• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

04-DPI深度安全配置指导

目录

03-IPS配置

本章节下载 03-IPS配置  (456.57 KB)

03-IPS配置


1 IPS

1.1  IPS简介

IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。

1.1.1  IPS的功能

IPS具有以下功能:

·     深度防护:可以检测报文应用层的内容,以及对网络数据流进行协议分析和重组,并根据检测结果来对报文做出相应的处理。

·     实时防护:实时检测流经设备的网络流量,并对入侵活动和攻击性网络流量进行实时拦截。

·     全方位防护:可以对多种攻击类型提供防护措施,例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。

·     内外兼防:对经过设备的流量都可以进行检测,不仅可以防止来自企业外部的攻击,还可以防止发自企业内部的攻击。

1.1.2  IPS策略

设备基于IPS策略对报文进行IPS处理。IPS策略中定义了匹配报文的IPS特征和处理报文的IPS动作。

1. IPS特征

IPS特征用来描述网络中的攻击行为的特征,设备通过将报文与IPS特征进行比较来检测和防御攻击。IPS特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向等。这些属性可作为过滤条件来筛选IPS特征,只有筛选出的特征才能与报文进行匹配。

设备支持以下两种类型的IPS特征:

·     预定义IPS特征:系统中的IPS特征库自动生成。设备不支持对预定义IPS特征的内容进行创建、修改和删除。

·     自定义IPS特征:包括Snort文件导入的Snort特征和用户手工配置的自定义特征。管理员在设备上手工创建。通常新的网络攻击出现后,与其对应的攻击特征会出现的比较晚一些。如果管理员已经掌握了新网络攻击行为的特点,可以通过自定义方式创建IPS特征,及时阻止网络攻击,否则,不建议用户自定义IPS特征。

2. IPS动作

IPS动作是指设备对匹配上IPS特征的报文做出的处理。IPS处理动作包括如下几种类型:

·     重置:通过发送TCP的reset报文断开TCP连接。

·     重定向:把符合特征的报文重定向到指定的Web页面上。

·     源阻断:阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能(由blacklist global enable开启),则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。

·     丢弃:丢弃符合特征的报文。

·     放行:允许符合特征的报文通过。

·     捕获:捕获符合特征的报文。

·     生成日志:对符合特征的报文生成日志信息。

1.1.3  IPS实现流程

IPS处理流程如图1-1所示:

图1-1 IPS数据处理流程图

 

IPS功能是通过在DPI应用profile中引用IPS策略,并在安全策略中引用DPI应用profile来实现的,IPS处理的具体实现流程如下:

(1)     设备识别应用层报文协议,并提取报文特征。

(2)     设备将提取的报文特征与IPS特征进行匹配,并进行如下处理:

¡     如果报文未与任何IPS特征匹配成功,则设备对报文执行允许动作。

¡     如果报文只与一个IPS特征匹配成功,则根据此特征中指定的动作进行处理。

¡     如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为:重置 > 重定向 >丢弃 > 允许。但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行。

1.1.4  IPS特征库升级与回滚

IPS特征库是用来对经过设备的应用层流量进行病毒检测和防御的资源库。随着网络攻击不断的变化和发展,需要及时升级设备中的IPS特征库,同时设备也支持IPS特征库回滚功能。

1. IPS特征库升级

IPS特征库的升级包括如下几种方式:

·     定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的IPS特征库。

·     立即自动在线升级:管理员手工触发设备立即更新本地的IPS特征库。

·     手动离线升级:当设备无法自动获取IPS特征库时,需要管理员先手动获取最新的IPS特征库,再更新设备本地的IPS特征库。

2. IPS特征库回滚

如果管理员发现设备当前IPS特征库对报文进行检测和防御网络攻击时,误报率较高或出现异常情况,则可以将其进行回滚到出厂版本和上一版本。

1.2  IPS的License要求

IPS功能需要购买并正确安装License后才能使用。License过期后,IPS功能可以采用设备中已有的IPS特征库正常工作,但无法升级到比当前版本高的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。

1.3  IPS配置任务简介

IPS配置任务如下:

