• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6612 E6453)-6W109

58-入侵防御典型配置举例

本章节下载  (772.90 KB)

58-入侵防御典型配置举例


1  简介

本文档介绍设备的入侵防御功能配置举例。随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障。

入侵防御涉及以下概念:

·     规则模板:规则模板是一个或多个规则的集合,规则模板分为预定义规则模板、派生规则模板和自定义规则模板。

预定义规则模板由系统自动创建,其中包含的规则以及每条规则的配置(阻断、抓包等)也都由系统预先设定,规则不允许增加或删除,每条规则的配置也不允许修改。预定义规则模板包括以下四个:

¡     ALL:包含全部规则

¡     Webserver:Web规则模板

¡     Windows:包含Windows系统漏洞规则

¡     Unix-like:包含Unix、Linux系统漏洞规则

预定义规则模板下每条规则的配置初始值如下:

¡     日志:根据规则严重程度确定,严重程度为“高”,日志默认为告警;严重程度为“中”,日志默认为警告;严重程度为“低”,日志默认为“通知”。

¡     阻断:默认阻断。

¡     隔离:默认不隔离。

¡     抓包:默认不抓包。

派生规则模板由预定义规则模板派生而来,其中包含的规则与对应的预定义规则模板相同,也是不允许增加或删除,但是可以修改每条规则的配置。派生规则模板由用户根据需要手动派生创建,派生规则模板不可以再派生。

自定义规则模板完全由用户自己定义创建,其中包含的规则以及配置都可以随意修改。

·     规则:规则除了包含有检测攻击的特征之外,还有规则严重程度、规则状态、日志、阻断、隔离、抓包,CVE、CNNVD、操作系统、发布年份、厂商,操作。一条规则可以属于多个规则模板。

入侵防御安全引擎提供自定义规则功能,通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与、逻辑或形成多条件匹配的方式实现入侵防御。安全管理员可以使用自定义规则功能,自己写签名进行防护。自定义规则检测是基于流检测的,支持多种协议字段,其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP协议。对于字符串字段,可支持正则和非正则匹配的方式。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解入侵防御特性。

3  使用限制及注意事项

·     由于部分特征需要修改检测深度才行识别,可以通过配置max-ips-detect 4096命令,提升检测深度,注:此命令只适合测试使用,实际使用开启此命令,会导致性能大幅度下降。

·     设备同时配置有日志聚合和告警规则时,告警规则优先,即:匹配命中告警规则的报文产生的日志不聚合。

·     设备从R6612以下版本升级到R6612及以上版本时,除了IPS自定义规则,其它所有IPS配置不进行恢复,如果原来控制策略中配置了IPS策略,则默认恢复为引用All模板的IPS策略。

·     设备从R6612及以上版本降级到R6612以下版本时,以下IPS配置会丢失:

¡         IPS日志聚合配置会丢失。

¡         IPS所有模板以及模板下的规则配置和协议异常配置都会丢失。

¡         IPS自定义规则会丢失。

¡         IPS高级告警配置会丢失。

¡     控制策略里引用的IPS模板会丢失。

·     设备的内存大小不同,IPS规则模板的规格也不同。具体规格如下:

¡     内存为1G的设备,IPS模板最多支持16个;

¡     内存为2G-4G的设备,IPS模板最多支持32个;

¡     内存为8G及以上的设备,IPS模板最多支持64个。

以上规则总数包含4个预定义规则模板。

·     设备的内存大小不同,IPS规则的规格也不同。具体规格如下:

¡     内存为1G的设备,IPS规则只加载最新的3000条规则;

¡     内存为2G及以上的设备,IPS规则支持8000+条规则。

·     IPS自定义规则最多可配置32条,每条自定义规则最多可包含8个协议字段,每个协议字段最多可包含8个协议匹配条件。

·     IPS规则如果配置了阻断,命中该规则后会丢弃当前报文。如果是TCP协议,阻断会发rst;如果是UDP协议,阻断直接丢弃报文。阻断只是阻断当前连接或会话。

