- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-入侵防禦
本章節下載: 06-入侵防禦 (393.23 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 入侵防禦的優勢
¡ 入侵防禦特征
¡ 入侵防禦動作
¡ 入侵防禦實現流程
· 配置指南
¡ 導入和刪除自定義
IPS(Intrusion Prevention System,入侵防禦係統)是一種可以對應用層攻擊進行檢測並防禦的安全防禦技術。入侵防禦通過分析流經設備的網絡流量來實時檢測入侵行為,並通過一定的響應動作來阻斷入侵行為,實現保護企業信息係統和網絡免遭攻擊的目的。
入侵防禦具有以下優勢:
· 深度防護:可以檢測報文應用層的內容,以及對網絡數據流進行協議分析和重組,並根據檢測結果來對報文做出相應的處理。
· 實時防護:實時檢測流經設備的網絡流量,並對入侵活動和攻擊性網絡流量進行實時攔截。
· 全方位防護:可以對多種攻擊類型提供防護措施,例如蠕蟲、病毒、木馬、僵屍網絡、間諜軟件、廣告軟件、CGI(Common Gateway Interface)攻擊、跨站腳本攻擊、注入攻擊、目錄遍曆、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執行、拒絕服務、掃描工具、後門等。
· 內外兼防:對經過設備的流量都可以進行檢測,不僅可以防止來自企業外部的攻擊,還可以防止發自企業內部的攻擊。
入侵防禦特征用來掃描網絡中的攻擊行為以及對攻擊行為采取防禦措施,設備通過將數據流與入侵防禦特征進行比較來檢測和防禦攻擊。
設備支持預定義和自定義入侵防禦特征。其中,預定義特征由係統中的入侵防禦特征庫自動生成,自定義特征以Snort文件導入的方式生成。預定義入侵防禦特征的內容不能被創建、修改和刪除。自定義特征的內容不能被創建和修改,可以被刪除。
入侵防禦特征的動作和生效狀態可以在特征例外中修改。有關入侵防禦動作的詳細介紹請參見“入侵防禦動作”。
缺省情況下,設備基於入侵防禦配置文件中指定的動作對符合此配置文件中入侵防禦特征的報文進行處理。當需要對符合某條入侵防禦特征的報文采取不同的動作時,可以將此特征設置為特征例外。或者,當入侵防禦配置文件中不包含某條入侵防禦特征時,可以將此特征設置為特征例外,添加到該入侵防禦配置文件中。
特征例外中動作的優先級高於配置文件中動作的優先級。
入侵防禦動作是指設備對匹配上入侵防禦特征的報文做出的處理。入侵防禦處理動作包括如下幾種類型:
· 黑名單:阻斷符合特征的報文。如果設備上同時開啟了IP黑名單過濾功能,則阻斷時間內(在安全動作中的阻斷功能中配置)來自此IP地址的所有報文將被直接丟棄;如果設備上未開啟黑名單過濾功能,報文的源IP地址仍會被添加到IP黑名單表項中,但後續來自該源IP地址的報文不會被直接丟棄。有關黑名單功能的詳細介紹請參見“攻擊防範聯機幫助”。
· 丟棄:丟棄符合特征的報文。
· 允許:允許符合特征的報文通過。
· 重置:通過發送TCP的reset報文或UDP的ICMP端口不可達報文斷開TCP或UDP連接。
· 重定向:把符合特征的報文重定向到指定的Web頁麵上。
· 使用特征的預定義動作:對符合特征的報文執行特征庫中該特征的預定義動作。
· 抓包:捕獲符合特征的報文。
· 日誌:對符合特征的報文生成日誌信息。
在設備配置了入侵防禦功能的情況下,當用戶的數據流量經過設備時,設備將進行入侵防禦處理。處理流程如圖-1所示:
入侵防禦處理的整體流程如下:
1. 如果報文與IP黑名單匹配成功,則直接丟棄該報文。
2. 如果報文匹配了某條安全策略,且此策略引用了入侵防禦配置文件,則設備將對報文進行深度內容檢測:首先,識別報文的協議,然後根據協議分析方案進行更精細的分析,並深入提取報文特征。
3. 設備將提取的報文特征與入侵防禦特征進行匹配,並對匹配成功的報文進行如下處理:
¡ 如果報文同時與多個入侵防禦特征匹配成功,則根據這些動作中優先級最高的動作進行處理。但是,對於黑名單、日誌和捕獲三個動作隻要匹配成功的特征中存在就會執行。動作優先級從高到低的順序為:重置 > (黑名單/丟棄) > 允許,其中黑名單與丟棄的優先級相同。
¡ 如果報文隻與一個入侵防禦特征匹配成功,則根據此特征中指定的動作進行處理。
4. 如果報文未與任何入侵防禦特征匹配成功,則設備直接允許報文通過。
入侵防禦功能的配置思路如下圖所示:
圖-2 入侵防禦功能配置指導圖
設備上存在一個名稱為default的入侵防禦配置文件,缺省入侵防禦配置文件使用當前係統中所有缺省處於使能狀態的入侵防禦特征,新增自定義入侵防禦特征會自動添加到缺省入侵防禦配置文件下。缺省入侵防禦配置文件中的入侵防禦特征的動作屬性和生效狀態屬性不能被修改。
