交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
制造业
医疗卫生
交通
公共安全
应用场景:
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果,此时可在出口防火墙上开启病毒、漏洞、木马等事件过滤功能,NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过分析、检测、防护以及告警,保护服务器免受攻击。
功能原理:
数据包首先通过协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别为:HTTP、FTP、SMTP、POP3、IMAP等,识别完成后上报告警信息。
如果配置了其他应用功能,则数据包会根据配置进入各个应用防护如下:
1、入侵防护:数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
2、病毒防护:系统调用第三方的动态库对数据包进行病毒检测;
3、应用控制:数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
4、Web过滤:对于符合条件的HTTP协议数据进行过滤和替换;
5、邮件过滤:对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。
说明:
NGFW的入侵防御、防病毒、应用控制三个功能需要有相应特征库才能使用,NGFW出厂已有当前最新的特征库版本,但要想让此功能效果保持理想,需要实时更新特征库的版本,若没有购买正式授权,则特征库无法更新,功能将会不理想,若有购买授权,并将lisence导入设备,则系统会自动更新到最新版本。Lisence的导入请参见:日常维护>>lisence导入章节。
一、组网需求
1、CGI攻击是网络黑客利用CGI漏洞进行攻击的一种行为,以下通过对入侵防御配置,阻断来自内网的此类攻击。
二、组网拓扑
三、配置要点
1、新建事件集,并添加事件
NGFW中的事件集是一个或多个防御功能组件的集合。系统默认提供了4个事件集可直接调用:最大事件集、常规事件集、应用事件集、攻击事件集
默认事件集作为系统提供的资源,不能被编辑删除。正在安全防护表中被引用的事件集不能被删除。
入侵防御功能如果把所有事件都进行检测,会消耗设备性能,建议把关键事件进行监控防御。
2、新建安全防护列表
注意:配置日志级别为“通知”后,“通知”以上的所有级别都将记录日志。
日志功能如果全部开启会消耗设备性能,建议把关键日志开启日志记录即可。
四、配置步骤
1、进入入侵防御>特征>事件集,新建一个名称为“test”的事件集
点击“test"的详细,里面可以选择防入侵的功能组件
添加需要检查的事件:
选择好后点击“提交”:
添加完以后,可以对每个事件进行编辑
选择协议分析中的IP_碎片错误,编辑:
可编辑事件级别、是否启用、是否日志提示及动作:
2、新建安全防护列表,调用上一步配置的“test"事件集
同时还可以勾选 日志中的入侵防御日志功能,记录入侵日志
注意:配置通知级别后,通知以上的所有级别都将记录日志。
后续如果有入侵日志信息生成,会在 本地日志>入侵防御日志 里看到
3、编辑安全策略,调用上一步设置的安全防护表