(1)     配置IPS策略

(2)     在DPI应用profile中引用IPS策略

(3)     (可选)激活IPS策略配置

(4)     在安全策略中引用DPI应用profile

(5)     配置IPS特征库升级和回滚

(6)     (可选)导入和删除Snort特征

(7)     (可选)配置自定义IPS特征

(8)     (可选)配置IPS特征命中统计功能

(9)     (可选)配置IPS白名单

1.4  配置IPS策略

1.4.1  创建IPS策略

1. 功能简介

缺省情况下,IPS策略将使用当前设备上所有处于生效状态的IPS特征与报文进行匹配,并对匹配成功的报文执行IPS特征属性中的动作。管理员可根据实际需求,在新建的IPS策略中,将IPS特征的属性作为过滤条件,筛选出需要与报文进行匹配的IPS特征,并配置IPS特征动作。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建IPS策略,并进入IPS策略视图。

ips policy policy-name

缺省情况下,存在一个缺省IPS策略,名称为default,且不能被修改或删除。

1.4.2  配置筛选IPS特征的属性

1. 功能简介

IPS策略将筛选出匹配所有已配置属性的特征,如果属性中配置了多个参数,则IPS特征至少需要匹配上其中一个参数,才表示匹配上该属性。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPS策略视图。

ips policy policy-name

(3)     配置筛选IPS特征的属性。

¡     配置筛选IPS特征的保护对象属性。

protect-target { target [ subtarget | all ] }

缺省情况下,IPS策略匹配所有保护对象的特征。

¡     配置筛选IPS特征的攻击分类属性。

attack-category { category [ subcategory ] | all }

缺省情况下,IPS策略匹配所有攻击分类的特征。

¡     配置筛选IPS特征的动作属性。

action { block-source | drop | permit | reset } *

缺省情况下,IPS策略匹配所有动作的特征。

¡     配置筛选IPS特征的方向属性。

object-dir { client | server } *

缺省情况下,IPS策略匹配所有方向的特征。

¡     配置筛选IPS特征的严重级别属性。

severity-level { critical | high | low | medium } *

缺省情况下,IPS策略匹配所有严重级别的特征。

¡     配置筛选IPS特征的推荐状态属性。

status { disabled | enabled } *

缺省情况下,IPS策略匹配所有缺省推荐和不推荐使用的特征。

特征的推荐状态属性用于标识特征库中缺省是否推荐使用该特征匹配报文。推荐状态为enabled时,表示缺省推荐使用该特征;推荐状态为disabled时,表示缺省不推荐使用该特征。

1.4.3  配置IPS特征库版本基线

1. 功能简介

当管理员升级IPS特征库后,希望将某个版本之后新增的特征筛选出来,置为非生效状态(即不用于匹配报文)时,可通过本功能将该版本设置为基线版本,IPS策略会将所有在基线版本之上新增的特征设置为非生效状态,仅使用基线版本的特征与报文进行匹配。

本功能可帮助用户快速筛选出基线版本与当前版本之间有差异的特征,IPS策略将使用基线版本的特征与报文进行匹配,而不必回滚至基线版本的特征库。

配置本功能后,如果希望将某个非生效状态的特征调整为生效状态、且其它特征状态保持不变时,需要进行如下操作:

(1)     再次执行本命令,将基线版本调整至该特征所属的特征库版本。

(2)     在设备的Web界面上,查看其它非生效状态的特征ID。

(3)     执行signature override命令,将仍然需要保持非生效状态的特征禁用。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPS策略视图。

ips policy policy-name

(3)     配置IPS特征库版本基线。

signature version-baseline version-number

缺省情况下,未配置IPS特征库版本基线。

1.4.4  配置IPS动作

1. 功能简介

缺省情况下,新建IPS策略执行特征属性中的动作。管理员也可以根据实际网络需求,为IPS策略中所有特征配置统一的动作,或者为指定的特征配置动作。

设备对以上动作执行的优先级为:IPS策略中为指定特征配置的动作 > IPS策略为所有特征配置的统一动作 > IPS特征自身属性的动作。

2. 配置限制和指导

若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

日志信息中,真实源MAC地址(RealSrcMacAddr)和真实源目的MAC地址(RealDstMacAddr)字段仅当开启跨三层MAC地址学习功能后显示取值。有关跨三层MAC地址学习功能的详细介绍,请参见“基础配置指导”中的“跨三层MAC地址学习”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPS策略视图。

