华为入侵防御（IPS）配置

小乔 · 发表于 2024-10-31 15:52:13

组网需求

如图所示，某企业在网络边界处部署DeviceA作为安全网关。在该组网中：

内网用户可以访问Internet的Web服务器。
内网的Web服务器向内网用户和Internet用户同时提供服务。

图6-6 入侵防御组网图

登录/注册后可看大图

本例中interface1、interface2、interface3分别代表10GE0/0/1、10GE0/0/2、10GE0/0/3。

登录/注册后可看大图

该企业需要在DeviceA上配置入侵防御功能，具体要求如下：

保护内网用户
避免内网用户访问Internet的Web服务器时受到攻击。例如，Web网站含有恶意代码。
保护内部网络的Web服务器
防范Internet用户和内网用户对内部网络的Web服务器发起攻击。

配置思路

配置接口IP地址和安全区域，完成网络基本参数配置。
创建安全策略policy_sec_1，并引用缺省的入侵防御配置文件default，保护内网用户免受来自Internet的攻击。
创建安全策略policy_sec_2，并引用缺省的入侵防御配置文件web_server，保护内网Web服务器免受来自内网用户和Internet的攻击。

操作步骤

配置接口IP地址和安全区域，完成网络基本参数配置。
<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] interface 10ge 0/0/1
[DeviceA-10GE0/0/1] ip address 1.1.1.1 255.255.255.0
[DeviceA-10GE0/0/1] quit
[DeviceA] interface 10ge 0/0/2
[DeviceA-10GE0/0/2] ip address 10.2.0.1 255.255.255.0
[DeviceA-10GE0/0/2] quit
[DeviceA] interface 10ge 0/0/3
[DeviceA-10GE0/0/3] ip address 10.3.0.1 255.255.255.0
[DeviceA-10GE0/0/3] quit
[DeviceA] firewall zone trust
[DeviceA-zone-trust] add interface 10ge 0/0/3
[DeviceA-zone-trust] quit
[DeviceA] firewall zone dmz
[DeviceA-zone-dmz] add interface 10ge 0/0/2
[DeviceA-zone-dmz] quit
[DeviceA] firewall zone untrust
[DeviceA-zone-untrust] add interface 10ge 0/0/1
[DeviceA-zone-untrust] quit
配置Trust区域和Untrust区域之间的安全策略，引用入侵防御配置文件default。
[DeviceA] security-policy
[DeviceA-policy-security] rule name policy_sec_1
[DeviceA-policy-security-rule-policy_sec_1] source-zone trust
[DeviceA-policy-security-rule-policy_sec_1] destination-zone untrust
[DeviceA-policy-security-rule-policy_sec_1] source-address 10.3.0.0 24
[DeviceA-policy-security-rule-policy_sec_1] profile ips default
[DeviceA-policy-security-rule-policy_sec_1] action permit
[DeviceA-policy-security-rule-policy_sec_1] quit
配置从Trust区域到DMZ区域、从Untrust区域到DMZ区域的安全策略，引用入侵防御配置文件web_server。
[DeviceA-policy-security] rule name policy_sec_2
[DeviceA-policy-security-rule-policy_sec_2] source-zone trust untrust
[DeviceA-policy-security-rule-policy_sec_2] destination-zone dmz
[DeviceA-policy-security-rule-policy_sec_2] destination-address 10.2.0.0 24
[DeviceA-policy-security-rule-policy_sec_2] profile ips web_server
[DeviceA-policy-security-rule-policy_sec_2] action permit
[DeviceA-policy-security-rule-policy_sec_2] quit
[DeviceA-policy-security] quit
保存配置信息，以便设备下次启动时自动加载上述配置信息。
[DeviceA] quit
<DeviceA> save
检查配置结果
当发生攻击事件时，访问连接被阻断，并且在设备上可以查看到IPS模块的威胁日志。
执行display ips statistics命令可以查看入侵防御的统计信息。

配置脚本
#
sysname DeviceA
#
interface 10GE0/0/1
ip address 1.1.1.1 255.255.255.0
#
interface 10GE0/0/2
ip address 10.2.0.1 255.255.255.0
#
interface 10GE0/0/3
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
add interface 10GE0/0/3
#
firewall zone untrust
add interface 10GE0/0/1
#
firewall zone dmz
add interface 10GE0/0/2
#
security-policy
rule name policy_sec_1
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  profile ips default
  action permit
rule name policy_sec_2
  source-zone trust
  source-zone untrust
  destination-zone dmz
  destination-address 10.2.0.0 24
  profile ips web_server
  action permit

mawr1985 · 发表于 2024-10-31 17:29:12

账号		自动登录	找回密码
密码			论坛注册

[文档资料] 华为入侵防御（IPS）配置

客服中心

投诉建议