V7防火墙IPS防护策略配置举例

目录

V7防火墙IPS防护策略配置举例... 1

1 配置需求及说明... 1

1.1 适用的产品系列... 1

1.2 使用限制... 1

1.3 功能介绍及配置需求... 2

2 组网图... 3

3 配置步骤... 3

3.1 基础组网配置... 3

3.2 升级特征库至官网最新版本... 3

3.2.1 自动升级操作过程... 3

3.2.2 手动升级操作过程... 5

3.3 配置对外网的IPS防护策略... 5

3.3.1 新建安全策略... 5

3.4 测试结果... 6

3.4.1 对Microsoft  Windows系统漏洞攻击防护测试... 6

1 配置需求及说明

1.1  适用的产品系列

本案例适用于软件平台为Comware V7系列防火墙：F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。

1.2  使用限制

防火墙IPS功能需要安装License才能使用。License过期后，IPS功能可以采用设备中已有的IPS特征库正常工作，但无法升级特征库。

配置前请在防火墙界面“系统”>”License”>”授权信息”中确认IPS特性为激活状态。

1.3  功能介绍及配置需求

IPS（Intrusion Prevention System，入侵防御系统）是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经设备的网络流量来实时检测入侵行为，并通过一定的响应动作来阻断入侵行为，实现保护企业信息系统和网络免遭攻击的目的。

配置需求：

1）为应对目前肆虐的WannaCry变种病毒，需要在公司外网进行IPS防护。2）对Microsoft  Windows系统等漏洞进行防范。

2 组网图

3 配置步骤

3.1  基础组网配置

略

3.2  升级特征库至官网最新版本

在防火墙界面“系统”>”升级中心”>”特征库升级”中对特征库进行升级

3.2.1  自动升级操作过程

1. 设备开启DNS代理并配置DNS服务器地址

在防火墙界面“网络”>”DNS”>”高级设置”开启防火墙DNS代理功能。

在防火墙界面“网络”>”DNS”>”DNS客户端”中添加DNS服务器地址。

2. 设备必须可以连接互联网

在防火墙界面“网络”>”探测工具”>”Ping”中测试域名是否可以正常解析？

3. 开启设备定时升级功能

在防火墙界面“系统”>”升级中心”>”特征库升级”中 开启入侵防御特征库定时升级功能。

3.2.2  手动升级操作过程

部分设备部署环境可能无法访问互联网，需要使用手动升级更新特征库。

1. 在华三官网下载防火墙最新特征库文件

登录“www.h3c.com” 华三官网，在“产品技术”>“大安全”>”特征库服务专区”中下载IPS特征库文件。

2. 升级特征库

在“浏览”中选择下载好的特征库文件，点击“确定”后完成升级。

3.3  配置对外网的IPS防护策略

3.3.1  新建安全策略

在防火墙界面“策略”>”安全策略”>新建源安全域为“Untrust”目的安全域为“Trust”的安全策略，在内容安全中将IPS的”default”策略调用。

说明：特征库对IPS特征有默认的过滤策略，直接调用default即可，如需要自行定制过滤策略请在防火墙界面“对象”>”应用安全”>“入侵防御”>”配置文件”中新建自定义的IPS规则。

3.4  测试结果

3.4.1  对Microsoft  Windows系统漏洞攻击防护测试

执行python脚本构造攻击

1）将struts2-243.py脚本中服务器地址修改为web server地址

2）在kali下运行脚本

设备检测到攻击后生成日志：

管理员可在设备管理界面“监控 > 安全日志 > 威胁日志”中，定期查看威胁日志信息。