ips policy policy-name

(3)     配置IPS策略中所有特征的统一动作。

signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *

缺省情况下,IPS策略执行特征属性中的动作。

(4)     (可选)修改IPS策略中指定特征的动作和生效状态。

signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }

缺省情况下,预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。

缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改。

(5)     退回系统视图。

quit

(6)     (可选)配置IPS捕获报文时缓存的报文数量。

ips capture-cache number

缺省情况下,未配置IPS捕获报文时缓存的报文数量,设备不对报文进行缓存。

仅当配置了本命令后,设备才对IPS捕获的报文进行缓存。报文缓存结束后,设备将所有缓存报文写入IPS捕获文件中,方便用户分析威胁信息。

1.4.5  配置IPS动作参数

1. 功能简介

IPS动作中,源阻断、捕获和日志仅在配置参数后生效,参数可通过如下方式配置:

·     配置全局动作参数:通过在系统视图下配置IPS引用应用层检测引擎动作参数profile实现,该方式配置的动作参数对所有IPS策略均生效。

·     配置策略动作参数:直接在各个IPS策略视图下单独配置各动作的执行参数。目前仅支持配置日志动作参数。

2. 配置限制和指导

·     如果IPS策略视图下既配置了全局动作参数,又配置了策略动作参数,则以全局动作参数为准。

·     如果需要使策略动作参数生效,则必须保证全局动作参数处于未使能状态。

·     建议在完成全局动作参数的配置之后,再使能全局动作参数。

3. 配置全局动作参数

(1)     进入系统视图。

system-view

(2)     配置全局动作参数。

ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name

缺省情况下,未配置全局动作参数。

引用的动作参数profile由应用层检测引擎动作参数profile提供。如果引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值。有关应用层检测引擎动作参数profile的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

4. 配置策略动作参数

(1)     进入系统视图。

system-view

(2)     进入IPS策略视图。

ips policy policy-name

(3)     配置日志动作参数。

log { email | syslog }

缺省情况下,IPS日志输出方式为syslog

(4)     (可选)配置允许以邮件方式输出日志的最低严重级别。

email severity-level { critical | high | low | medium }

缺省情况下,允许以邮件方式输出日志的最低严重级别为low

本命令仅当IPS日志输出方式为email时生效。仅当报文命中的IPS特征的严重级别不低于本命令配置的最低严重级别时,设备才会将生成的IPS日志以邮件方式发送。

(5)     (可选)引用邮件动作参数profile。

email parameter-profile parameter-profile-name

缺省情况下,未引用邮件动作参数profile。

仅当IPS日志输出方式为email时需要配置本命令。

引用的邮件动作参数profile由应用层检测引擎邮件动作参数profile提供。有关应用层检测引擎邮件动作参数profile的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

(6)     去使能全局动作参数。

undo global-parameter enable

缺省情况下,全局动作参数处于使能状态。

1.5  在DPI应用profile中引用IPS策略

1. 功能简介

DPI应用profile是一个安全业务的配置模板,为实现IPS功能,必须在DPI应用profile中引用指定的IPS策略。

2. 配置限制和指导

一个DPI应用profile中只能引用一个IPS策略,如果重复配置,则新的配置会覆盖已有配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入DPI应用profile视图。

app-profile profile-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

(3)     在DPI应用profile中引用IPS策略。

ips apply policy policy-name mode { protect | alert }

缺省情况下,DPI应用profile中未引用IPS策略。

1.6  激活IPS策略配置

1. 功能简介

缺省情况下,当IPS策略发生配置变更时(即被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:

·     如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略的配置生效。

·     如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。

如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     激活IPS策略配置。

inspect activate

缺省情况下,IPS策略被创建、修改和删除后,系统会自动激活配置使其生效。

注意

执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。

 

