04-入侵防御
本章节下载: 04-入侵防御 (446.84 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 入侵防御的优势
¡ 入侵防御动作
¡ 入侵防御动作
¡ 入侵防御实现流程
· 配置指南
入侵防御功能需要安装License才能使用。License过期后,入侵防御功能可以用,但无法升级特征库,只能使用设备中已存在的特征库。关于License的详细介绍请参见“License联机帮助”。 |
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。入侵防御通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
入侵防御具有以下优势:
· 深度防护:可以检测报文应用层的内容,以及对网络数据流进行协议分析和重组,并根据检测结果来对报文做出相应的处理。
· 实时防护:实时检测流经设备的网络流量,并对入侵活动和攻击性网络流量进行实时拦截。
· 全方位防护:可以对多种攻击类型提供防护措施,例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。
· 内外兼防:对经过设备的流量都可以进行检测,不仅可以防止来自企业外部的攻击,还可以防止发自企业内部的攻击。
入侵防御特征用来扫描网络中的攻击行为以及对攻击行为采取防御措施,设备通过将数据流与入侵防御特征进行比较来检测和防御攻击。
设备支持预定义和自定义入侵防御特征。其中,预定义特征由系统中的入侵防御特征库自动生成,自定义特征以Snort文件导入的方式生成。预定义入侵防御特征的内容不能被创建、修改和删除。自定义特征的内容不能被创建和修改,可以被删除。
入侵防御特征的动作和生效状态可以在例外特征中修改。有关入侵防御动作的详细介绍请参见“入侵防御动作”。
缺省情况下,设备基于入侵防御配置文件中配置的特征统一动作对符合此配置文件中入侵防御特征的报文进行处理。当需要对符合某个入侵防御特征的报文采取不同的动作时,可以将此特征设置为例外特征。或者,当入侵防御配置文件中不包含某个入侵防御特征时,可以将此特征设置为例外特征,添加到该入侵防御配置文件中。
例外特征中动作的优先级高于配置文件中动作的优先级。
入侵防御动作是指设备对匹配上入侵防御特征的报文做出的处理。入侵防御处理动作包括如下几种类型:
· 黑名单:阻断符合特征的报文。如果设备上同时开启了IP黑名单过滤功能,则阻断时间内(在安全动作中的阻断功能中配置)来自此IP地址的所有报文将被直接丢弃;如果设备上未开启黑名单过滤功能,报文的源IP地址仍会被添加到IP黑名单表项中,但后续来自该源IP地址的报文不会被直接丢弃。有关黑名单功能的详细介绍请参见“攻击防范联机帮助”。
· 丢弃:丢弃符合特征的报文。
· 允许:允许符合特征的报文通过。
· 重置:通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接。
· 重定向:把符合特征的报文重定向到指定的Web页面上。
· 缺省:对符合特征的报文执行特征中缺省的动作。
· 抓包:捕获符合特征的报文。
· 日志:对符合特征的报文生成日志信息。
在设备配置了入侵防御功能的情况下,当用户的数据流量经过设备时,设备将进行入侵防御处理。处理流程如图-1所示:
入侵防御处理的整体流程如下:
1. 如果报文与IP黑名单匹配成功,则直接丢弃该报文。
2. 如果报文匹配了某条安全策略,且此策略的动作是允许并引用了入侵防御配置文件,则设备将对报文进行深度内容检测:首先,识别报文的协议,然后根据协议分析方案进行更精细的分析,并深入提取报文特征。
3. 设备将提取的报文特征与入侵防御特征进行匹配,并对匹配成功的报文进行如下处理:
¡ 如果报文同时与多个入侵防御特征匹配成功,则根据这些动作中优先级最高的动作进行处理。但是,对于黑名单、日志和捕获三个动作只要匹配成功的特征中存在就会执行。动作优先级从高到低的顺序为:重置 > (黑名单/丢弃) > 允许,其中黑名单与丢弃的优先级相同。
¡ 如果报文只与一个入侵防御特征匹配成功,则根据此特征中指定的动作进行处理。
4. 如果报文未与任何入侵防御特征匹配成功,则设备直接允许报文通过。
入侵防御功能的配置思路如下图所示:
图-2 入侵防御功能配置指导图
