测试 防火墙 F1000 安全日志

终端地址为100.100.100.2/24，防火墙地址：100.100.100.1/24

防火墙配置

# interface GigabitEthernet1/0/0
 ip address 100.100.100.1 255.255.255.0 

#
security-zone name Trust
import interface GigabitEthernet1/0/0

#
security-policy ip
 rule 0 name any
 action pass 

#
ip https enable
info-center enable

配置好后登录web页面

1.特征库升级到最新（官网获取）

2.开启日志记录功能，并记录系统日志

3.开启入侵防御功能，记录日志，也可使用default默认规则

4.新建防病毒功能

5.在安全策略中进行应用，记录下日志

配置完成后测试：
1.在我们配置入侵防御或者防病毒策略的时候，很多时候要验证病毒策略是否生效，此时可以访问eicar网站***.***/来获取病毒测试样本。
（在网页搜索anti，点击Download Anti Malware Testfile）

2.下载一下eicar的病毒样本，两个都可以

3.下载到本地PC后，解压，把文件使用ftp或者tftp传到防火墙上

4.然后打开web页面就会发现IPS和AV日志。

5.如果没有发现设备上没有产生威胁日志，调整下设备时间，把设备时间调整与终端相同

probe视图下通过命令查看，是否有ModuleName为IPS的规则下发。

命令：[H3C]probe

[H3C-probe]display system internal inspect dim-rule

例如：以下设备当中，IPS的配置文件下发正常。在ModuleName这一项当中有IPS的字样则表示IPS配置文件下发成功。

如果现网出现display system internal inspect dim-rule查看到ModuleName这一栏下没有IPS相关的规则下发，那么说明设备上的IPS文件下发失败，需要重新激活应用检测引擎。

命令：inspect activate  激活DPI各业务模块的策略和规则配置。

在web界面也可以进行DPI模块的激活操作，在【对象】-【应用安全】-【高级配置】当中点击【配置激活】的按钮即可。Web界面激活DPI模块的详情如下图所示。

测试完之后，可以进入probe视图，查看底层这几条规则有没有被报文命中。

命令：display system internal inspect hit-statistics

例如：在案例当中，可以看到101011、101012这两条条规则均被匹配中