1.7  在安全策略中引用DPI应用profile

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则的动作为允许。

action pass

缺省情况下,安全策略规则动作是丢弃。

(5)     配置安全策略规则引用DPI应用profile。

profile app-profile-name

缺省情况下,安全策略规则中未引用DPI应用profile。

1.8  配置IPS特征库升级和回滚

1.8.1  配置限制和指导

·     请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。

·     当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响IPS业务的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。

·     自动在线升级(包括定期自动在线升级和立即自动在线升级)IPS特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级IPS特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

·     同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。

1.8.2  配置定期自动在线升级IPS特征库

1. 功能简介

如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的IPS特征库进行升级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启定期自动在线升级IPS特征库功能,并进入自动在线升级配置视图。

ips signature auto-update

缺省情况下,定期自动在线升级IPS特征库功能处于关闭状态。

(3)     配置定期自动在线升级IPS特征库的时间。

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

缺省情况下,设备在每天01:00:00至03:00:00之间自动升级IPS特征库。

(4)     (可选)开启IPS特征文件自动覆盖功能。

override-current

缺省情况下,设备定期自动在线升级IPS特征库时会将当前的特征库文件备份为上一版本。

1.8.3  立即自动在线升级IPS特征库

1. 功能简介

当管理员发现官方网站上的特征库服务专区中的IPS特征库有更新时,可以选择立即自动在线升级方式来及时升级IPS特征库版本。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     立即自动在线升级IPS特征库。

ips signature auto-update-now

1.8.4  手动离线升级IPS特征库

1. 功能简介

如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级IPS特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的IPS特征库版本。

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的IPS特征库版本。

使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。

如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。

2. 配置限制和指导

当同时配置了sourcevpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     手动离线升级IPS特征库。

ips signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

1.8.5  回滚IPS特征库

1. 功能简介

IPS特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前IPS特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     回滚IPS特征库。

ips signature rollback { factory | last }

1.8.6  开启IPS特征库更新日志功能

1. 功能简介

开启本功能后,当IPS特征库升级或回滚成功时,设备将记录特征库变更的时间,并在每日按照配置的时间发送日志。

2. 配置限制和指导

目前,仅支持以快速日志方式发送IPS特征库更新日志,配置本功能后,还需要配置IPS快速日志使用国家电网格式(即配置customlog format dpi ips sgcc命令)并允许设备向指定的日志主机发送IPS模块的日志(即配置customlog host命令)。有关快速日志输出功能的详细介绍,请参见“网络管理和监控命令参考”中的“快速日志输出”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启IPS特征库更新日志记录功能并配置每日发送日志的时间。

ips signature update-log send-time time

1.9  导入和删除Snort特征

1.9.1  导入Snort特征

1. 功能简介

当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征。导入的IPS特征文件内容会自动覆盖系统中所有的Snort特征。

2. 配置限制和指导

目前仅支持以Snort文件导入的方式生成自定义IPS特征,Snort文件需要遵循Snort公司的语法。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     导入自定义IPS特征。

ips signature import snort file-path

1.9.2  删除所有导入的Snort特征

(1)     进入系统视图。

system-view

(2)     删除导入的所有Snort特征。

ips signature remove snort

1.10  配置自定义IPS特征

1.10.1  创建自定义IPS特征

1. 功能简介

当需要的IPS特征在设备当前IPS特征库中不存在时,可通过手工配置方式自定义创建所需的IPS特征。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建自定义IPS特征,并进入自定义IPS特征视图。

ips signature user-defined name signature-name

缺省情况下,不存在自定义IPS特征。

(3)     (可选)配置自定义IPS特征的描述信息。

description text

1.10.2  配置自定义IPS特征属性

1. 功能简介

特征具有多种属性,包括动作、检测方向、严重级别和特征下规则间的逻辑关系。

一个自定义特征下可以配置多条规则作为特征的匹配条件,如果规则间是逻辑与的关系,报文需要匹配该自定义特征的所有规则才结束匹配过程;如果规则间是逻辑或的关系,一旦报文与某条规则匹配成功就结束此匹配过程。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入自定义IPS特征视图。

