- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-入侵防御功能典型配置举例
本章节下载 (378.93 KB)
目 录
本文档介绍F1000--ServerBlade设备入侵防御功能配置举例。在配置前,先了解入侵防御的以下概念:
· 事件
一个事件对应着一个攻击,事件除了包含有检测攻击的特征之外,还有日志、级别、行为等内容。
· 事件集
事件集是一个或多个事件的集合,根据当前实际的网络情况,系统默认提供了4个事件集,最大事件集、常规事件集、应用事件集、攻击事件集,用户也可以根据需要添加自定义的事件集。
· 防护级别
防护级别是事件集的一个属性,同一条事件,对于不同的防护级别,有着不同的动作,防护级别越高,动作越严格。
入侵防御的配置思路:
(1) 配置事件集,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的事件集,也可以自定义新的事件集。
(2) 配置安全策略,在安全策略中配置入侵防御策略,引用已经配置的事件集,对命中安全策略的流量做入侵防御相关的检测。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解入侵防御特性。
如图1所示,服务器通过设备接入外网,提供web和FTP服务,配置入侵防御策略来保护Web和FTP服务器。
(1) 按照组网图组网。
(2) 配置事件集,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的事件集,也可以自定义新的事件集。
(3) 配置安全策略,对命中安全策略的流量做入侵防御相关的检测。
(4) 在安全策略中配置入侵防御策略,引用已经配置的事件集。
如图2所示,使用http或https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录Web网管
(1) 进入“安全防护 > 事件集”,点击<新建>,新建一个事件集,名称为“事件集1”,防护等级选择“中”,如图3所示。
(2) 向事件集中添加协议类型为HTTP和FTP的事件,如图4所示。
(1) 进入“防火墙>安全策略>IPv4安全策略”,点击<新建>创建策略,行为选择“允许”,如图5所示。
图5 配置IPv4安全策略
(2) 选择<入侵防御>标签页,勾选<启用规则>、<日志>,事件集选择“事件集1”,点击提交完成配置,如图6所示。
· 及时升级最新入侵防御库。
· IPv4策略开启并引用。
· 入侵流量通过设备转发。
· 《H3C SecPath F1000-ServerBlade 服务器安全智能模块 Web配置手册》中的“入侵防御”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
