华为深度安全防御配置

小乔

安全策略简介
介绍设备安全策略的定义和特点。
随着网络的发展，层出不穷的新应用虽然给人们的网络生活带来了更多的便利，但是同时也带来更多的安全风险。现在内网主机在访问Internet的过程中，很有可能无意中从外网引入蠕虫、木马及其他病毒，造成企业机密数据泄露，对企业经营造成巨大损失。为了保护公司内部网络安全，企业有必要在控制流量的源和目的的基础上，再对流量传输的真实内容进行深入的识别和监控。但是传统的单包检测机制只能对单个报文的安全性进行分析，这样无法防范在一次正常网络访问的过程中发生的缓冲区溢出攻击、木马、蠕虫等网络威胁。安全策略不仅可以对网络流量进行转发，还可以对网络流量进行内容安全一体化检测。
内容安全一体化检测是指使用设备的一体化检测引擎对一条流量的内容只进行一次检测和处理，就能实现包括IPS、URL过滤在内的内容安全功能。由于一体化检测的高效性，用户往往可以通过配置较宽泛的安全策略条件来匹配一类流量，然后再通过各种内容安全功能来保证网络安全。
设备能够识别出流量的属性，并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略，否则允许流量通过。流量匹配安全策略后，设备将会对流量进行内容安全检测，并根据检测结果执行相应的动作。
如果检测结果为“允许”或“告警”，则允许流量通过。检测结果为“告警”时设备会记录日志。
如果检测结果为“禁止”，则禁止流量通过。

IPS简介
介绍IPS的定义、由来和作用。
定义
入侵防御系统IPS（Intrusion Prevention System）是一种安全机制，通过分析网络流量可以检测出入侵行为（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式对其进行实时中止，从而保护企业信息系统和网络架构免受侵害。
目的
随着网络的发展，层出不穷的新应用虽然给人们的网络生活带来了更多的便利，但是同时也带来更多的安全风险。在访问Internet的过程中，很有可能无意中从外网引入蠕虫、木马及其他病毒，造成企业机密数据泄露，对企业经营造成巨大损失。所以企业的网络安全管理，有必要在控制流量的源和目的的基础上，再对流量传输的真实内容进行深入的识别和监控。
通过IPS可以防护应用层的攻击或入侵，例如缓冲区溢出攻击、木马、蠕虫等。
优势
入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或者阻断攻击源，从而从根本上避免攻击行为。入侵防御的主要优势有如下几点。
实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，把其对网络的入侵降到最低。
深层防护：由于新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等来确定哪些流量应该被拦截。
全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具等攻击的防护措施，全方位防御各种攻击，保护网络安全。
内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。
不断升级，精准防护：入侵防御特征库会持续的更新，以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库，以保持入侵防御的持续有效性。
与传统IDS（Intrusion Detection System）的不同
总体上说，IDS对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全功能。而入侵防御对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测，并实时终止，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全功能。
入侵防御技术在传统IDS的基础上增加了强大的防御功能：
传统防火墙很难对基于应用层的攻击进行预防和阻止。入侵防御设备能够有效防御应用层攻击。
而由于重要数据夹杂在过多的一般性数据中，IDS很容易忽视真正的攻击，误报和漏报率居高不下，日志和告警过多。而入侵防御功能则可以对报文层层剥离，进行协议识别和报文解析，对解析后的报文分类并进行专业的特征匹配，保证了检测的精确性。
IDS设备只能被动检测保护目标遭到何种攻击。为阻止进一步攻击行为，它只能通过响应机制报告给防火墙，由防火墙来阻断攻击。
入侵防御是一种主动积极的入侵防范阻止系统。检测到攻击企图时会自动将攻击包丢掉或将攻击源阻断，有效地实现了主动防御功能。
配置IPS模板
背景信息
由于加载IPS特征库后，IPS特征库文件动态生成的大量签名是没有进行分类的，且有些签名所包含的特征本网络中不存在，需要通过签名过滤器对签名进行批量过滤并设置统一的动作。并且如果管理员对某些签名专门设定动作时，需要将签名引入到例外签名中。

通过配置IPS模板，可以解决上述问题，并且一个IPS模板下可配置多个签名过滤器和多个例外签名。在IPS模板中配置签名过滤器和例外签名后，可以筛选出适合本网络特征的签名。设备可以通过IPS模板对入侵行为进行入侵防御。