ips signature user-defined name signature-name

缺省情况下,不存在自定义IPS特征。

(3)     配置自定义IPS特征属性。

¡     配置自定义IPS特征的动作。

action { block-source | drop | permit | reset } [ capture | logging ] *

缺省情况下,自定义IPS特征的动作为permit

¡     配置自定义IPS特征的检测方向。

direction { any | to-client | to-server }

缺省情况下,自定义IPS特征的检测方向为any

¡     配置自定义IPS特征的严重级别。

severity-level { critical | high | low | medium }

缺省情况下,自定义IPS特征的严重级别为low

¡     配置自定义IPS特征下规则间的逻辑关系。

rule-logic { and | or }

缺省情况下,自定义IPS特征下规则间的逻辑关系为or

1.10.3  配置自定义IPS特征规则

1. 功能简介

设备支持以下两种类型自定义IPS特征规则:

·     关键字类型

·     数值类型

规则下可以配置匹配条件以及检查项。仅当报文与规则的匹配条件匹配成功后,才会对规则的检查项进行检测。

一条规则可以配多个检查项,用于精确匹配报文中所需检测的内容。检查项之间为逻辑与的关系,匹配顺序为配置顺序,只有所有检查项都匹配成功,规则才算成功匹配。

触发检查项是同一规则下检查项的触发条件,只有关键字类型自定义特征规则才需要配置触发检查项。如果一条规则的触发检查项匹配失败,则该规则匹配失败,不会再对该规则下的检查项进行检测。

2. 配置限制和指导

·     检查项仅检测指定协议字段范围内的数据。

·     配置检查项匹配的协议字段时,建议依据HTTP协议中各协议字段顺序进行配置,否则可能会影响设备的检测结果。

·     对于关键字类型的自定义特征规则,在配置检查项之前,必须先配置触发检查项。删除触发检查项后,将一并删除所有的检查项。

·     可使用偏移量、检测深度或者相对偏移量、相对检测深度两组参数精确定位检测的起始和终止位置。其中,偏移量、检测深度和相对偏移量、相对检测深度两组参数只可配置一组。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入自定义IPS特征视图。

ips signature user-defined name signature-name

(3)     创建自定义IPS特征规则,并进入自定义IPS特征规则视图。

rule rule-id l4-protocol l4-protocol-name l5-protocol l5-protocol-name pattern-type { keyword | integer }

缺省情况下,不存在自定义IPS特征规则。

(4)     配置自定义IPS特征规则的匹配条件。

¡     配置自定义IPS特征规则匹配的源IP地址。

source-address ip ip-address

缺省情况下,自定义IPS特征规则匹配所有源IP地址。

¡     配置自定义IPS特征规则匹配的目的IP地址。

destination-address ip ip-address

缺省情况下,自定义IPS特征规则匹配所有目的IP地址。

¡     配置自定义IPS特征规则匹配的源端口。

source-port start-port [ to end-port ]

缺省情况下,自定义IPS特征规则匹配所有源端口。

¡     配置自定义IPS特征规则匹配的目的端口。

destination-port start-port [ to end-port ]

缺省情况下,自定义IPS特征规则匹配所有目的端口。

¡     配置自定义IPS特征规则匹配的HTTP报文请求方法。

http-method method-name

缺省情况下,自定义IPS特征规则匹配所有HTTP报文请求方法。

(5)     配置关键字类型自定义IPS特征规则的触发检查项和检查项。

a.     配置触发检查项。

trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]

b.     配置检查项。

detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]

(6)     配置数值类型自定义IPS特征规则的检查项。

detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number

1.11  配置IPS特征命中统计功能

1. 功能简介

本功能用于统计IPS策略中每个特征的命中次数,管理员可在设备的Web界面查看统计数据。

2. 配置步骤

(1)     进入系统视图

system-view

(2)     进入IPS策略视图。

ips policy policy-name

(3)     开启IPS特征命中统计功能。

statistics signature-hit enable

缺省情况下,IPS特征命中统计功能处于关闭状态。

1.12  配置IPS白名单

1. 功能简介

当用户通过查看IPS日志发现存在误报的情况时,可配置IPS白名单功能,将日志中获取到的特征ID、URL和源IP地址加入白名单,设备将放行匹配白名单的报文,降低误报率。

