登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全配置指导

目录

19-服务器外联防护配置

本章节下载 19-服务器外联防护配置  (184.04 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_SecPath_F100_FW_V7_R8601_R8520-3602/03/202205/1609036_30005_0.htm

19-服务器外联防护配置

  录

1 服务器外联防护

1.1 服务器外联防护简介

1.2 服务器外联防护配置任务简介

1.3 配置服务器外联学习功能

1.4 配置服务器外联防护策略

1.5 配置服务器外联防护策略规则

1.6 服务器外联防护显示和维护

1.7 服务器外联防护典型配置举例

1.7.1 服务器外联防护基础配置举例

 

1 服务器外联防护

1.1  服务器外联防护简介

服务器外联防护是一种针对内网服务器的保护机制,可以有效识别服务器的主动外联行为,为管理员检查服务器提供依据,进而防止服务器成为僵尸网络的一部分,对外发动攻击或对内进行渗透。

1.2  服务器外联防护配置任务简介

服务器外联防护配置任务如下:

(1)     配置服务器外联学习功能

(2)     配置服务器外联防护策略

(3)     配置服务器外联防护策略规则

1.3  配置服务器外联学习功能

1. 功能简介

服务器外联学习功能会对指定服务器主动外联的流量进行检测,识别出服务器的所有外联行为。管理员可以通过学习结果来判断服务器的哪些外联是正常,哪些外联是异常,可为管理员配置服务器异常防护策略提供数据依据。

2. 配置限制和指导

服务器外联学习中,无法在服务器外联学习视图下进行任何配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入服务器外联学习视图。

scd learning

(3)     配置待防护的服务器。

source-ip object-group-name

缺省情况下,未配置待防护的服务器。

(4)     开启服务器外联自动学习功能。

auto-learn enable period { one-day | one-hour | seven-day | twelve-hour }

缺省情况下,服务器外联自动学习功能处于关闭状态。

1.4  配置服务器外联防护策略

1. 功能简介

服务器外联防护策略中可以配置监测对象、监测规则、防护开关和日志功能。当发现待保护服务器出现异常外联系行为时,设备可以对其进行告警。

2. 配置限制和指导

设备仅对指定的待防护服务器发起的外联行为进行检测。

不同服务器外联防护策略中配置的待防护服务器IP地址不能相同。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建服务器外联防护策略,并进入服务器外联防护策略视图。

scd policy name policy-name

(3)     配置待防护服务器的IP地址。

protected-server ip-address

缺省情况下,不存在待防护服务器的IP地址。

(4)     (可选)开启服务器外联防护策略记录日志的功能。

logging enable

缺省情况下,服务器外联防护策略记录日志的功能处于关闭状态。

(5)     开启服务器外联防护功能。

policy enable

缺省情况下,服务器外联防护功能处于关闭状态。

1.5  配置服务器外联防护策略规则

1. 功能简介

服务器外联防护规则中可以配置服务器允许外联的IP地址、协议和端口号,在指定范围之外的连接都认为是非法外联行为。

2. 配置限制和指导

若服务器外联防护策略中不存在规则,则认为此服务器的所有主动外联行为是非法连接。

服务器外联防护规则中的每一项内容都必须配置,否则此规则不会检测任何报文。

同一服务器外联防护策略下不同规则中允许外联IP地址不能相同。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入服务器外联防护策略视图。

scd policy name policy-name

(3)     创建服务器外联防护规则,并进入服务器外联防护规则视图

rule rule-id

(4)     配置服务器允许外联的IP地址。

permit-dest-ip ip-address

缺省情况下,未配置服务器允许外联的IP地址。

(5)     配置服务器允许外联的协议。

protocol { icmp | tcp port port-list | udp port port-list }

缺省情况下,未配置服务器允许外联的协议。

1.6  服务器外联防护显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示服务器外联防护的配置信息和统计信息,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除服务器外联防护的统计信息。

表1-1 服务器外联防护显示和维护

操作

命令

显示服务器外联学习的相关配置信息

display scd auto-learn config

显示服务器外联学习的结果

display scd learning record [ protected-server ip-address ] [ destination-ip ip-address ]

显示服务器外联防护策略的配置信息

display scd policy [ name policy-name ]

清除服务器外联学习的结果

reset scd learning record

 

1.7  服务器外联防护典型配置举例

1.7.1  服务器外联防护基础配置举例

1. 组网需求

某公司数据中心的服务器通过Device与Internet连接。通过配置服务器外联防护策略可以有效识别服务器的主动外联行为,并对此外联行为进行告警。

2. 组网图

图1-1 服务器外联防护基础配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 2.2.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Internet的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 2.2.3.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1

[Device-security-zone-DMZ] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置安全策略

# 配置名称为dmz-untrust的安全策略规则,使内网Server可以向Internet发送报文,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name dmz-untrust

[Device-security-policy-ip-1-dmz-untrust] source-zone dmz

[Device-security-policy-ip-1-dmz-untrust] destination-zone untrust

[Device-security-policy-ip-1-dmz-untrust] source-ip-host 2.2.1.2

[Device-security-policy-ip-1-dmz-untrust] action pass

[Device-security-policy-ip-1-dmz-untrust] quit

[Device-security-policy-ip]  quit

(5)     配置对象

# 创建名为abc的IP地址对象组,并定义其子网地址为2.2.1.0/24,具体配置步骤如下。

[Device] object-group ip address abc

[Device-obj-grp-ip-abc] network subnet 2.2.1.0 24

[Device-obj-grp-ip-abc] quit

(6)     配置服务器外联学习功能

# 配置待防护的服务器,开启服务器外联自动学习功能,连续学习时间为一天,具体配置步骤如下。

[Device] scd learning

[Device-scd-learning] source-ip abc

[Device-scd-learning] auto-learn enable period one-day

[Device-scd-learning] quit

(7)     配置服务器外联防护策略

# 创建名称为policy1的服务器外联防护策略,配置服务器外联防护规则,具体配置步骤如下。

[Device] scd policy name policy1

[Device-scd-policy-policy1] protected-server 2.2.1.2

[Device-scd-policy-policy1] logging enable

[Device-scd-policy-policy1] rule 1

[Device-scd-policy-policy1-1] permit-dest-ip 2.2.3.2

[Device-scd-policy-policy1-1] protocol tcp port 80 443

[Device-scd-policy-policy1-1] quit

[Device-scd-policy-policy1] policy enable

[Device-scd-policy-policy1] quit

4. 验证配置

# 在服务器外联学习完成后,显示服务器外联学习的所有结果。

[Device] display scd learning record

Id     Protected server    Destination IPv4 address   Protocol    Port

1      2.2.1.2             2.2.3.2                    TCP         80

2      2.2.1.2             2.2.3.2                    TCP         443

3      2.2.1.2             2.2.3.2                    UDP         4433

4      2.2.1.2             2.2.3.2                    UDP         567

Total entries: 4

# 显示名称为policy1服务器外联防护策略的详细配置信息。

<Sysname> display scd policy name policy1

SCD policy name: policy1

 Protected server IPv4: 2.2.1.2

 Logging: Enabled

 Policy status: Enabled

 Rule ID: 1

  Permitted dest IPv4: 2.2.3.2

  Protocol: TCP port 80,443

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们