前提条件
升级IPS特征库(预定义签名库)需要确保已购买支持IPS特征库升级服务的License并且在有效服务期内。
用户购买了带入侵防御升级功能的License后能够不断地从安全中心平台(缺省域名为sec.huawei.com)获取新的IPS特征库。
背景信息
为识别更多的入侵行为,提高系统的安全防护能力,在配置IPS功能之前,请先升级IPS特征库。
IPS特征库是IPS进行入侵防御检测的基础,IPS特征库中包括预定义的IPS签名。IPS签名用来描述网络中存在的攻击行为的特征,设备通过将报文内容和IPS签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备可按照该签名的动作来处理数据流。预定义签名的内容是固定的,不能被创建或修改。
IPS特征库的升级方式有:
-
在线升级
当设备能访问安全中心平台时,可以配置通过安全中心平台进行在线升级。
-
本地升级
当设备无法访问安全中心平台时,用户可以在能够访问安全中心平台的PC上下载升级包,通过FTP或TFTP等方式将IPS特征库文件上传到设备上进行本地升级。
操作步骤
- 在线升级
- 执行命令system-view,进入系统视图。
- (可选)执行命令update server { domain domain-name | ip ip-address } [ port port-number ],配置升级服务器的IP地址或者域名。缺省情况下,升级服务器的域名为sec.huawei.com,端口号默认为80。
- (可选)通过代理服务器访问升级服务器。
-
执行命令update proxy enable,开启特征库代理升级功能。
缺省情况下,设备没有开启特征库代理升级功能。
-
执行命令update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name [ password password ] ],配置代理服务器的IP地址或者域名。
-
- 确定在线升级方式
-
通过安全中心平台进行在线升级
为保证设备能访问安全中心平台,需要配置动态域名解析功能。
-
执行命令dns resolve,启用DNS服务器的域名解析功能。
-
执行命令dns server ip-address,配置DNS服务器的IP地址。
-
-
- 定时升级
-
执行命令update schedule ips-sdb enable,开启IPS特征库的定时升级功能。
缺省情况下,已开启IPS特征库定时升级功能。
-
执行命令update schedule [ { daily | weekly { Mon | Tue | Wed | Thu | Fri | Sat | Sun } } time ],配置IPS特征库定时在线下载时间。
如果未配置定时下载时间,则缺省在22:00~08:00之间随机选择一个时间作为每天进行定时升级的时间。
time建议设置为一天中设备流量最小的时间,例如凌晨6点前后。
-
配置IPS特征库安装方式
IPS特征库下载后,还需要在设备上进行安装才生效。用户可以选择是否使能安装确认功能,即定时升级的IPS特征库是否需要经过用户确认后再安装。
IPS特征库安装时涉及新旧IPS特征库的切换,可能影响入侵行为的检测,用户可以选择影响较小时启用安装确认功能。
-
用户确认后进行安装
-
执行命令update confirm ips-sdb enable,使能安装确认功能,即定时下载的IPS特征库需要经过用户确认后再安装。
缺省情况下,关闭特征库安装确认功能,即设备下载升级文件后自动进行安装。
-
执行命令update apply ips-sdb,安装下载的IPS特征库。
-
-
用户无需确认即直接安装
执行命令undo update confirm ips-sdb enable,去使能安装确认功能,即定时下载的IPS特征库进行自动安装,不需要经过用户确认。
-
-
- (可选)立即升级
用户一般可选择定时升级。如果发现网络上出现新的入侵行为,而设备的定时升级时间尚未达到时,用户可以执行立即升级。
-
执行命令update online ips-sdb,立即下载IPS特征库。
-
执行命令update apply ips-sdb,安装下载的IPS特征库。
-