43-H3C无线控制器IPS典型配置举例
本章节下载: 43-H3C无线控制器IPS典型配置举例 (316.53 KB)
H3C无线控制器IPS典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍IPS典型配置举例。
需要保护企业信息系统和网络免遭攻击。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本特性仅在E5568P01及以后版本支持。
如图1所示,Switch作为DHCP服务器为AP和Client分配IP地址,其中AP与AC使用VLAN 100建立CAPWAP隧道,Client使用VLAN 200接入无线网络。现需要使用IPS功能,保护企业内网用户免受来自Internet的攻击。其中,企业内网经常受到漏洞攻击,需要对以上攻击进行防范。
图1 IPS组网图
在AC上完成无线服务、IP地址、AP接入和射频状态相关配置(略)。
单击页面左侧导航栏的[应用安全/对象组/IPv4地址对象组],进入“IPv4地址对象组”页面,进行如下配置:
· 配置对象组名称为ipsfilter。
· 单击按钮,新建对象类型为网段,内容为192.2.1.0/24,单击<确定>按钮,完成地址对象创建。
· 单击<确定>按钮,完成IPv4地址对象组创建。
图2 创建IPv4地址对象组
# 单击页面左侧导航栏的[应用安全/入侵防御/配置文件],进入“配置文件”页面,进行如下配置:
· 配置名称为ips。
· 保护对象:全部。
· 攻击分类:漏洞。
· 对象:服务端、客户端。
· 缺省动作:丢弃、允许、重置、源阻断。
· 严重级别:严重、高、中、低。
图3 筛选规则
# 在设置配置文件规则区域,配置如下:
· 动作:丢弃。
· 其他配置项保持默认情况即可。
图4 设置配置文件规则
# 单击<确定>按钮,完成入侵防御配置文件的配置。
# 激活入侵防御配置文件。
<AC> system-view
[AC] inspect activate
# 单击页面左侧导航栏的[应用安全/安全策略/安全策略],进入“安全策略”页面,进行如下配置:
· 配置名称为ips。
· 动作:允许。
· 目的IP地址:ipsfilter。
· 引用入侵防御配置文件:ips。
· 其他配置项保持缺省情况即可。
· 单击<确定>按钮,完成配置。
图5 新建应用策略
以上配置完成后,可以实现针对漏洞攻击的防护。
· 《H3C 无线控制器产品 Web配置指导》
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!