• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6612 E6453)-6W106

45-入侵防御

本章节下载 45-入侵防御  (1.46 MB)

45-入侵防御


1 入侵防御

1.1  入侵防御概述

随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障。

入侵防御涉及以下概念:

·     规则模板:规则模板是一个或多个规则的集合,规则模板分为预定义规则模板、派生规则模板和自定义规则模板。

预定义规则模板由系统自动创建,其中包含的规则以及每条规则的配置(阻断、抓包等)也都由系统预先设定,规则不允许增加或删除,每条规则的配置也不允许修改。预定义规则模板包括以下四个:

¡     all:包含全部规则

¡     web:包含HTTP相关规则

¡     windows:包含Windows系统漏洞规则

¡     unix:包含Unix、Linux系统漏洞规则

预定义规则模板下每条规则的配置初始值如下:

¡     日志:根据规则严重程度确定,严重程度为“高”,日志默认为告警;严重程度为“中”,日志默认为警告;严重程度为“低”,日志默认为“通知”。

¡     阻断:默认阻断。

¡     隔离:默认不隔离。

¡     抓包:默认不抓包。

派生规则模板由预定义规则模板派生而来,其中包含的规则与对应的预定义规则模板相同,也是不允许增加或删除,但是可以修改每条规则的配置。派生规则模板由用户根据需要手动派生创建,派生规则模板不可以再派生。

自定义规则模板完全由用户自己定义创建,其中包含的规则以及配置都可以随意修改。

·     规则:规则除了包含有检测攻击的特征之外,还有规则严重程度、规则状态、日志、阻断、隔离、抓包,CVE、CNNVD、操作系统、发布年份、厂商,操作等。一条规则可以属于多个规则模板。

入侵防御安全引擎提供自定义规则功能,通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与、逻辑或形成多条件匹配的方式实现入侵防御。安全管理员可以使用自定义规则功能,自己写签名进行防护。自定义规则检测是基于流检测的,支持多种协议字段,其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP协议。对于字符串字段,可支持正则和非正则匹配的方式。

入侵防御的配置思路:

(1)     配置规则模板,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的规则模板,也可以自定义新的规则模板。

(2)     配置安全控制策略,在安全控制策略中配置入侵防御策略,引用已经配置的规则模板,对命中安全策略的流量做入侵防御相关的检测。

1.2  入侵防御规则模板配置

1.2.1  规则模板页面

通过菜单“策略配置>安全设置>入侵防御>模板”,进入如图1-1所示界面。可以查看系统预定义的规则模板和自定义的规则模板信息。

图1-1 入侵防御模板页面

 

 

在该页面上,默认显示所有入侵防御规则模板,同时能够“新建”、“编辑”、“删除”、“派生”规则模板。

1.2.2  新建规则模板

在模板页面点击“新建”,系统弹出新建规则模板对话框,如图1-2所示。入侵防御规则模板配置信息如表1-1所示。

图1-2 新建入侵防御规则模板

 

 

表1-1 新建入侵防御规则模板说明

参数

说明

名称

规则模板的名称,可输入1-31个字符,且不能与已创建的规则模板名称重复。

描述

规则模板的描述信息

输入完名称、描述之后,点击提交,完成规则模板的创建。

在规则模板页面点击需要修改的模板后的“”,进入规则模板编辑页面,可以对描述信息进行编辑,规则模板的名称不可变更。

在入侵防御配置页面点击需要删除的规则模板后的“http://192.168.2.174/webui/images/default/icons/icon_del.gif”,系统弹出确定对话框,点击“确定”后即可删除规则模板。

1.2.3  派生规则模板

用户可以根据已经存在的预定义规则模板,派生出相同的自定义规则模板。

点击模板后面的派生图标“”,进入规则模板对话框,如图1-3所示。

图1-3 派生IPS规则模板

 

输入新规则模板的名称、描述信息之后,就完成规则模板的派生。

说明

·     派生后的规则模板不允许增加或删除,可以修改每条规则的配置。

·     派生规则模板不可以再派生。

 