管理員也可以根據實際需求創建自定義的入侵防禦配置文件。
1. 選擇“對象 > 應用安全 > 入侵防禦 > 配置文件”。
2. 在“入侵防禦配置文件”頁麵單擊<新建>按鈕,進入“新建入侵防禦配置文件”頁麵。
3. 新建入侵防禦配置文件,具體配置內容如下:
表-1 入侵防禦配置文件配置
|
參數 |
說明 |
|
篩選特征 |
通過配置保護對象、攻擊分類、對象等篩選條件,可靈活選擇此入侵防禦配置文件中所需的入侵防禦特征。可通過單擊<查看特征篩選結果>按鈕來查看當前配置文件中已選擇的入侵防禦特征 · 若不配置任何一項篩選條件(保持缺省情況),則此配置文件中將會包含所有缺省處於使能狀態的入侵防禦特征 · 若配置了保護對象,但其他篩選條件未配置(保持缺省情況),則配置文件中將包含所選保護對象中所有攻擊分類、服務端類型、客戶端類型、預定義動作和所有嚴重級別的入侵防禦特征 |
|
保護對象 |
通過選擇保護對象可快速選擇所需的入侵防禦特征 |
|
攻擊分類 |
通過選擇攻擊分類可快速選擇所需的入侵防禦特征 |
|
對象 |
入侵防禦特征庫中的特征分為服務端和客戶端兩類,可通過選擇服務端和客戶端來篩選配置文件所需的入侵防禦特征 |
|
嚴重級別 |
入侵防禦特征的嚴重級別分為如下四種:嚴重、高、中、低,可通過選擇不同的嚴重級別來篩選配置文件所需的入侵防禦特征 |
|
其他篩選條件 |
通過配置入侵防禦特征的預定義動作可快速選擇所需的入侵防禦特征 |
|
設置特征統一動作 |
通過設置特征統一動作,對篩選出的特征執行統一的動作 |
|
設置動作 |
選擇特征統一動作,動作類型包括:使用特征的預定義動作、黑名單、丟棄、允許、重置和重定向。符合此配置文件的報文將被按照此統一動作進行處理。缺省情況下,動作為使用特征的預定義動作 |
|
日誌 |
開啟日誌功能後,設備將對與入侵防禦特征匹配成功的報文生成日誌信息 |
|
抓包 |
開啟抓包功能後,設備會將捕獲到的報文保存在本地並輸出到指定的路徑,有關捕獲參數的詳細配置,請參見“安全動作聯機幫助” |
|
設置例外特征 |
通過配置例外特征,可修改指定特征在配置文件中執行的動作和生效狀態。修改後動作的優先級高於特征統一動作 |
|
添加特征例外 |
添加特征例外包括如下兩種方式: · 在“新建入侵防禦配置文件”頁麵的例外特征輸入框中直接輸入入侵防禦特征的ID號,然後單擊右邊<添加>按鈕,即可把此特征加入特征例外中 · 在“新建入侵防禦配置文件”頁麵,先單擊<查看特征篩選結果>按鈕,進入“查看特征”頁麵,在此頁麵選中需要加入特征例外的入侵防禦特征,然後單擊此頁麵上方的<添加到例外列表>按鈕,即可把此特征加入特征例外中 |
|
修改特征例外 |
在特征例外列表中單擊目標入侵防禦特征右邊的<編輯>按鈕,進入“修改例外特征”頁麵,在此頁麵可配置此特征的動作、狀態、日誌和抓包功能。單擊<確定>,此例外特征修改成功 |
4. 單擊<確定>按鈕,新建入侵防禦配置文件成功,且會在“入侵防禦配置文件”頁麵中顯示。
5. 在安全策略的內容安全配置中引用此入侵防禦配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”。
6. 新建配置文件後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
選擇“對象 > 應用安全 > 入侵防禦 > 特征”。在“入侵防禦特征頁麵”可查看當前設備上入侵防禦特征庫中的所有入侵防禦特征。當需要的IPS特征在設備當前IPS特征庫中不存在時,可通過編輯Snort格式的IPS特征文件,並將其導入設備中來生成所需的IPS特征。導入的IPS特征文件內容會自動覆蓋係統中所有的自定義IPS特征。
需要注意的是,Snort文件需要遵循Snort公司的語法。
導入自定義特征的配置步驟如下:
1. 選擇“對象 > 應用安全 > 入侵防禦 > 特征”。
2. 在“入侵防禦特征”頁麵單擊<導入自定義特征>按鈕,進入“導入自定義特征”頁麵。
3. 選擇指定的自定義特征文件,單擊<導入特征>按鈕,導入自定義特征。
選擇“對象 > 應用安全 > 入侵防禦 > 特征”。在“入侵防禦特征”頁麵,單擊<刪除自定義特征>按鈕,可刪除所有自定義特征。
· 入侵防禦功能需要安裝License才能使用。License過期後,入侵防禦功能可以用,但無法升級特征庫,隻能使用設備中已存在的特征庫。關於License的詳細介紹請參見“License聯機幫助”。
· 配置文件變更後(包括新建、編輯和刪除),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
