• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

53-入侵防御典型配置举例

本章节下载 53-入侵防御典型配置举例  (318.59 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587578_30005_0.htm

53-入侵防御典型配置举例


1  简介

本文档介绍ACG1000设备入侵防御功能配置举例。随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障。

入侵防御涉及以下概念:

·     事件:一个事件对应着一个攻击,事件除了包含有检测攻击的特征之外,还有日志、级别、行为等内容。

·     事件集:事件集是一个或多个事件的集合,根据当前实际的网络情况,系统默认提供了4个事件集,最大事件集、常规事件集、应用事件集、攻击事件集,用户也可以根据需要添加自定义的事件集。

·     防护级别:防护级别是事件集的一个属性,同一条事件,对于不同的防护级别,有着不同的动作,防护级别越高,动作越严格。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解入侵防御特性。

3  使用限制

无。

4  配置举例

4.1  组网需求

图1所示,服务器通过Internet提供web和FTP服务,在ACG1000上启用入侵防御功能来保护Web和FTP服务器。同时通过自定义规则来禁止使用除210以外的端口访问ftp服务器,且不允许上传文件和新建目录。

图1 入侵防御功能配置组网图

 

4.2  配置思路

·     配置事件集,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的事件集,也可以自定义新的事件集。

·     配置安全策略,在安全策略中配置入侵防御策略,引用已经配置的事件集,对命中安全策略的流量做入侵防御相关的检测。

4.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

4.4  配置注意事项

·     入侵防御策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。

·     若选择自定义的IPS规则,应在IPv4控制策略中勾选启用自定义规则。

4.5  配置步骤

4.5.1  配置入侵防御事件集

进入“安全设置>入侵防御>入侵防御配置”,进入入侵防御配置页面,新建事件集,选择防护等级并添加事件,如图24.1  图1所示。

图2 配置入侵防御事件集

 

4.5.2  配置IPv4策略

进入“策略配置>IPv4控制策略”,进入IPv4控制策略页面,如图3所示,新建策略,在入侵防御子菜单中启用功能并选择事件集“test”,完成后点击提交。

图3 配置IPv4策略

 

4.5.3  配置自定义入侵防御规则

进入“安全设置>入侵防御>ISP自定义规则”,进入ISP自定义规则配置页面,如图4所示,禁止使用除210以外的端口访问ftp服务器,且不允许上传文件和新建目录。

 

图4 配置自定义入侵防御规则

 

4.6  验证配置

4.6.1  默认入侵防御功能验证

使用测试PC进行攻击操作。在“日志中心>安全日志>入侵检测日志”中可看到相应攻击日志信息,如图5所示。

图5 入侵检测日志

 

4.6.2  自定义入侵防御功能验证

配置完成自定义IPS规则后,用户只能使用 210端口访问ftp服务器,可以下载文件,但是无法上传和创建目录。否则无法登录服务器,并记录相应日志信息。使用测试PC进行FTP服务器登录操作,在“日志中心>安全日志>入侵检测日志”中可看到相应日志信息,如图6所示。

图6 入侵检测日志

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们