当白名单表项中同时存在特征ID、URL和源IP地址中的两者或以上时,需要同时匹配才认为匹配成功。

2. 配置限制和指导

如果设备中开启了真实源IP地址提取功能(即执行了inspect real-ip enable命令),则当设备提取到了真实源IP地址后,会使用真实源IP地址与白名单中的源IP地址进行匹配;如果未提取到真实源IP地址,则使用报文的源IP地址与白名单中的源IP地址进行匹配。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启IPS白名单功能。

ips whitelist enable

缺省情况下,IPS白名单功能处于关闭状态。

(3)     创建并进入IPS白名单表项视图。

ips whitelist entry-id

(4)     配置IPS白名单描述信息。

description text

缺省情况下,未配置IPS白名单描述信息。

(5)     向IPS白名单表项中添加匹配信息。请至少选择其中一项进行配置。

¡     向IPS白名单表项中添加特征ID。

signature-id sig-id

缺省情况下,IPS白名单表项中不存在特征ID。

¡     向IPS白名单表项中添加URL。

url match-type { accurate | substring } url-text

缺省情况下,IPS白名单表项不存在URL。

¡     向IPS白名单表项中添加源IP。

source-address { ip ipv4-address | ipv6 ipv6-address }

缺省情况下,IPS白名单表项不存在源IP地址。

(6)     退回到系统视图。

quit

(7)     激活IPS白名单配置。

ips whitelist activate

当创建、修改和删除含有URL的IPS白名单后,需要执行本命令使其生效。

1.13  IPS显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后IPS的运行情况,通过查看显示信息验证配置的效果。

表1-1 IPS显示和维护

操作

命令

显示IPS策略信息

display ips policy policy-name

显示IPS特征库版本信息

display ips signature library

显示IPS特征属性列表

display ips signature [ pre-defined | user-defined { snort | user-config } ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] *

显示指定预定义IPS特征的详细属性

display ips signature pre-defined  signature-id

显示指定自定义IPS特征的详细属性

display ips signature user-defined { snort | user-config } signature-id

显示IPS自定义特征解析失败的信息

display ips signature user-defined parse-failed

 

1.14  IPS典型配置举例

1.14.1  在安全策略中引用缺省IPS策略配置举例

1. 组网需求

图1-2所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省IPS策略对用户数据报文进行IPS防御。

2. 组网图

图1-2 在安全策略中引用缺省IPS策略配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置DPI应用profile并激活IPS策略配置

# 创建名为sec的DPI应用profile,在sec中引用名称为default的缺省IPS策略,并指定该IPS策略的模式为protect。

[Device] app-profile sec

[Device-app-profile-sec] ips apply policy default mode protect

[Device-app-profile-sec] quit

# 激活IPS策略配置。

[Device] inspect activate

(5)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行IPS防御。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] profile sec

[Device-security-policy-ip-10-trust-untrust] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,使用缺省IPS策略可以对已知攻击类型的网络攻击进行防御。比如GNU_Bash_Local_Memory_Corruption_Vulnerability(CVE-2014-7187)类型的攻击报文经过Device设备时,Device会匹配该报文,并对报文按照匹配成功的IPS特征的动作(reset和logging)进行处理。

1.14.2  在安全策略中引用自定义IPS策略配置举例

1. 组网需求

图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:

·     将编号为2的预定义IPS特征的动作改为丢弃并进行报文捕获和生成日志。

·     禁用编号为4的预定义IPS特征。

·     使编号为6的预定义IPS特征生效。

2. 组网图

图1-3 在安全策略中引用自定义IPS策略配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置IPS策略

