当前SecPath F1000-9350-AI产品无法自动更新规则库,当前防火墙访问公网没问题,如何配置自动更新规则库。
当前防火墙可访问公网。
设备型号SecPath F1000-9350-AI
|
软件版本信息 |
|
序列号 |
|
(0)
最佳答案
如图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,定期自动在线升级设备的IPS特征库。
图1-5 定时自动升级IPS特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置设备解析H3C官方网站对应IP地址的域名解析功能(略)
(3) 配置安全策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)
(4) 配置定期自动在线升级IPS特征库
# 开启设备自动升级IPS特征库功能,并进入自动升级配置视图。
<Device> system-view
[Device] ips signature auto-update
[Device-ips-autoupdate]
# 设置定时自动升级IPS特征库计划为:每周六上午9:00:00自动升级,抖动时间为60分钟。
[Device-ips-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-ips-autoupdate] quit
设置的定期自动在线升级IPS特征库时间到达后,可以通过display ips signature information命令查看当前特征库的版本信息。
如图1-6所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省IPS策略对用户数据报文进行IPS防御。
图1-6 应用缺省IPS策略的配置组网图
(1) 配置各接口的IP地址(略)
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为ipsfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address ipsfilter
[Device-obj-grp-ip-ipsfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-ipsfilter] quit
(4) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用缺省IPS策略default,并指定该IPS策略的模式为protect。
[Device-app-profile-sec] ips apply policy default mode protect
[Device-app-profile-sec] quit
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(5) 配置对象策略引用IPS业务
# 创建名为ipsfilter的IPv4对象策略,并进入对象策略视图。
[Device] object-policy ip ipsfilter
# 对源IP地址对象组ipsfilter对应的报文进行深度检测,引用的DPI应用profile为sec。
[Device-object-policy-ip-ipsfilter] rule inspect sec source-ip ipsfilter destination-ip any
[Device-object-policy-ip-ipsfilter] quit
# 配置安全域间实例并应用对象策略,创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组ipsfilter对应的报文进行深度检测的对象策略ipsfilter。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip ipsfilter
[Device-zone-pair-security-Trust-Untrust] quit
以上配置生效后,使用缺省IPS策略可以对已知攻击类型的网络攻击进行防御。比如GNU_Bash_Local_Memory_Corruption_Vulnerability(CVE-2014-718)类型的攻击报文经过Device设备时,Device会匹配该报文,并对报文按照匹配成功的IPS特征的动作(reset和logging)进行处理。
如图1-7所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 将编号为2的预定义IPS特征的动作改为丢弃并进行报文捕获和生成日志。
· 禁用编号为4的预定义IPS特征。
· 使编号为6的预定义IPS特征生效。
图1-7 应用自定义IPS策略配置组网图
(0)
注意先测试下访问官网流量有误被阻拦,web界面配置
如果设备可以访问官方网站,可以采用定期自动在线升级方式来对设备上的特征库进行升级。
选择“系统 >升级中心 > 特征库升级”。
在“特征库升级”页面,勾选目标特征库上的<开启定时升级>复选框,进入“XXX特征库定时升级配置”页面。
图-2 开启定时升级
在“XXX特征库定时升级配置”页面,配置特征库定时升级的时间。定时升级配置存在抖动时间(即实际自动升级开始时间的偏差范围),取值为指定的定时升级时间的前后一小时。
图-3 特征库定时升级配置
单击<确定>,此特征库定时升级时间即可配置成功。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论