- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-入侵告警配置举例
本章节下载: 07-入侵告警配置举例 (1.04 MB)
目 录
本文档介绍终端安全管理系统入侵检测功能配置举例。
本文主要介绍如何触发入侵告警以及如何配置入侵白名单。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
终端安全管理系统组网方式比较简单,只要网络可达即可。
安装服务端后,客户端可以自动连接到服务端。管理员可直接通过WEB浏览器进行管理。
服务端安装参见《H3C SecCenter 终端安全管理系统 V3.1 ESS 6301P10安装指导》。
· 登录Web管理控制台。
· 转到“安全防护 > 检测响应 > 入侵检测 > 入侵告警”,修改自动处置规则或者自定义规则 应用至客户端。
打开Web浏览器,使用HTTPS协议在地址栏输入服务端地址和端口,输入格式:https://ServerIP:8443(请将ServerIP替换为服务端实际IP地址,如“https://192.168.10.10:8443”),弹出输入账户信息登录页面,输入系统管理员账户信息和验证码,单击<登录>,如下图所示。
图4-1 账户信息输入页面
图4-2 控制台
转到“安全防护 > 检测响应 > 入侵检测 > 入侵告警 > 异常登录”,配置合法登录规则。
图4-3 合法登录规则
在合法登录规则时间范围内,从攻击主机C远程登录信创主机A;在合法登录规则时间范围外,从攻击主机C远程登录信创主机A。
图4-4 异常登录告警
· 登录Web管理控制台。
· 转到“检测响应 > 入侵检测 > 入侵告警”,点击“操作”列的“加白”按钮,创建白名单,应用到客户端。
· 转到“检测响应 > 入侵检测 > 入侵白名单”,新增自定义白名单,应用到客户端。
打开Web浏览器,使用HTTPS协议在地址栏输入服务端地址和端口,输入格式:https://ServerIP:8443(请将ServerIP替换为服务端实际IP地址,如“https://192.168.10.10:8443”),弹出输入账户信息登录页面,输入系统管理员账户信息和验证码,单击<登录>,如下图所示。
图4-5 账户信息输入页面
图4-6 控制台
转到“检测响应 > 入侵检测 > 入侵告警”,选择一条ssh暴力破解告警,单击操作列“加白”。选择“规则匹配”+“参数匹配”,应用到客户端A,然后单击<确定>。如下图所示。
图4-7 新增入侵告警白名单
转到“检测响应 > 入侵检测 > 入侵白名单”,点击“新增”,规则类型选择IP,应用到客户端A,然后单击<确定>。如下图所示。
图4-8 新增自定义白名单
设置白名单状态为开启。触发ssh暴力破解告警,入侵告警列表没有新增告警。
设置白名单状态为关闭。触发ssh暴力破解告警,入侵告警列表新增告警。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