1.2.4  查看规则列表

通过菜单“策略配置>安全设置>入侵防御>规则”进入入侵防御规则模板界面,在规则模板列表中单击需要查看的规则模板名称,在右侧展开显示规则列表信息。如图1-4所示。

图1-4 显示规则列表

点击规则列表页面左侧的“”按钮,可以返回到规则模板主页面。

点击规则列表中的子规则名称,可以查看具体规则的详细信息,如下图所示。

图1-5 查看规则详细信息

1.2.5  添加规则

单击选择需要添加规则的自定义规则模板,进入规则列表页面,点击“添加规则”,弹出“添加规则”配置窗口,如图1-6所示。

图1-6  选择要添加的规则

勾选需要添加的规则后,点击“提交”,可以将选中的规则添加到对应的规则模板中。

点击规则后面的“”按钮,可以删除已添加的规则。

说明

只有自定义的规则模板可以添加、删除规则,预定义规则模板及派生后的规则模板不允许添加、删除规则。

 

1.2.6  修改规则配置

对于自定义的规则模板或者派生的规则模板,可以修改规则是否启用、是否记录日志,及阻断、隔离、抓包等配置。

(1)     通过菜单“策略配置>安全设置>入侵防御>模板”进入入侵防御规则模板界面,单击选择自定义规则模板,展开显示规则列表,如图1-7所示。

图1-7 展开规则列表

 

 

(2)     选择要编辑的规则,点击编辑按钮,弹出规则列表的编辑界面,如图1-8所示,各个配置项含义如表1-2所示。

图1-8 规则列表编辑页面

 

表1-2 编辑规则配置项含义描述表

参数

说明

启用

开启或关闭该事件

日志

该规则的日志是否记录及日志级别,可以配置成不记录或告警、警告、通知、信息。

阻断

是否阻断,如果配置为阻断,则匹配到规则后对数据报文或流进行丢弃处理。

隔离

是否隔离,如果配置为隔离,则匹配到规则后进行隔离处理:会将报文的源地址加入黑名单,隔离时间到期后解除隔离。

抓包

是否抓包,如果配置为抓包,则匹配到规则后进行抓包处理,在IPS日志页面可以下载抓包文件进行查看。

 

(3)     点击提交,完成规则配置的编辑。

注意

只能对自定义规则模板及派生规则模板中的规则配置进行编辑,系统预定义规则中的内容无法编辑。

 

1.2.7  查询事件

可以根据规则ID、名称、CVE、CNNVD对规则模板中的规则进行查询,也可以点击“高级查询”,进入高级查询页面,选择攻击类型、严重程度、日志、动作、操作系统等查询条件进行查询。

图1-9 选定事件集

 

1.3  入侵防御协议异常检测

1.3.1  协议异常检测简介

安全策略通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与和逻辑或形成多条件匹配的方式实现入侵防御。

1.3.2  协议异常检查页面

在导航栏中选择“策略配置>安全设置>入侵防御>模板”,进入IPS模板界面,点击模板名称选择协议异常检测页面,如下图所示。

图1-10 图1-10 IPS协议异常检查界面

 

IPS协议检查说明,如表1-9所示。

表1-3 IPS异常检查描述表

标题项

说明

HTTP协议

针对HTTP协议字段进行检测,支持检测HTTP头版本字段,host字段,头长度,响应数据格式字段,并提供配置选项。

DNS协议

检测协议响应类型异常,域名长度,域名异常字符。

SMTP协议

根据配置检测命令参数长度,并提供手动配置与默认配置。

POP3协议

检测协议的命令行最大长度,文本行最大长度,内容文件名最大长度,并提供手动配置与默认配置。

FTP协议

检测协议的命令行最大长度,文本行最大长度,内容文件名最大长度,并提供手动配置与默认配置。

 

1.3.3  HTTP协议异常检查

在导航栏中选择“策略配置>安全设置>入侵防御>模板”,进入IPS模板界面,点击模板名称选择协议异常检测页面,进入HTTP协议配置页面,如下图所示。

图1-11 HTTP协议异常检查界面

 

