- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-服务器外联防护配置
本章节下载: 20-服务器外联防护配置 (208.64 KB)
目 录
服务器外联防护是一种针对内网服务器的保护机制,可以有效识别服务器的主动外联行为,为管理员检查服务器提供依据,进而防止服务器成为僵尸网络的一部分,对外发动攻击或对内进行渗透。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
F1000系列 |
型号 |
说明 |
|
F1000-X-G5系列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-G3系列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
|
F1000-X-G2系列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
|
F1000-9X0-AI系列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-9330-AI、F1000-9320-AI、F1000-9310-AI、F1000-9305-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
支持 |
|
F1000-C83X0系列 |
F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8330、F1000-C8320、F1000-C8310、F1000-C8305 |
支持 |
|
F1000-C81X0系列 |
F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
支持 |
|
F1000-7X0-HI系列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI、F1000-730-HI、F1000-720-HI、F1000-710-HI |
支持 |
|
F1000-C-X系列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
支持 |
|
F1000-V系列 |
F1000-E-VG、F1000-S-VG |
支持 |
|
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
不支持 |
|
F100系列 |
型号 |
说明 |
|
F100-X-G5系列 |
F100-A-G5、F100-C-G5、F100-C-G5-EI、F100-C-G5-SI、F100-E-G5、F100-M-G5、F100-M-G5-EI、F100-S-G5 |
支持 |
|
F100-X-G3系列 |
F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3 |
支持 |
|
F100-X-G2系列 |
F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2 |
支持 |
|
F100-WiNet系列 |
F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-S80-WiNet、F100-A81-WiNet、F100-A91-WiNet、F100-C50-WiNet |
支持 |
|
F100-C-A系列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
支持 |
|
F100-X-XI系列 |
F100-A-EI、F100-A-HI、F100-A-SI、F100-C-EI、F100-C-HI、F100-A-XI、F100-C-XI、F100-E-EI、F100-S-HI、F100-S-XI |
支持 |
服务器外联防护配置任务如下:
(1) 配置服务器外联学习功能
(2) 配置服务器外联防护策略
(3) 配置服务器外联防护策略规则
服务器外联学习功能会对指定服务器主动外联的流量进行检测,识别出服务器的所有外联行为。管理员可以通过学习结果来判断服务器的哪些外联是正常,哪些外联是异常,可为管理员配置服务器异常防护策略提供数据依据。
服务器外联学习中,无法在服务器外联学习视图下进行任何配置。
(1) 进入系统视图。
system-view
(2) 进入服务器外联学习视图。
scd learning
(3) 配置待防护的服务器。
source-ip object-group-name
缺省情况下,未配置待防护的服务器。
(4) 开启服务器外联自动学习功能。
auto-learn enable period { one-day | one-hour | seven-day | twelve-hour }
缺省情况下,服务器外联自动学习功能处于关闭状态。
服务器外联防护策略中可以配置监测对象、监测规则、防护开关和日志功能。当发现待保护服务器出现异常外联系行为时,设备可以对其进行告警。
设备仅对指定的待防护服务器发起的外联行为进行检测。
不同服务器外联防护策略中配置的待防护服务器IP地址不能相同。
(1) 进入系统视图。
system-view
(2) 创建服务器外联防护策略,并进入服务器外联防护策略视图。
scd policy name policy-name
(3) 配置待防护服务器的IP地址。
protected-server ip-address
缺省情况下,不存在待防护服务器的IP地址。
(4) (可选)开启服务器外联防护策略记录日志的功能。
logging enable
缺省情况下,服务器外联防护策略记录日志的功能处于关闭状态。
(5) 开启服务器外联防护功能。
policy enable
缺省情况下,服务器外联防护功能处于关闭状态。
服务器外联防护规则中可以配置服务器允许外联的IP地址、协议和端口号,在指定范围之外的连接都认为是非法外联行为。
若服务器外联防护策略中不存在规则,则认为此服务器的所有主动外联行为是非法连接。
服务器外联防护规则中的每一项内容都必须配置,否则此规则不会检测任何报文。
同一服务器外联防护策略下不同规则中允许外联IP地址不能相同。