# 创建一个名称为ips1的IPS策略,配置IPS策略保护所有对象、启用编号为2的预定义IPS特征,并配置动作为丢弃、捕获报文并记录日志、禁用编号为4的预定义IPS特征、启用编号为6的预定义IPS特征。

[Device] ips policy ips1

[Device-ips-policy-ips1] protect-target all

[Device-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging

[Device-ips-policy-ips1] signature override pre-defined 4 disable

[Device-ips-policy-ips1] signature override pre-defined 6 enable

[Device-ips-policy-ips1] quit

(5)     配置DPI应用profile并激活IPS策略配置

# 创建名为sec的DPI应用profile,在DPI应用profile sec中应用IPS策略ips1,并指定该IPS策略的模式为protect。

[Device] app-profile sec

[Device-app-profile-sec] ips apply policy ips1 mode protect

[Device-app-profile-sec] quit

# 激活IPS策略配置。

[Device] inspect activate

(6)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行IPS检测。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] profile sec

[Device-security-policy-ip-10-trust-untrust] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,在IPS策略ips1中可看到以上有关IPS策略的配置。

1.14.3  手动离线升级IPS特征库配置举例

1. 组网需求

图1-4所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的IPS特征库文件ips-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为ips和123。现需要手动离线升级IPS特征库,加载最新的IPS特征。

2. 组网图

图1-4 手动离线升级IPS特征库配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

(4)     配置安全策略

¡     配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] quit

¡     配置安全策略规则放行Trust到DMZ安全域的流量,使内网用户可以访问DMZ安全域中的服务器

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-dmz

[Device-security-policy-ip-11-trust-dmz] source-zone trust

[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-11-trust-dmz] destination-zone dmz

[Device-security-policy-ip-11-trust-dmz] action pass

[Device-security-policy-ip-11-trust-dmz] quit

¡     配置安全策略规则放行设备与FTP服务器之间的流量,使设备可以访问FTP服务器,获取特征库文件

[Device] security-policy ip

[Device-security-policy-ip] rule name ftplocalout

[Device-security-policy-ip-12-ftplocalout] source-zone local

[Device-security-policy-ip-12-ftplocalout] destination-zone dmz

[Device-security-policy-ip-12-ftplocalout] destination-ip-subnet 192.168.2.0 24

[Device-security-policy-ip-12-ftplocalout] application ftp

[Device-security-policy-ip-12-ftplocalout] application ftp-data

[Device-security-policy-ip-12-ftplocalout] action pass

[Device-security-policy-ip-12-ftplocalout] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

(5)     手动升级IPS特征库

# 采用FTP方式手动离线升级设备上的IPS特征库,且被加载的IPS特征库文件名为ips-1.0.8-encrypt.dat。

[Device] ips signature update ftp://ips:123@192.168.2.4/ips-1.0.8-encrypt.dat

4. 验证配置

IPS特征库升级后,可以通过display ips signature library命令查看当前特征库的版本信息。

1.14.4  定时自动升级IPS特征库配置举例

1. 组网需求

图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,开始定期自动在线升级设备的IPS特征库。

2. 组网图

图1-5 定时自动升级IPS特征库配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置DNS服务器地址

# 指定DNS服务器的IP地址为10.72.66.36,确保Device可以获取到官网的IP地址,具体配置步骤如下。

[Device] dns server 10.72.66.36

(5)     配置安全策略

¡     配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] quit

¡     配置安全策略规则放行Local到Untrust安全域的流量,使设备可以访问官网的特征库服务专区,获取特征库文件

[Device] security-policy ip

[Device-security-policy-ip] rule name downloadlocalout

[Device-security-policy-ip-11-downloadlocalout] source-zone local

[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust

[Device-security-policy-ip-11-downloadlocalout] action pass

[Device-security-policy-ip-11-downloadlocalout] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

(6)     配置定期自动在线升级IPS特征库

# 设置定时自动升级IPS特征库计划为:每周六上午9:00:00前后30分钟内开始自动在线升级。

[Device] ips signature auto-update

[Device-ips-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60

[Device-ips-autoupdate] quit

4. 验证配置

设置的定期自动在线升级IPS特征库时间到达后,可以通过display ips signature library命令查看当前特征库的版本信息。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们