则。
进入“安全设置>入侵防御>入侵防御配置”,进入入侵防御配置页面,新建事件集,选择防护等级并添加事件,如图24.1 图1所示。
进入“策略配置>IPv4控制策略”,进入IPv4控制策略页面,如图3所示,新建策略,在入侵防御子菜单中启用功能并选择事件集“test”,完成后点击提交。
进入“安全设置>入侵防御>ISP自定义规则”,进入ISP自定义规则配置页面,如图4所示,禁止使用除210以外的端口访问ftp服务器,且不允许上传文件和新建目录。
使用测试PC进行攻击操作。在“日志中心>安全日志>入侵检测日志”中可看到相应攻击日志信息,如图5所示。
配置完成自定义IPS规则后,用户只能使用 210端口访问ftp服务器,可以下载文件,但是无法上传和创建目录。否则无法登录服务器,并记录相应日志信息。使用测试PC进行FTP服务器登录操作,在“日志中心>安全日志>入侵检测日志”中可看到相应日志信息,如图6所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
