- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-IP信譽配置
本章節下載: 12-IP信譽配置 (273.21 KB)
目 錄
IP信譽根據IP信譽特征庫中的IP地址信息對網絡流量進行過濾。
IP信譽特征庫主要是具有僵屍主機DDoS攻擊、命令注入攻擊、木馬下載和端口掃描等風險的IP地址集合。特征庫中包含每個IP地址的方向屬性、所屬攻擊分類、和攻擊分類的動作等信息。
IP信譽對報文的處理流程如圖1-1所示:
圖1-1 IP信譽的報文處理流程圖
IP信譽功能對報文的處理過程如下:
(1) 設備將報文的源IP地址和目的IP地址與例外IP地址進行匹配。任何一個IP地址與例外IP地址匹配成功,均放行報文。如果匹配失敗,則進入下一步處理。
(2) 設備將報文的源IP地址和目的IP地址與特征庫中的IP地址進行匹配。特征庫中的IP地址具有方向屬性,包含源、目的和雙向(既可作為源地址也可作為目的地址)。僅當報文的IP地址與特征庫中的IP地址和方向屬性均一致時,才認為匹配成功(如果特征庫中IP地址的方向屬性是雙向,則報文的源IP地址和目的IP地址均可匹配成功),並執行特征庫中IP地址所屬攻擊分類的動作;如果匹配失敗,則放行報文。設備支持的攻擊分類動作如下:
¡ 若動作為“允許”,則設備將允許此報文通過。
¡ 若動作為“丟棄”,則設備將丟棄此報文。
¡ 若動作為“日誌”,則設備將記錄IP信譽日誌。
本特性的支持情況與設備型號有關,請以設備實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F1003-L-C |
不支持 |
|
|
F10X0係列 |
F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1003-C、F1003-S |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9109 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
IP信譽功能需要購買並正確安裝License後才能使用。License過期後,IP信譽功能可以使用設備中已有的特征庫正常工作,但無法升級到license有效期之後發布的新版本的特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
IP信譽配置任務如下:
(1) 開啟全局IP信譽功能
(2) 配置攻擊分類執行的動作
(3) (可選)配置例外IP地址
(4) 配置IP信譽特征庫升級和回滾
(5) (可選)開啟Top排名統計功能
開啟IP信譽功能後,設備對報文的源、目的IP地址進行匹配,如果命中IP信譽庫,則執行此IP地址所屬攻擊分類的動作。
(1) 進入係統視圖。
system-view
(2) 進入IP信譽視圖。
ip-reputation
(3) 開啟全局IP信譽功能。
global enable
缺省情況下,全局IP信譽功能處於關閉狀態。
IP信譽特征庫中,一個IP地址可對應多種攻擊分類,每種攻擊分類都有對應執行的動作。
當IP地址隻屬於一種攻擊分類時,設備將對匹配上該IP地址的報文執行攻擊分類對應的動作;當IP地址屬於多種攻擊分類時,設備將對匹配上該IP地址的報文執行多種攻擊分類中優先級最高的動作。其中,動作的優先級從高到底依次為:丟棄>允許。
隻要IP地址所屬的任一攻擊分類配置了日誌動作,則對匹配上該IP地址的報文執行記錄日誌動作。
設備僅支持以快速日誌的方式輸出IP信譽日誌,有關快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 進入IP信譽視圖。
ip-reputation
(3) 配置攻擊分類執行的動作。
attack-category attack-id { action { deny | permit } | logging { disable | enable } } *
缺省情況下,未配置對指定攻擊分類執行的動作,設備執行IP信譽特征庫中的缺省動作。
若報文的源或目的IP地址與例外IP地址匹配成功,則設備直接放行該報文。
(1) 進入係統視圖。
system-view
(2) 進入IP信譽視圖。
ip-reputation
(3) 配置例外IP地址。
exception ipv4 ipv4-address
缺省情況下,未配置例外IP地址。
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響IP信譽功能的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
· 自動在線升級(包括定期自動在線升級和立即自動在線升級)IP信譽特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級IP信譽特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
· 同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,管理員可以采用定期自動在線升級方式來對設備上的IP信譽特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級IP信譽特征庫功能,並進入自動在線升級配置視圖。
ip-reputation signature auto-update
