20-服务器外联防护配置
本章节下载: 20-服务器外联防护配置 (196.11 KB)
目 录
服务器外联防护是一种针对内网服务器的保护机制,可以有效识别服务器的主动外联行为,为管理员检查服务器提供依据,进而防止服务器成为僵尸网络的一部分,对外发动攻击或对内进行渗透。
服务器外联防护配置任务如下:
(1) 配置服务器外联学习功能
(2) 配置服务器外联防护策略
(3) 配置服务器外联防护策略规则
服务器外联学习功能会对指定服务器主动外联的流量进行检测,识别出服务器的所有外联行为。管理员可以通过学习结果来判断服务器的哪些外联是正常,哪些外联是异常,可为管理员配置服务器异常防护策略提供数据依据。
服务器外联学习中,无法在服务器外联学习视图下进行任何配置。
(1) 进入系统视图。
system-view
(2) 进入服务器外联学习视图。
scd learning
(3) 配置待防护的服务器。
source-ip object-group-name
缺省情况下,未配置待防护的服务器。
(4) 开启服务器外联自动学习功能。
auto-learn enable period { one-day | one-hour | seven-day | twelve-hour }
缺省情况下,服务器外联自动学习功能处于关闭状态。
服务器外联防护策略中可以配置监测对象、监测规则、防护开关和日志功能。当发现待保护服务器出现异常外联系行为时,设备可以对其进行告警。
设备仅对指定的待防护服务器发起的外联行为进行检测。
不同服务器外联防护策略中配置的待防护服务器IP地址不能相同。
(1) 进入系统视图。
system-view
(2) 创建服务器外联防护策略,并进入服务器外联防护策略视图。
scd policy name policy-name
(3) 配置待防护服务器的IP地址。
protected-server ip-address
缺省情况下,不存在待防护服务器的IP地址。
(4) (可选)开启服务器外联防护策略记录日志的功能。
logging enable
缺省情况下,服务器外联防护策略记录日志的功能处于关闭状态。
(5) 开启服务器外联防护功能。
policy enable
缺省情况下,服务器外联防护功能处于关闭状态。
服务器外联防护规则中可以配置服务器允许外联的IP地址、协议和端口号,在指定范围之外的连接都认为是非法外联行为。
若服务器外联防护策略中不存在规则,则认为此服务器的所有主动外联行为是非法连接。
服务器外联防护规则中的每一项内容都必须配置,否则此规则不会检测任何报文。
同一服务器外联防护策略下不同规则中允许外联IP地址不能相同。
(1) 进入系统视图。
system-view
(2) 进入服务器外联防护策略视图。
scd policy name policy-name
(3) 创建服务器外联防护规则,并进入服务器外联防护规则视图
rule rule-id
(4) 配置服务器允许外联的IP地址。
permit-dest-ip ip-address
缺省情况下,未配置服务器允许外联的IP地址。
(5) 配置服务器允许外联的协议。
protocol { icmp | tcp port port-list | udp port port-list }
缺省情况下,未配置服务器允许外联的协议。
在完成上述配置后,在任意视图下执行display命令可以显示服务器外联防护的配置信息和统计信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除服务器外联防护的统计信息。
操作 |
命令 |
显示服务器外联学习的相关配置信息 |
display scd auto-learn config |
显示服务器外联学习的结果 |
display scd learning record [ protected-server ip-address ] [ destination-ip ip-address ] |
显示服务器外联防护策略的配置信息 |
display scd policy [ name policy-name ] |
清除服务器外联学习的结果 |
reset scd learning record |
某公司数据中心的服务器通过Device与Internet连接。通过配置服务器外联防护策略可以有效识别服务器的主动外联行为,并对此外联行为进行告警。
图1-1 服务器外联防护基础配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Internet的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 2.2.3.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为dmz-untrust的安全策略规则,使内网Server可以向Internet发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name dmz-untrust
[Device-security-policy-ip-1-dmz-untrust] source-zone dmz
[Device-security-policy-ip-1-dmz-untrust] destination-zone untrust
[Device-security-policy-ip-1-dmz-untrust] source-ip-host 2.2.1.2
[Device-security-policy-ip-1-dmz-untrust] action pass
[Device-security-policy-ip-1-dmz-untrust] quit
[Device-security-policy-ip] quit
(5) 配置对象
# 创建名为abc的IP地址对象组,并定义其子网地址为2.2.1.0/24,具体配置步骤如下。
[Device] object-group ip address abc
[Device-obj-grp-ip-abc] network subnet 2.2.1.0 24
[Device-obj-grp-ip-abc] quit
(6) 配置服务器外联学习功能
# 配置待防护的服务器,开启服务器外联自动学习功能,连续学习时间为一天,具体配置步骤如下。
[Device] scd learning
[Device-scd-learning] source-ip abc
[Device-scd-learning] auto-learn enable period one-day
[Device-scd-learning] quit
(7) 配置服务器外联防护策略
# 创建名称为policy1的服务器外联防护策略,配置服务器外联防护规则,具体配置步骤如下。
[Device] scd policy name policy1
[Device-scd-policy-policy1] protected-server 2.2.1.2
[Device-scd-policy-policy1] logging enable
[Device-scd-policy-policy1] rule 1
[Device-scd-policy-policy1-1] permit-dest-ip 2.2.3.2
[Device-scd-policy-policy1-1] protocol tcp port 80 443
[Device-scd-policy-policy1-1] quit
[Device-scd-policy-policy1] policy enable
[Device-scd-policy-policy1] quit
# 在服务器外联学习完成后,显示服务器外联学习的所有结果。
[Device] display scd learning record
Id Protected server Destination IPv4 address Protocol Port
1 2.2.1.2 2.2.3.2 TCP 80
2 2.2.1.2 2.2.3.2 TCP 443
3 2.2.1.2 2.2.3.2 UDP 4433
4 2.2.1.2 2.2.3.2 UDP 567
Total entries: 4
# 显示名称为policy1服务器外联防护策略的详细配置信息。
<Sysname> display scd policy name policy1
SCD policy name: policy1
Protected server IPv4: 2.2.1.2
Logging: Enabled
Policy status: Enabled
Rule ID: 1
Permitted dest IPv4: 2.2.3.2
Protocol: TCP port 80,443
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!