- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-IDS-IPS配置举例
本章节下载: 13-IDS-IPS配置举例 (858.84 KB)
目 录
本文档介绍了H3C SecPath G9000-X-G系列多级安全互联交换平台(以下简称为平台)的IDS/IPS配置举例。
平台的IDS/IPS功能用于对业务口流量进行入侵检测,实时监测网络或系统事件。当发现潜在的威胁、入侵或不正常行为时,进行日志记录。其中,IPS功能还可以根据预先设定的安全策略,对流经的每个报文进行深度检测,一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。由于此功能效果展示涉及真实攻击场景,请事先准备攻击环境以及攻击脚本,此次举例攻击手段为通过Hping3工具来进行udp-flood攻击,下文中会详细介绍到具体下载、安装和执行,以作参考。
本文假设您已了解平台特性。
如图1所示,平台后置GE0/0的接口IP为192.168.90.111,攻击发起源的主机IP为 192.168.90.47,攻击发起源可以对平台后置发起攻击。
图1 IDS/IPS举例组网图
· 首先统计平台哪些网卡需要开启IDS/IPS功能
· 其次统计网卡上的哪些IP需要检测,并确认检测类型
· 然后对检测端口进行添加,根据检测端口选择对应的检测类型
· 最后涉及应用层协议解析的,根据检测端口选择对应的检测类型
本举例是在ESS 6702P01版本及以上进行配置和验证的。
通过平台后置机MAN管理口登录平台后置web,打开浏览器输入https://192.168.0.2,(MAN口为后置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 后置机登录页面
该操作在secrecy用户下执行,以后置机配置为例。
点击“IDS/IPS管理”,选择后置机的GE0/0,随后添加检测IP和端口。
图3 配置IDS/IPS保存并启用
点击【+】按钮,添加、保存检测IP和检测类型。
图4 检测IP配置界面
点击【+】按钮,添加检测端口,根据检测端口选择对应的检测类型。
图5 检测端口配置界面
添加完成后保存并启用IDS/IPS
图6 点击保存并启动IDS
图7 点击保存并启动IPS
图8 IDS开启成功
图9 IPS开启成功
IDS/IPS在前、后置均可单独配置;
IDS和IPS基础配置无变化,但不能同时生效。
两端配置同时开启时,共同生效。
使用Hping3工具,进行攻击。
mkdir -p /usr/local/hping && cd /usr/local/hping
wget https://github.com/antirez/hping/archive/master.zip && unzip master.zip && cd hping-master
yum install -y libpcap-devel
yum install -y gcc gcc-c++
yum install -y tcl tcl-devel
ln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h
./configure && make strip && make install
hping3 -v
hping3 -c 50000 -d 120 --udp -w 64 -p port --flood --rand-source 192.168.90.111
图10 攻击截图
图11 IDS日志审计
图12 IPS日志审计
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