HTTP协议检查说明,如下表所示。

表1-4 HTTP异常检查描述表

标题项

说明

协议异常检测启用

协议检查总开关

HTTP URL长度检测

勾选启用

url长度

启用url长度检测

抓包

开启抓包

url长度

url长度范围为:64-4096

动作

允许/拒绝

日志

日志级别配置

请求头长度检测

勾选启用

抓包

开启抓包

请求头长度

请求头长度范围为:64-4096

动作

允许/拒绝

日志

日志级别配置

目录长度检测

勾选启用

抓包

开启抓包

目录长度

目录长度范围为:8-512

动作

允许/拒绝

日志

日志级别配置

Host字段检测

勾选启用

抓包

开启抓包

动作

允许/拒绝

日志

日志级别配置

Version字段检测

勾选启用

抓包

开启抓包

动作

允许/拒绝

日志

日志级别配置

 

1.3.4  DNS协议异常检查

在导航栏中选择“策略配置>安全设置>入侵防御>模板”,进入IPS模板界面,点击模板名称选择协议异常检测页面,进入DNS协议配置页面,如下图所示。

图1-12 DNS协议异常检查界面

 

DNS协议检查说明,如下表所示。

表1-5 DNS异常检查描述表

标题项

说明

启用

勾选启用DNS协议检查

域名长度检测

勾选启用DNS域名长度检测

抓包

开启抓包

域名长度

域名长度范围为:1-1024

动作

允许/拒绝

日志

日志级别配置

域名字符检测

勾选启用

抓包

开启抓包

动作

允许/拒绝

日志

日志级别配置

 

1.3.5  SMTP协议异常检查

在导航栏中选择“策略配置>安全设置>入侵防御>模板”,进入IPS模板界面,点击模板名称选择协议异常检测页面,进入SMTP协议配置页面,如下图所示。

图1-13 SMTP协议异常检查界面

 

SMTP协议检查说明,如下表所示。

表1-6 SMTP异常检查描述表

标题项

说明

启用

勾选启用SMTP协议检查

文本长度检测

勾选启用SMTP文本长度检测

抓包

开启抓包

文本行长度

文本行长度范围为:64-2048

动作

允许/拒绝

日志

日志级别配置

附件文件名长度检测

勾选启用

抓包

开启抓包

附件文件名长度

附件文件名长度范围为:1-512

动作

允许/拒绝

日志

日志级别配置

 

1.3.6  POP3协议异常检查

在导航栏中选择“策略配置>安全设置>入侵防御>模板”,进入IPS模板界面,点击模板名称选择协议异常检测页面,进入POP3协议配置页面,如下图所示。

图1-14 POP3协议异常检查界面

 

POP3协议检查说明,如下表所示。

表1-7 POP3异常检查描述表

标题项

说明

启用

勾选启用POP3协议检查

文本长度检测

勾选启用POP3文本长度检测

抓包

开启抓包

文本行长度

文本行长度范围为:64-2048

动作

允许/拒绝

日志

日志级别配置

附件文件名长度检测

勾选启用

抓包

开启抓包

附件文件名长度

附件文件名长度范围为:1-512

动作

允许/拒绝

日志

日志级别配置

1.3.7  FTP协议异常检查

在导航栏中选择“策略配置>安全设置>入侵防御>模板”,进入IPS模板界面,点击模板名称选择协议异常检测页面,进入FTP协议配置页面,如下图所示。

图1-15 FTP协议异常检查界面

 

FTP协议检查说明,如下表所示。

表1-8 FTP异常检查描述表

标题项

说明

启用

勾选启用FTP协议检查

命令行长度检测

勾选启用FTP命令行长度检测

抓包

开启抓包

命令行长度

命令行长度范围为:2-128

动作

允许/拒绝

日志

日志级别配置

命令参数长度检测

勾选启用

抓包

开启抓包

命令参数长度

命令参数长度范围为:2-1024

动作

允许/拒绝

日志

日志级别配置

 