设备缺省存在多个安全配置文件以适用于不同的应用场景，缺省的安全配置文件可以查看、复制或直接被安全策略引用，但是不可以修改或删除。
strict：包括所有签名，动作为阻断。适用于所有协议。适用于所有威胁类别。该配置文件适用于需要设备阻断所有命中签名的报文场景。
web_server：包括所有签名，动作采用签名的缺省动作。适用于DNS、HTTP、FTP协议。适用于所有威胁类别。该配置文件适用于当设备部署在Web服务器前面的场景。
file_server：包括所有签名，动作采用签名的缺省动作。适用于DNS、SMB、NETBIOS、NFS、SUNRPC、MSRPC、FILE、TELNET协议。适用于所有威胁类别。该配置文件适用于当设备部署在File服务器前面的场景。
dns_server：包括所有签名，动作采用签名的缺省动作。适用于DNS协议。适用于所有威胁类别。该配置文件适用于当设备部署在DNS服务器前面的场景。
mail_server：包括所有签名，动作采用签名的缺省动作。适用于DNS、IMAP4、SMTP、POP3协议。适用于所有威胁类别。该配置文件适用于当设备部署在Mail服务器前面的场景。
inside_firewall：包括所有签名，动作采用签名的缺省动作。适用于所有协议。适用于所有威胁类别。该配置文件适用于当设备部署在防火墙里面的场景。
dmz：包括所有签名，动作采用签名的缺省动作。适用于除NETBIOS、NFS、SMB、TELNET和TFTP之外的所有协议。适用于所有威胁类别。该配置文件适用于当设备部署在DMZ区域前的场景。
outside_firewall：包括所有签名，动作采用签名的缺省动作。适用于所有协议。适用于除Scanner之外的威胁类别。该配置文件适用于当设备部署在防火墙外面的场景。
ids：包括所有签名，动作为告警。适用于所有协议。适用于所有威胁类别。该配置文件适用于当设备以IDS（旁路）模式部署时的通用场景。
default：包括所有签名，动作采用签名的缺省动作。适用于所有协议。适用于所有威胁类别。该配置文件适用于当设备以IPS（直路）模式部署时的通用场景。
操作步骤
执行命令system-view，进入系统视图。
创建IPS模板并进入IPS模板视图。
创建一个空配置的IPS模板。

执行命令profile type ips name name，用来创建IPS模板，并进入IPS模板视图。

复制方式创建IPS模板。

执行命令profile type ips copy old-name [ new-name ]，用于通过复制已经存在的IPS模板来创建IPS模板，并进入IPS模板视图。

old-name是一个已创建的IPS模板。

缺省情况下，设备上存在IPS模板。名称为：strict、web_server、file_server、dns_server、mail_server、inside_firewall、dmz、outside_firewall、ids和default。


为了方便记忆和管理，可以根据实际情况对IPS模板进行重新命名。

执行命令rename new-name，重新命名IPS模板，并进入新的IPS模板视图。

（可选）执行命令collect-attack-evidence enable，用来开启IPS的攻击取证功能。
缺省情况下，关闭IPS的攻击取证功能。


需要先执行命令engine log ips enable开启IPS模块的发送日志功能。

（可选）执行命令description description，用来配置IPS模板的描述信息，以辅助标识本IPS模板。
缺省情况下，IPS模板下未配置描述信息。

（可选）执行命令cnc domain-filter enable [ action { alert | block } ] ，用来开启域名过滤功能。
缺省情况下，域名过滤功能处于关闭状态。

开启域名过滤功能后，缺省的处理动作为告警（alert）。

域名过滤功能通过恶意域名特征库（CNC）对域名进行过滤，保证内网主机不会受到恶意域名的侵害。

由于设备本身没有预装CNC库，所以需要用户在获取IPS的License权限后手动从安全中心平台（sec.huawei.com）下载到本地加载或者在线加载CNC库。
当设备更换启动路径时，用户需要再次在获取IPS的License权限后手动从安全中心平台（sec.huawei.com）下载到本地加载或者在线加载CNC库。
执行命令signature-set name name，用来在IPS模板视图下创建一个IPS签名过滤器并进入IPS签名过滤器视图。
缺省情况下，未配置IPS签名过滤器。

一个IPS模板下可配置多个IPS签名过滤器。


为了方便记忆和管理，可以根据实际情况对IPS签名过滤器进行重新命名。

执行命令rename new-name，重新命名IPS签名过滤器，并进入新的IPS签名过滤器视图。

创建一个IPS签名过滤器后，缺省情况下所有预定义签名都包含在该签名过滤器中。用户根据需要选择执行以下命令，配置签名过滤器的过滤条件来挑选出符合要求的签名。
执行命令category { category-name &<1-10> | all }，用来将指定分类的IPS签名加入IPS签名过滤器中。

缺省情况下，未配置指定分类的IPS签名加入IPS签名过滤器中。

执行命令protocol { protocol-name &<1-10> | all }，用来将指定协议的IPS签名加入IPS签名过滤器中。

缺省情况下，IPS签名过滤器中未指定协议。

执行命令os { android | ios | other | unix-like | windows } *，用来将指定操作系统的IPS签名加入IPS签名过滤器中。

