- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-IDS配置举例
本章节下载: 13-IDS配置举例 (915.10 KB)
目 录
本文档介绍了H3C SecPath GAP2000的IDS配置举例。
H3C SecPath GAP2000用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。由于此功能效果展示涉及真实攻击场景,请事先准备攻击环境以及攻击脚本,此次举例使用到的环境为python windows版本,攻击手段为udp-flood攻击,下文中会详细介绍到具体下载、安装和执行,以作参考。
本文假设您已了解H3C SecPath GAP2000特性。
如图1所示,网闸内端SLOT0/0的接口IP为192.168.50.226,192.168.50.11为攻击发起源的主机IP,使得攻击发起源可以对网闸内端SLOT0/0进行攻击。
图1 H3C SecPath GAP2000 IDS举例组网图
· 首先统计网闸哪些网卡需要开启IDS功能
· 其次统计网卡上的哪些IP需要检测,并确认检测类型
· 然后对检测端口进行添加,根据检测端口选择对应的检测类型
· 最后涉及应用层协议解析的,根据检测端口选择对应的检测类型
本举例是在E6008P03版本及以上进行配置和验证的。
通过网闸MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为专用管理口,其它网口不允许管理配置网闸)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 登录界面
该配置在系统管理员secrecy下操作。
点击“IDS/IPS管理”,选择内端机的SLOT0/0,随后添加检测IP和端口。
图3 选择IDS/IPS
点击【+】按钮,对检测IP和检测类型进行添加。
图4 点击添加
添加检测IP和检测类型,并点击保存按钮。
图5 添加IP和类型
图6 添加成功
点击【+】按钮,对检测端口进行添加,根据检测端口选择对应的检测类型。
图7 点击添加
添加检测端口和检测类型,并点击保存按钮。
图8 添加端口和类型
图9 添加成功
添加完成后保存并启用IDS
图10 点击保存并启用
图11 开启成功
下图为固定的检测端口,仅供参考:
图12 参考端口
使用hping3工具,进行攻击。
mkdir -p /usr/local/hping && cd /usr/local/hping
wget https://github.com/antirez/hping/archive/master.zip && unzip master.zip && cd hping-master
yum install -y libpcap-devel
yum install -y gcc gcc-c++
yum install -y tcl tcl-devel
ln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h
./configure && make strip && make install
hping3 -v
hping3 -c 50000 -d 120 --udp -w 64 -p port --flood --rand-source 192.168.50.226
图13 攻击截图
图14 日志审计
不同于普通路由交换设备。网闸连通性不能用单纯的ping或telnet来测试连通性。由于网闸摆渡的仅仅是应用层数据,所以只能通过应用来测试。网闸配置完后需要根据不同的业务来进行测试和验证其连通性。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