缺省情況下,定期自動在線升級IP信譽特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級IP信譽特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間自動升級IP信譽特征庫。
當管理員發現官方網站上的特征庫服務專區中的IP信譽特征庫有更新時,可以選擇立即自動在線升級方式來及時升級IP信譽特征庫版本。
執行此命令後,設備將立即自動升級IP信譽特征庫,且會備份當前的IP信譽特征庫文件到設備存儲介質下名為“ipreputation_sigpack_curr.dat”的文件中。
本功能生效與否,與是否開啟了定期自動升級IP信譽特征庫功能無關。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級IP信譽特征庫。
ip-reputation signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下方式手動離線升級IP信譽特征庫版本:
· 本地升級:使用設備本地保存的特征庫文件升級係統中的IP信譽特征庫版本,使用此方式前,請先從官方網站獲取特征庫文件並導入到設備中。
· FTP/TFTP升級:設備通過FTP或TFTP方式自動下載遠程服務器上保存的特征庫文件到本地,再使用本地保存的特征庫文件升級係統中的IP信譽特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
本地升級:使用此方式前,請管理員先從官方網站獲取特征庫文件並保存到設備中。
FTP/TFTP升級:使用此方式前,需要確保設備與遠程服務器網絡互通。
(1) 進入係統視圖。
system-view
(2) 手動離線升級IP信譽特征庫。
ip-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
本命令中vpn-instance vpn-instance-name、source { ip | ipv6 } { ip-address | interface interface-type interface-number }參數的支持情況與設備的型號有關,具體請參見命令參考。
IP信譽特征庫回滾是指將當前的IP信譽特征庫版本回滾到上一次的版本。如果管理員發現設備當前IP信譽特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前IP信譽特征庫版本進行回滾。
IP信譽特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前IP信譽特征庫是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
(1) 進入係統視圖。
system-view
(2) 回滾IP信譽特征庫。
ip-reputation signature rollback last
開啟本功能後,設備將對命中IP信譽特征庫的IP地址進行統計排名。
關閉本功能後,統計信息將自動清空。
(1) 進入係統視圖。
system-view
(2) 進入IP信譽視圖。
ip-reputation
(3) 開啟Top排名統計功能。
top-hit-statistics enable
缺省情況下,Top排名統計功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示IP信譽的配置信息和Top排名統計信息等,通過查看顯示信息驗證配置的效果。
表1-1 IP信譽顯示和維護
|
操作 |
命令 |
|
顯示IP信譽特征庫中的攻擊分類信息 |
display ip-reputation attack-category |
|
顯示例外IP地址信息 |
display ip-reputation exception |
|
顯示IP信譽特征庫信息 |
display ip-reputation signature library |
|
顯示Top排名統計信息 |
display ip-reputation top-hit-statistics [ top-number ] [ slot slot-id ] |
|
顯示IP信譽特征庫中的IP地址信息 |
display ip-reputation ipv4 ipv4-address |
如圖1-2所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現在需要通過使能IP信譽功能,對所有進出Device的流量進行控製,並需要開啟Top統計功能,方便管理員查看攻擊統計信息。
圖1-2 IP信譽基礎配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 配置IP信譽功能
# 開啟IP信譽功能。
[Device] ip-reputation
[Device-ip-reputation] global enable
# 開啟Top排名統計功能。
[Device-ip-reputation] top-hit-statistics enable
# 配置IP信譽庫中編號為1的攻擊分類對應的動作為丟棄和記錄日誌。
[Device-ip-reputation] attack-category 1 action deny logging enable
[Device-ip-reputation] quit
配置完成後,當攻擊報文匹配到編號為1的攻擊分類時,設備將對報文執行丟棄動作,並會記錄IP信譽日誌。管理員可到Web界麵側查看IP信譽Top排名統計信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
