IPS；特征库升级

1.14.3  手动离线升级IPS特征库配置举例

1. 组网需求

如图1-4所示，位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源，以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的IPS特征库文件ips-1.0.8-encrypt.dat，FTP服务器的登录用户名和密码分别为ips和123。现需要手动离线升级IPS特征库，加载最新的IPS特征。

2. 组网图

图1-4 手动离线升级IPS特征库配置组网图

‌

3. 配置步骤

(1)     配置各接口的IP地址（略）

(2)     配置安全策略保证Device与DMZ安全域之间互通

# 向安全域DMZ中添加接口GigabitEthernet1/0/3。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

# 进入IPv4安全策略视图

[Device] security-policy

# 创建名为update的安全策略规则，过滤条件为：源安全域Local和DMZ、目的安全域DMZ和Local，动作为允许。

[Device-security-policy-ip] rule name update

[Device-security-policy-ip-11-update] source-zone local

[Device-security-policy-ip-11-update] source-zone dmz

[Device-security-policy-ip-11-update] destination-zone dmz

[Device-security-policy-ip-11-update] destination-zone local

[Device-security-policy-ip-11-update] action pass

[Device-security-policy-ip-11-update] quit

# 激活安全策略的加速功能。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

(3)     手动升级IPS特征库

# 采用FTP方式手动离线升级设备上的IPS特征库，且被加载的IPS特征库文件名为ips-1.0.8-encrypt.dat。

[Device] ips signature update ftp://ips:123@192.168.2.4/ips-1.0.8-encrypt.dat

4. 验证配置

IPS特征库升级后，可以通过display ips signature library命令查看当前特征库的版本信息。

1.14.4  定时自动升级IPS特征库配置举例

1. 组网需求

如图1-5所示，位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内，定期自动在线升级设备的IPS特征库。

2. 组网图

图1-5 定时自动升级IPS特征库配置组网图

‌

3. 配置步骤

(1)     配置各接口的IP地址（略）

(2)     配置设备解析官方网站对应IP地址的域名解析功能（略）

(3)     配置安全策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源（略）

(4)     配置定期自动在线升级IPS特征库

# 开启设备自动升级IPS特征库功能，并进入自动升级配置视图。

<Device> system-view

[Device] ips signature auto-update

[Device-ips-autoupdate]

# 设置定时自动升级IPS特征库计划为：每周六上午9:00:00自动升级，抖动时间为60分钟。

[Device-ips-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60

[Device-ips-autoupdate] quit

4. 验证配置

设置的定期自动在线升级IPS特征库时间到达后，可以通过display ips signature library命令查看当前特征库的版本信息。