·     IPS规则如果配置了隔离,命中该规则后会将报文的源地址加入加黑名单(时间可配置),加黑名单以后,该地址用户后续的报文都会阻断。

·     IPS的防逃避功能只能通过命令行开启,Web页面不支持配置,此功能开启后对性能影响比较大,不建议开启,仅在特殊场景下使用。

·     因为目前仅支持木马后门、蠕虫病毒、挖矿、webshell、木马外联五类攻击,因为这五类攻击是攻击渗透成功之后做的向外传输数据的动作,一般有这种流量基本确定内网已有主机被攻陷,所以能断定被攻击成功,其它种类攻击目前暂不支持判断,入侵日志中的成功标志为否。

4  配置举例

4.1  组网需求

图1所示,服务器通过Internet提供Web和FTP服务,在设备上启用入侵防御功能来保护Web和FTP服务器。同时通过自定义规则来禁止使用除210以外的端口访问FTP服务器,且不允许上传文件和新建目录,为了减少日志量,按照规则进行日志聚合。

图1 入侵防御功能配置组网图

 

4.2  配置思路

·     配置模板,决定需要对哪些规则做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的模板,也可以自定义新的模板。

·     配置控制策略,在控制策略中配置入侵防御,引用已经配置的模板,对命中控制策略的流量做入侵防御相关的检测。

4.3  使用版本

本举例是在R6612版本上进行配置和验证的。

4.4  配置注意事项

·     入侵防御策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。

·     是否启用防护模式,只有启用防护模式且模板下的规则或协议异常检查配置为阻断,匹配到策略后才会阻断流量。

·     入侵防御预定义规则模板的默认动作为阻断,匹配到规则后会对数据报文或流进行丢弃处理。因此,开局时如果使用预定义模板规则,建议取消勾选“防护模式”,系统运行一段时间后,再根据实际场景情况定义合适的入侵防御规则模板。

·     设备从R6612以下版本升级到R6612及以上版本时,除了IPS自定义规则,其它所有IPS配置不进行恢复,如果原来控制策略中配置了IPS策略,则默认恢复为引用All模板的IPS策略。升级后,建议将IPS策略的“防护模式”设置为不勾选,系统运行一段时间后,再根据实际场景情况定义合适的入侵防御规则模板。

4.5  配置步骤

4.5.1  配置自定义入侵防御规则

进入“策略配置>安全设置>入侵防御>规则库”,进入IPS自定义规则配置页面,禁止使用除210以外的端口访问FTP服务器,且不允许上传文件和新建目录。

图2 配置自定义入侵防御规则

 

4.5.2  配置入侵防御模板

进入“策略设置>安全设置>入侵防御>模板”,进入入侵防御配置页面,新建模板并添加规则,如下图所示。

图3 新建入侵防御模板

 

图4 添加规则

 

4.5.3  配置控制策略

进入“策略配置>策略配置>控制策略”,进入控制策略页面,如图5所示,新建策略,在入侵防御子菜单中启用功能并选择模板“test”,完成后点击提交。

图5 配置控制策略

 

4.5.4  配置日志聚合

进入“数据中心>日志中心>安全日志>入侵日志”,进入日志聚合配置页面,如4.5.3  图5所示,选择聚合方式点击提交。

图6 配置日志聚合

 

4.6  验证配置

4.6.1  默认入侵防御功能验证

使用测试PC进行攻击操作。在“数据中心>日志中心>安全日志>入侵日志”中可看到相应攻击日志信息,如图7所示。

图7 入侵日志

 

4.6.2  自定义入侵防御功能验证

配置完成自定义IPS规则后,用户只能使用 210端口访问FTP服务器,可以下载文件,但是无法上传和创建目录。否则无法登录服务器,并记录相应日志信息。使用测试PC进行FTP服务器登录操作,在“数据中心>日志中心>安全日志>入侵日志”中可看到相应日志信息,如图8所示。

图8 入侵检测日志

 

在“数据中心>日志中心>安全日志>入侵日志”中可看到相应日志信息,如图8所示。

图9 入侵检测日志聚合

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们