缺省情况下，IPS签名过滤器中包含全部操作系统的签名。

执行命令severity { high | information | low | medium } *，用来将指定威胁等级的IPS签名加入IPS签名过滤器中。

缺省情况下，IPS签名过滤器中未指定威胁等级。

执行命令target { both | client | server }，用来将指定目标的IPS签名加入IPS签名过滤器中。

缺省情况下，IPS签名过滤器中未指定目标。

执行命令action { alert | block | default }，用来配置IPS签名过滤器的动作。
缺省情况下，签名过滤器的动作为default，即签名过滤器使用各签名本身的动作对报文进行处理。

执行命令application { application-name &<1-10> | all }，用来配置签名过滤器中的应用名称。
缺省情况下，系统不对应用名称进行过滤。

应用名称是IPS签名过滤器中的一个过滤条件，可以有针对性的对某些应用进行过滤。&<1-10>表示一条命令一次最多可配置10个应用名称，如果需要配置更多的应用名称，请多次执行本命令，多条命令之间不会相互覆盖。当指定多个应用名称时，报文所属的应用类型只需匹配其中一个，即属于匹配通过。

执行命令quit，退出签名过滤器视图。
（可选）执行命令signature-set move signature-set-name1 { before | after } signature-set-name2，用来配置IPS签名过滤器的优先级。
（可选）执行命令exception ips-signature-id ips-signature-id [ action { alert | allow | block } ]，用来配置IPS例外签名处理功能。
缺省情况下，IPS例外签名相应方式为放行。

如果IPS例外签名的响应方式与模板、签名集的不同，以IPS例外签名的配置为准。

执行命令quit，退出IPS模板视图。
（可选）执行命令ips collect-attack-evidence max-session-number session-number [ signature-id signature-id ]，用来配置每个CPU上针对单个IPS签名最大攻击取证会话数。
缺省情况下，每个CPU上针对单个IPS签名攻击取证的会话数为5。

管理员可以配置每个CPU上针对单个IPS签名最大可抓取的会话数，在不影响设备性能的前提下，保证可以获取必要的信息用来回溯可能出现的威胁。当设备支持多个CPU时，设备针对单个IPS签名的最大攻击取证会话数等于session-number乘以CPU个数。

执行命令engine configuration commit，用来对安全策略相关的配置进行提交。
创建或修改安全策略相关配置后，配置内容不会立即生效，需要执行engine configuration commit命令来激活配置。因为激活过程所需时间较长，建议您完成所有安全策略相关配置的修改后再统一进行提交。

（可选）执行命令cnc domain-filter exception domain-name domain-name，用来添加例外域名。
缺省情况下，系统中未配置例外域名。

例外域名必须是恶意域名特征库中已存在的域名，不能添加任意域名为例外域名，添加任意域名是没有意义的。管理员可以根据系统中的威胁日志决定是否将某个恶意域名设置为例外域名，系统不会对例外域名进行域名过滤处理。

在入侵防御视图下配置协议异常检测。
配置项

命令

检测HTTP流量中是否存在SSH流量

http ssh-over-http check action { alert | block }

检测HTTP报文中是否存在多个Host字段

http multi-host check action { alert | block }

检测HTTP报文中的X-Online-Host字段

http x-online-host check { any | blacklist | multiple } action { alert | block }

http x-online-host blacklist blacklist

检测HTTP报文中的X-Forwarded-For字段

http x-forwarded-for check { any | whitelist } action { alert | block }

http x-forwarded-for whitelist ipv4 ip-address

检测DNS报文的协议格式是否异常

dns malformed-packet check action { alert | block }

检测DNS报文的查询类型

dns request-type check { start-type [ to end-type ] action | default-action } { alert | allow | block }


URL过滤简介
介绍URL过滤的定义和目的。
随着互联网应用的迅速发展，计算机网络在经济和生活的各个领域迅速普及，使得信息的获取、共享和传播更加方便，但同时也给企业带来了前所未有的威胁：
员工在工作时间随意访问与工作无关的网站，严重影响了工作效率。
员工随意访问非法或恶意的网站，可能会带来病毒、木马、蠕虫等威胁攻击。
URL过滤功能可以对用户访问的统一资源定位符URL（Uniform Resource Locator）进行控制，允许或禁止用户访问某些网页资源，达到规范上网行为的目的。
本文中，URL过滤仅支持采用URL本地过滤的方式查询预定义分类。

游客，如果您要查看本帖隐藏内容请回复

zhaoyj

谢谢，学习学习

richest41

谢谢楼主分享

abc456789

感谢感谢