1.4  入侵防御自定义规则

1.4.1  入侵防御自定义规则简介

安全策略通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与和逻辑或形成多条件匹配的方式实现入侵防御。

1.4.2  入侵防御规则库显示

在导航栏中选择“策略配置>安全设置>入侵防御>规则库”,进入IPS规则库界面,可以查看规则库的规则信息,包括系统预定义规则及用户自定义规则信息,如图1-16所示。

图1-16 IPS规则库显示界面

1.4.3  入侵防御自定义规则配置

在入侵防御规则库页面,点击<添加自定义规则>进入IPS自定义规则配置页面,如图1-17所示。

图1-17 自定义规则配置页面图

 

IPS自定义规则详细配置说明,如表1-9所示。

表1-9 自定义规则配置页面信息描述表

标题项

说明

名称

自定义规则的名称

严重程度

规则的严重程度,分为:低、中、高、紧急,根据规则的严重程度确定日志的级别。

方向

规则检测的方向:双向检测、向客户端、向服务端。

协议字段

每个协议字段可以包含8个协议匹配条件,每个匹配条件间为逻辑或。

每条自定义规则可以包含8个协议字段,协议字段之间为逻辑与。

匹配时先匹配每个字段的匹配条件或进行协议字间匹配,即先或后与

表达式为 (..&&..)||(..&&..)。

 

1.4.4  协议字段的配置

在入侵防御自定义规则显示页面,点击<新建自定义规则>可以进入自定义规则配置页面,可以选择多种协议以及协议字段 ,配置字段详细信息如表1-10所示

表1-10 协议字段配置方式对应表

协议类型

协议字段

配置方式

IP

协议

l     等于

l     不等于

负载长度

l     等于

l     大于

l     小于

负载

包含

UDP

源端口号

l     等于

l     不等于

l     大于

目的端口号

l     等于

l     不等于

l     大于

负载长度

l     等于

l     大于

l     小于

负载

包含

TCP

源端口号

l     等于

l     不等于

l     大于

目的端口号

l     等于

l     不等于

l     大于

负载长度

l     等于

l     大于

l     小于

负载

包含

ICMP

类型

l     等于

l     不等于

l     大于

代码

l     等于

l     不等于

l     大于

负载长度

l     等于

l     大于

l     小于

负载

l     包含

l     正则匹配

HTTP

方法内容

l     等于

l     不等于

URL内容

l     包含

l     正则匹配

HOST内容

l     包含

l     正则匹配

Cookie内容

l     包含

l     正则匹配

Header内容

l     包含

l     正则匹配

User-Agent内容

l     包含

l     正则匹配

方法长度

l     等于

l     大于

l     小于

版本长度

l     等于

l     大于

l     小于

URL长度

l     等于

l     大于

l     小于

HOST长度

l     等于

l     大于

l     小于

Cookie长度

l     等于

l     大于

l     小于

Header长度

l     等于

l     大于

l     小于

User-Agent长度

l     等于

l     大于

l     小于

FTP

命令内容

ftp标准命令如:STOR,RETR,MLSD

l     包含

l     正则匹配

命令参数内容

命令后面跟的参数如 RETR <文件名>

l     包含

l     正则匹配

命令长度

l     等于

l     大于

l     小于

命令参数长度

l     等于

l     大于

l     小于

POP3

命令内容

POP3命令如:user

l     包含

l     正则匹配

命令参数内容

l     包含

l     正则匹配

命令长度

l     等于

l     大于

l     小于

命令参数长度

l     等于

l     大于

l     小于

SMTP

命令内容

SMTP命令如:mail

l     包含

l     正则匹配

命令参数内容

l     包含

l     正则匹配

命令长度

l     等于

l     大于

l     小于

命令参数长度

l     等于

l     大于

l     小于

 

