• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

V5平台(iware)IPS旁路模式双区域典型配置

2019-11-30发表
  • 1关注
  • 1收藏,100浏览
郑标 五段
粉丝:0人 关注:0人

组网及说明

组网如下,IPS设备旁挂核心交换机:



配置步骤

一、核心交换机配置(图中S5800设备):

1.端口镜像模式

//双区域模式,这里要设定两个镜像组。

 mirroring-group 1 local

 mirroring-group 2 local

#

vlan 1

#

vlan 10 to 20

#

interface Vlan-interface10

 ip address 10.2.2.1 255.255.255.0

#

interface Vlan-interface20

 ip address 10.0.0.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 mac-address mac-learning disable

mirroring-group 1 monitor-port  

#

interface GigabitEthernet1/0/2

port link-mode bridge

mac-address mac-learning disable       

// S75E上,关闭设备全局、以太网接口或端口组的MAC地址学习功能用mac-address max-mac-count 0,S95Emac-address mac-learning disable。具体视设备而定。这条命令防止镜像口mac学习造成环路。还可以保护设备的安全,可以有效地防止攻击者用大量不同MAC地址的帧攻击设备。

mirroring-group 2 monitor-port         

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 20

 mirroring-group 1 mirroring-port inbound   //G1/0/3入方向的数据镜像到G1/0/1

#

interface GigabitEthernet1/0/4

 port link-mode bridge

 port access vlan 10

 mirroring-group 2 mirroring-port inbound   //G1/0/4入方向的数据镜像到G1/0/2

# 

2.MQC流镜像模式

acl number 3888

 rule 0 permit ip source 10.0.0.0 0.0.0.255 destination 10.2.2.0 0.0.0.255

acl number 3999

 rule 0 permit ip source 10.2.2.0 0.0.0.255 destination 10.0.0.0 0.0.0.255

#

vlan 1

#

vlan 10 to 20

#

//用访问控制列表匹配两个感兴趣流。

traffic classifier down operator and

 if-match acl 3888

traffic classifier up operator and

 if-match acl 3999

#

//设定对感兴趣流匹配数据的动作

traffic behavior down

 mirror-to interface GigabitEthernet1/0/1

traffic behavior up

 mirror-to interface GigabitEthernet1/0/2

#

//对感兴趣流实施动作

qos policy down

 classifier down behavior down

qos policy up  

 classifier up behavior up

#

user-group system

#

interface NULL0

#

interface Vlan-interface10

 ip address 10.2.2.1 255.255.255.0

#

interface Vlan-interface20

 ip address 10.0.0.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 mac-address mac-learning disable

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 mac-address mac-learning disable

#

//在相应接口下发策略

interface GigabitEthernet1/0/3

 port access vlan 20

 qos apply policy down inbound

#

interface GigabitEthernet1/0/4

 port access vlan 10

 qos apply policy up inbound

#

//两种镜像方式对于上下行交换机的配置都是相同的。

二、双区域下IPS WEB配置指导:

1.在配置之前首先要将“工作模式”中的“连接模式”设置为旁路模式,在这种模式下,IPS收到数据包检测之后会丢弃,不会将收到的数据发送出去,直连模式则是将数据收到检测后再发出去,如果物理上是旁路逻辑上是直连会造成环路。在设置的时候,旁路和“只上报日志”这种应用模式配合使用,直连和“完整功能集”配合使用。


2.划分区域。

在“网络管理”-“安全区域”里建立两个区域,并划分端口,分为内部区域和外部区域。图中分别命名为“in”和“out”。

如下图所示,在端口划分区域界面可设定vlan,可以只允许添加的vlan数据进入端口并接受,如果勾选方框可以设定vlan的范围。不设定vlan,默认是所有数据。

3.段设置。

在“网络管理”-“段配置”里设置段。在IPS里,应用策略对数据生效需要引用到段上。图中内部区域为“in”,外部区域为“out”,段为0。

4.新建策略。

IPS-“策略管理”-“新建策略应用”,策略名称自定,在下方选择需要检测的段和方向。不要忘记激活“段”。

策略规则可以自己修改,在规则管理里选择自定义的策略名,点查询即出现所有规则。

因为是旁路模式,可以设定“阻隔+记录日志”动作,选中所有在下方选择动作点击“修改动作”即可。若要使能规则,选中需要的规则点击“使能规则”。

可以选择“修改查询出的所有规则”和“修改本页选中规则”两种不同的修改范围,最后,切记要激活规则。

4.模拟对目标主机进行网页攻击,通过交换机将数据镜像到IPS进行探测,IPS检测到攻击,可以在“日志管理”-“攻击日志”里查看。





配置关键点

    双区域模式是比较常见的一种旁路模式情况。IPS定义内部区域和外部区域,组成段,并将段引用到策略上。能够很好的区分来自不同方向流量的攻击。

    示例中使用了两种镜像方式:端口镜像方式和MQC流镜像方式,这两种方式选取一种单独使用即可。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
标杆的神器激活
鼠年的运维 skr skr

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作