IPS配置举例
本节通过几个具体实例说明IPS功能的配置。实例中将提供具体的WebUI配置步骤。实例包括:
注意:建议用户使用单一方式配置IPS功能,即不要CLI和WebUI混用配置。
保护内网关键服务
通过配置IPS规则,保护内网的Web服务器、Mail服务器以及DNS服务器免受外部入侵攻击。
假设组网方式为:设备的ethernet0/1接外网,处于untrust安全域;ethernet0/0处于trust安全域,Web服务器、Mail服务器以及DNS服务器通过etherent0/0口接入设备。组网图下图所示:
接口及安全域等部分配置请参考相关章节,本节仅介绍IPS相关配置。配置步骤如下:
第一步:配置服务组用于策略规则引用。
- 从工具栏的<对象用户>下拉菜单选择『服务薄』,弹出<服务薄>对话框。
- 点击左上角的『新建』按钮,在弹出菜单中选择『服务组』,弹出<新建服务组>对话框。在该对话框做以下配置:
- 名称:ips-service
- 描述:IPS功能相关服务组
- 成员:从<可选服务>选择框中选中“HTTP”,然后点击『增加』按钮将其添加进自定义服务组中。同样的方法添加、“SMTP”、“POP3”以及“DNS”
- 点击『确认』按钮保存所做配置并返回<服务薄>对话框。点击对话框右上角的关闭按钮(
)关闭<服务薄>对话框。
第二步:配置IPS规则。
- 从页面左侧导航树选择并点击“配置
安全入侵防御”,进入入侵防御页面。
- 点击IPS列表左上方的『新建』按钮,弹出<入侵防御配置>对话框。在该对话框做以下配置:
- 规则名称:server-protection
- 绑定安全域:trust
- 攻击方向:选中“双向”,然后点击『添加』按钮
- 扫描协议类型:选中“DNS”、“POP3”、“SMTP”、“HTTP”的复选框
- 点击『确定』按钮保存配置并返回入侵防御页面。
- 从“server-protection”对应的<协议类型>一列中点击“SMTP”,进入<SMTP特征库>页面。在该页面对SMTP协议的其它选项进行配置。该例仅配置暴力破解功能。选项配置如下:
- 暴力破解:选中复选框
- 每分钟登录上限值:10
- 屏蔽对象:攻击者的IP
- 屏蔽时间:300
- 点击『确定』按钮。
第三步:配置策略规则。
- 从页面左侧导航树选择并点击“配置安全策略”,进入策略页面。
- 点击左上角的『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:trust
- 源地址:any
- 目的安全域:untrust
- 目的地址:any
- 服务簿:ips-service
- 行为:允许
- 点击『确定』按钮。
保护企业内网
通过配置IPS规则,保护内网免受外部入侵攻击。
假设组网方式为:设备的ethernet0/1接外网,处于untrust安全域;ethernet0/0连接内网,处于trust安全域。组网图如下图所示:
接口及安全域等部分配置请参考相关章节,本节仅介绍IPS相关配置。配置步骤如下:
- 从页面左侧导航树选择并点击“配置安全入侵防御”,进入入侵防御页面。
- 点击IPS列表左上方的『新建』按钮,弹出<入侵防御配置>对话框。在该对话框做以下配置:
- 规则名称:intranet-protection
- 绑定安全域:trust
- 攻击方向:选中“流入”,然后点击『添加』按钮
- 扫描协议类型:选择全部协议(点击『全选』按钮)
- 点击『确定』按钮保存配置并返回入侵防御页面。
隔离企业内部攻击
通过配置IPS规则,隔离内部入侵攻击。
假设组网方式为:公司内部研发部、生产部和市场部分属于三个网段,三个网段分别通过ethernet0/2、ethernet0/3、ethernet0/4接入设备,三个接口所属安全域依次为Development、Production以及Marketing;设备的ethernet0/1口接外网,处于untrust安全域。组网图下图所示:
接口及安全域等部分配置请参考相关章节,本节仅介绍IPS相关配置。配置步骤如下:
- 从页面左侧导航树选择并点击“配置安全入侵防御”,进入入侵防御页面。
- 点击IPS列表左上方的『新建』按钮,弹出<入侵防御配置>对话框。在该对话框做以下配置:
- 规则名称:intranet-protection
- 从<绑定安全域>下拉菜单选择“Development”,选择“双向”攻击方向,然后点击『添加』按钮。同样步骤添加安全域“Production”和“Marketing”。
- 扫描协议类型:选择全部协议(点击『全选』按钮)
- 点击『确定』按钮保存配置并返回入侵防御页面。