1.5  入侵防御防逃避

1.5.1  入侵防御防逃避简介

在IPS实际的使用场景中,攻击者往往会使用逃避技术来掩盖攻击,从而避免被IPS设备发现。如果安全产品未能识别出逃避行为,本来能够防护的漏洞就会轻易被绕过,鉴于此设备增加了IPS防逃避能力,提高对IPS逃避行为的检测能力。此功能只有进入IPS流程后,才能进入IPS防逃避流程。

目前支持FTP防逃避、URL防逃避、HTML防逃避检测,只支持命令行。

1.5.2  入侵防御防逃避 命令行

IPS防逃避命令参数配置说明,如下表所示。

表1-11 IPS防逃避命令参数配置

【命令名称】

ips normalize { all | http_header | http_post_form | http_javascript | http_utf_file }

【视图】

配置视图

【描述】

配置使能IPS防逃避功能需要正规化的字段

默认状态均为关闭

【参数解释】

http_headerHTTP头部字段;

http_post_formhttp_post_form_data字段(请求方向的http_msgbody);

http_javascriptHTTP响应的JS文件;

http_utf_fileHTTP响应的文件(UTF16UTF32编码)。

【命令名称】

no ips normalize { all | http_header | http_post_form | http_javascript | http_utf_file }

【视图】

配置视图

【描述】

配置关闭IPS防逃避功能需要正规化的字段

 

1.6  入侵防御策略

如需使入侵防御生效,必须在相应的安全策略上面启用入侵防御策略。

通过菜单“策略配置>控制策略”进入控制策略界面,新建或者编辑一条已经存在的策略;点击“入侵防御”标签页,进入“入侵防御”配置界面,如图1-18所示。各个配置项含义如表1-12所示。

图1-18 入侵防御策略

 

表1-12 入侵防御策略配置项含义描述表

参数

说明

规则模板

选择入侵防御使用的规则模板名称

防护模式

是否启用防护模式,只有启用防护模式且模板下的规则或协议异常检查配置为阻断,匹配到策略后才会阻断流量。

 

说明

·     R6612及以上版本中,入侵防御预定义规则模板的默认动作为阻断,匹配到规则后会对数据报文或流进行丢弃处理。因此,开局时如果使用预定义模板规则,建议取消勾选“防护模式”,系统运行一段时间后,再根据实际场景情况定义合适的入侵防御规则模板。

·     设备从R6612以下版本升级到R6612及以上版本时,除了IPS自定义规则,其它所有IPS配置不进行恢复,如果原来控制策略中配置了IPS策略,则默认恢复为引用All模板的IPS策略。升级后,建议将IPS策略的“防护模式”设置为不勾选,系统运行一段时间后,再根据实际场景情况定义合适的入侵防御规则模板。

 

1.7  入侵日志聚合

IPS入侵日志支持聚合,系统可将符合聚合规则(协议ID相同、特征规则ID相同)的日志信息进行聚合,从而减少日志数量,避免日志服务器接受冗余的日志信息。系统仅支持聚合由IPS功能所产生的日志信息。聚合的前提条件是特征规则ID、应用必须相同,然后根据聚合方式进行聚合。

该功能默认为关闭状态。

通过菜单“数据中心>日志中心>安全日志>入侵日志>日志聚合”进入日志聚合配置界面,点击“下拉框”选择日志聚合方式,如图1-18所示。各个配置项含义如表1-12所示。

图1-19 入侵防御日志聚合

 

表1-13 入侵防御日志聚合方式配置项含义描述表

聚合方式

说明

不聚合

默认不聚合

按照规则聚合

是指一段时间之内相同规则ID、相同应用的事件只会产生一条日志。

按源IP聚合

是指一段时间之内相同源IP、相同规则ID、相同应用的事件只会产生一条日志。

按目的IP聚合

是指一段时间之内相同目的IP、相同规则ID、相同应用的事件只会产生一条日志。

按源目IP聚合

是指一段时间之内相同源IP、相同目的IP、相同规则ID、相同应用的事件只会产生一条日志。

 

1.8  入侵日志告警规则

通过菜单“数据中心>日志中心>安全日志>入侵日志>告警规则”进入告警规则配置界面,点击“新建”进入告警规则配置页面,如下图所示。

图1-20 入侵防御告警规则

 

