【WALL1600下一代防火墙】下一代防火墙病毒、漏洞、木马等事件过滤

发布时间: 2013-09-14 点击量:1728 打印 字体:

一、组网需求

     1、NGFW以透明模式串接到出口路由器和内网交换机之间,当前已经可以上网了(透明模式上网配置参见“透明模式功能配置”--透明模式上网配置”--“单桥”),CGI攻击是网络黑客利用CGI漏洞进行攻击的一种行为,以下通过对入侵防御配置,阻断来自内网的此类攻击。

 

二、组网拓扑

 

三、配置要点

1、新建事件集,并添加事件

      NGFW中的事件集是一个或多个防御功能组件的集合。系统默认提供了4个事件集可直接调用:最大事件集、常规事件集、应用事件集、攻击事件集

     默认事件集作为系统提供的资源,不能被编辑删除。正在安全防护表中被引用的事件集不能被删除。 

     入侵防御功能如果把所有事件都进行检测,会消耗设备性能,建议把关键事件进行监控防御。

2、新建安全防护列表

      注意:配置日志级别为“通知”后,“通知”以上的所有级别都将记录日志。

      日志功能如果全部开启会消耗设备性能,建议把关键日志开启日志记录即可。

 

四、配置步骤

1、进入入侵防御>特征>事件集,新建一个名称为“test”的事件集

  点击“test"的详细,里面可以选择防入侵的功能组件

 

添加需要检查的事件:

选择好后点击“提交”:

添加完以后,可以对每个事件进行编辑

选择协议分析中的IP_碎片错误,编辑:

可编辑事件级别、是否启用、是否日志提示及动作:

       2、新建安全防护列表,调用上一步配置的“test"事件集

同时还可以勾选 日志中的入侵防御日志功能,记录入侵日志

注意:配置通知级别后,通知以上的所有级别都将记录日志。

后续如果有入侵日志信息生成,会在   本地日志>入侵防御日志  里看到

       3、编辑安全策略,调用上一步设置的安全防护表

源接口选择透明桥接口名:test

源地址名:选择地址名“本地网段”

目的接口选择透明桥接口名:test

勾选安全防护,选择安全防护表名:测试入侵防御

 

 

00 分享 纠错
相关条目