设备上存在一个名称为default的入侵防御配置文件,缺省入侵防御配置文件使用当前系统中所有缺省处于使能状态的入侵防御特征,新增自定义入侵防御特征会自动添加到缺省入侵防御配置文件下。缺省入侵防御配置文件中的入侵防御特征的动作属性和生效状态属性不能被修改。
管理员也可以根据实际需求创建自定义的入侵防御配置文件。
1. 选择“对象 > 应用安全 > 入侵防御 > 配置文件”。
2. 在“入侵防御配置文件”页面单击<新建>按钮,进入“新建入侵防御配置文件”页面。
3. 新建入侵防御配置文件,具体配置内容如下:
表-1 入侵防御配置文件配置
参数 |
说明 |
设置特征筛选条件 |
通过保护对象、攻击分类、对象、缺省动作和严重级别可灵活选择此入侵防御配置文件中所需的入侵防御特征。可通过单击<查看特征筛选结果>按钮来查看当前配置文件中已选择的入侵防御特征 · 若不配置任何一项筛选条件(保持缺省情况),则此配置文件中将会包含所有缺省处于使能状态的入侵防御特征 · 若配置了保护对象,但其他筛选项未配置(保持缺省情况),则配置文件中将包含所选保护对象中所有攻击分类、服务端类型、客户端类型、缺省动作和所有严重级别的入侵防御特征 |
保护对象 |
通过选择保护对象可快速选择所需的入侵防御特征 |
攻击分类 |
通过选择攻击分类可快速选择所需的入侵防御特征 |
对象 |
入侵防御特征库中的特征分为服务端和客户端两类,可通过选择服务端和客户端来筛选配置文件所需的入侵防御特征 |
缺省动作 |
入侵防御特征的缺省动作分为如下四种:丢弃、允许、重置、黑名单,可通过选择不同的缺省动作来筛选配置文件所需的入侵防御特征 |
严重级别 |
入侵防御特征的严重级别分为如下四种:严重、高、中、低,可通过选择不同的严重级别来筛选配置文件所需的入侵防御特征 |
设置特征统一动作 |
通过设置特征统一动作,对筛选出的特征执行统一的动作 |
动作 |
特征统一执行的动作,动作类型包括:缺省、黑名单、丢弃、允许、重置和重定向。如果动作为缺省,则对筛选出的特征执行各自的缺省动作 |
日志 |
开启日志功能后,设备将对与入侵防御特征匹配成功的报文生成日志信息 |
抓包 |
开启抓包功能后,设备会将捕获到的报文保存在本地并输出到指定的路径,有关捕获参数的详细配置,请参见“安全动作联机帮助” |
设置例外特征 |
设置例外特征包含如下两种方式: · 在“新建入侵防御配置文件”页面的例外特征输入框中直接输入入侵防御特征的ID号,然后单击右边<添加>按钮,即可把此特征加入例外特征中 · 在“新建入侵防御配置文件”页面,先单击<查看特征筛选结果>按钮,进入“查看特征”页面,在此页面选中需要加入例外特征的入侵防御特征,然后单击此页面上方的<添加到例外列表>按钮,即可把此特征加入例外特征中 |
修改例外特征 |
在例外特征列表中单击目标入侵防御特征右边的<编辑>按钮,进入“修改例外特征”页面,在此页面可配置此特征的动作、状态、日志和抓包功能。单击<确定>,此例外特征修改成功 |
4. 单击<确定>按钮,新建入侵防御配置文件成功,且会在“入侵防御配置文件”页面中显示。
5. 在安全策略的内容安全配置中引用此入侵防御配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”。
6. 单击<提交>按钮,激活入侵防御配置文件的配置内容。配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的配置文件后统一配置此功能。
选择“对象 > 应用安全 > 入侵防御 > 特征”。在“入侵防御特征页面”可查看当前设备上入侵防御特征库中的所有入侵防御特征。当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征。导入的IPS特征文件内容会自动覆盖系统中所有的自定义IPS特征。
需要注意的是,Snort文件需要遵循Snort公司的语法。
导入自定义特征的配置步骤如下:
1. 选择“对象 > 应用安全 > 入侵防御 > 特征”。
2. 在“入侵防御特征”页面单击<导入自定义特征>按钮,进入“导入自定义特征”页面。
3. 选择指定的自定义特征文件,单击<开始解析并导入特征>按钮,导入自定义特征。
选择“对象 > 应用安全 > 入侵防御 > 特征”。在“入侵防御特征”页面,单击<删除自定义特征>按钮,可删除所有自定义特征。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!