表1-14 入侵防御告警规则配置项含义描述表

参数

说明

规则名称

告警规则名称,可输入1-31个字符,不支持中文。

源地址

源地址对象支持子网、范围、主机地址三种。

目的地址

目的地址对象支持子网、范围、主机地址三种。

代理地址

代理地址对象:支持子网、范围、主机地址三种。

源端口

范围为:0-65535,0代表任意端口。

目的端口

范围为:0-65535,0代表任意端口。

级别

全部、告警、严重、警告、通知、信息。

动作

全部、允许、拒绝、丢弃、丢弃会话、阻断源地址。

事件类型

全部、CGI攻击、安全审计、木马后门、CGI访问、可疑行为、安全漏洞、缓冲溢出、拒绝服务、蠕虫病毒、间谍软件、安全扫描、网络娱乐、协议分析、网络数据库攻击、网络设备攻击、欺骗劫持、分布式拒绝服务、网络通讯、脆弱口令、穷举检测、WAF攻击。

发送频率

时间范围(60-86400秒),攻击条数阈值(1~99999999)。

外发设置

syslog , 邮件(配置邮箱)。

告警邮件

收件地址:多个邮箱回车分割,最多支持输入32个。

 

1.9  入侵防御配置举例

1.9.1  组网需求

图1-21所示,服务器通过Internet提供web和FTP服务,在设备上启用入侵防御功能来保护Web和FTP服务器。同时通过自定义规则来禁止使用除210以外的端口访问ftp服务器,且不允许上传文件和新建目录,为了减少日志量,按照规则进行日志聚合。

图1-21 入侵防御功能配置组网图

 

1.9.2  配置思路

·     配置模板,决定需要对哪些规则做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的模板,也可以自定义新的模板。

·     配置控制策略,在控制策略中配置入侵防御,引用已经配置的模板,对命中控制策略的流量做入侵防御相关的检测。

1.9.3  配置注意事项

·     入侵防御策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。

·     是否启用防护模式,只有启用防护模式且模板下的规则或协议异常检查配置为阻断,匹配到策略后才会阻断流量。

1.9.4  配置步骤

1. 配置自定义入侵防御规则

进入“策略配置>安全设置>入侵防御>规则库”,进入IPS自定义规则配置页面,如下图所示,禁止使用除210以外的端口访问ftp服务器,且不允许上传文件和新建目录。

图1-22 配置自定义入侵防御规则

 

2. 配置入侵防御模板

进入“策略设置>安全设置>入侵防御>模板”,进入入侵防御配置页面,新建模板并添加规则,如下图所示。

图1-23 配置入侵防御模板

 

 

3. 配置控制策略

进入“策略配置>策略配置>控制策略”,进入控制策略页面,如图1-24所示,新建策略,在入侵防御子菜单中启用功能并选择模板“test”,完成后点击提交。

图1-24 配置控制策略

 

4. 配置日志聚合

进入“数据中心>日志中心>安全日志>入侵日志>日志聚合”,进入日志聚合配置页面,如图1-24所示,选择聚合方式点击提交。

图1-25 配置日志聚合

 

1.9.5  验证配置

1. 默认入侵防御功能验证

使用测试PC进行攻击操作。在“数据中心>日志中心>安全日志>入侵日志”中可看到相应攻击日志信息,如图1-26所示。

图1-26 入侵日志

 

2. 自定义入侵防御功能验证

配置完成自定义IPS规则后,用户只能使用 210端口访问FTP服务器,可以下载文件,但是无法上传和创建目录。否则无法登录服务器,并记录相应日志信息。使用测试PC进行FTP服务器登录操作,在“数据中心>日志中心>安全日志>入侵日志”中可看到相应日志信息,如图1-27所示。

图1-27 入侵检测日志

 

点击“详细”可看到相应日志的详细信息,包括日志聚合信息等,如图1-27所示。

图1-28 入侵检测日志聚合信息

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们