(1) 进入系统视图。
system-view
(2) 进入服务器外联防护策略视图。
scd policy name policy-name
(3) 创建服务器外联防护规则,并进入服务器外联防护规则视图
rule rule-id
(4) 配置服务器允许外联的IP地址。
permit-dest-ip ip-address
缺省情况下,未配置服务器允许外联的IP地址。
(5) 配置服务器允许外联的协议。
protocol { icmp | tcp port port-list | udp port port-list }
缺省情况下,未配置服务器允许外联的协议。
在完成上述配置后,在任意视图下执行display命令可以显示服务器外联防护的配置信息和统计信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除服务器外联防护的统计信息。
|
操作 |
命令 |
|
显示服务器外联学习的相关配置信息 |
display scd auto-learn config |
|
显示服务器外联学习的结果 |
display scd learning record [ protected-server ip-address ] [ destination-ip ip-address ] |
|
显示服务器外联防护策略的配置信息 |
display scd policy [ name policy-name ] |
|
清除服务器外联学习的结果 |
reset scd learning record |
某公司数据中心的服务器通过Device与Internet连接。通过配置服务器外联防护策略可以有效识别服务器的主动外联行为,并对此外联行为进行告警。
图1-1 服务器外联防护基础配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Internet的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 2.2.3.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为dmz-untrust的安全策略规则,使内网Server可以向Internet发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name dmz-untrust
[Device-security-policy-ip-1-dmz-untrust] source-zone dmz
[Device-security-policy-ip-1-dmz-untrust] destination-zone untrust
[Device-security-policy-ip-1-dmz-untrust] source-ip-host 2.2.1.2
[Device-security-policy-ip-1-dmz-untrust] action pass
[Device-security-policy-ip-1-dmz-untrust] quit
[Device-security-policy-ip] quit
(5) 配置对象
# 创建名为abc的IP地址对象组,并定义其子网地址为2.2.1.0/24,具体配置步骤如下。
[Device] object-group ip address abc
[Device-obj-grp-ip-abc] network subnet 2.2.1.0 24
[Device-obj-grp-ip-abc] quit
(6) 配置服务器外联学习功能
# 配置待防护的服务器,开启服务器外联自动学习功能,连续学习时间为一天,具体配置步骤如下。
[Device] scd learning
[Device-scd-learning] source-ip abc
[Device-scd-learning] auto-learn enable period one-day
[Device-scd-learning] quit
(7) 配置服务器外联防护策略
# 创建名称为policy1的服务器外联防护策略,配置服务器外联防护规则,具体配置步骤如下。
[Device] scd policy name policy1
[Device-scd-policy-policy1] protected-server 2.2.1.2
[Device-scd-policy-policy1] logging enable
[Device-scd-policy-policy1] rule 1
[Device-scd-policy-policy1-1] permit-dest-ip 2.2.3.2
[Device-scd-policy-policy1-1] protocol tcp port 80 443
[Device-scd-policy-policy1-1] quit
[Device-scd-policy-policy1] policy enable
[Device-scd-policy-policy1] quit
# 在服务器外联学习完成后,显示服务器外联学习的所有结果。
[Device] display scd learning record
Id Protected server Destination IPv4 address Protocol Port
1 2.2.1.2 2.2.3.2 TCP 80
2 2.2.1.2 2.2.3.2 TCP 443
3 2.2.1.2 2.2.3.2 UDP 4433
4 2.2.1.2 2.2.3.2 UDP 567
Total entries: 4
# 显示名称为policy1服务器外联防护策略的详细配置信息。
<Sysname> display scd policy name policy1
SCD policy name: policy1
Protected server IPv4: 2.2.1.2
Logging: Enabled
Policy status: Enabled
Rule ID: 1
Permitted dest IPv4: 2.2.3.2
Protocol: TCP port 80,443
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
