配置防火墙入侵防御

最新推荐文章于 2024-04-12 13:46:22 发布
最新推荐文章于 2024-04-12 13:46:22 发布
阅读量536 收藏 10
点赞数 6
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207482/article/details/135077773
版权
本文详细介绍了如何在防火墙中配置入侵防御系统,包括设置接口IP地址、安全区域,创建profile_ips_pc和profile_ips_server配置文件,以及制定针对不同区域的保护策略,如policy_sec_1和policy_sec_2。
摘要由CSDN通过智能技术生成 
配置入侵防御
1、拓扑


2、配置思路
1)配置接口IP地址和安全区域,完成网络基本参数配置。
2)配置入侵防御配置文件profile_ips_pc,保护内网用户。通过配置签名过滤器来满足安全需要。
3)配置入侵防御配置文件profile_ips_server,保护内网服务器。并配置签名过滤器以及例外签名来满足安全需要。
4)创建安全策略policy_sec_1,并引用安全配置文件profile_ips_pc,保护内网用户免受来自Internet的攻击。
5)创建安全策略policy_sec_2,并引用安全配置文件profile_ips_server,保护内网服务器免受来自内网用户和Internet的攻击。

3、操作步骤
1)配置接口IP地址和安全区域,完成网络基本参数配置。 
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 255.255.255.0
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[FW-zone-dmz] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
2)创建入侵防御配置文件profile_ips_pc,保护内网用户。 
[FW] profile type ips name profile_ips_pc
[FW-profile-ips-profile_ips_pc] description profile for intranet users
[FW-profile-ips-profile_ips_pc] collect-attack-evidence enable
[FW-profile-ips-profile_ips_pc] signature-set name filter1
[FW-profile-ips-profile_ips_pc-sigset-filter1] target client
[FW-profile-ips-profile_ips_pc-sigset-filter1] severity high
[FW-profile-ips-profile_ips_pc-sigset-filter1] protocol HTTP
[FW-profile-ips-profile_ips_pc-sigset-filter1] quit
[FW-profile-ips-profile_ips_pc] quit
3) 创建入侵防御配置文件profile_ips_server,保护内网FTP服务器。配置ID为74320的签名为例外签名,设置动作为阻断。 
[FW] profile type ips name profile_ips_server
[FW-profile-ips-profile_ips_server] description profile for intranet servers
[FW-profile-ips-profile_ips_server] collect-attack-evidence enable
[FW-profile-ips-profile_ips_server] signature-set name filter2
[FW-profile-ips-profile_ips_server-sigset-filter2] target server
[FW-profile-ips-profile_ips_server-sigset-filter2] severity high
[FW-profile-ips-profile_ips_server-sigset-filter2] protocol FTP
[FW-profile-ips-profile_ips_server-sigset-filter2] quit
[FW-profile-ips-profile_ips_server] exception ips-signature-id 74320 action block
[FW-profile-ips-profile_ips_server] quit
4)提交配置。 
[FW] engine configuration commit
5)配置Trust区域和Untrust区域之间的安全策略,引用入侵防御配置文件profile_ips_pc。 
[FW] security-policy
[FW-policy-security] rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1] source-zone trust
[FW-policy-security-rule-policy_sec_1] destination-zone untrust
[FW-policy-security-rule-policy_sec_1] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_1] profile ips profile_ips_pc
[FW-policy-security-rule-policy_sec_1] action permit
[FW-policy-security-rule-policy_sec_1] quit

6)配置从Trust区域到DMZ区域、从Untrust区域到DMZ区域的安全策略,引用入侵防御配置文件profile_ips_server。 
[FW-policy-security] rule name policy_sec_2
[FW-policy-security-rule-policy_sec_2] source-zone trust untrust
[FW-policy-security-rule-policy_sec_2] destination-zone dmz
[FW-policy-security-rule-policy_sec_2] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy_sec_2] profile ips profile_ips_server
[FW-policy-security-rule-policy_sec_2] action permit
[FW-policy-security-rule-policy_sec_2] quit
[FW-policy-security] quit
7)保存配置信息,以便设备下次启动时自动加载上述配置信息。 
[FW] quit
<FW> save

 

Lyx-0607
关注
安全防御(三)--- IDS、防火墙入侵防御
weixin_58299245的博客
09-19 1778
IDS,IDS工作原理及其检测方法,IDS签名、签名过滤器、例外签名
【计算机系统和网络安全技术】第九章:防火墙入侵防御系统
ymx520haha的博客
02-25 720
疯了疯了
防火墙配置和策略
qq_64441401的博客
11-06 988
对进出网络或者主机的数据包基于一定规则的检查,而且在匹配到某规则时,规则的定义做出相应的处理动作。只有运行策略的数据包,才能够通过。filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,以及任何时候接受或者拒绝数据包。自上向下,按顺序依次进行检查,找到匹配的规则立刻停止,如果在链找不到规则,则会按照该链的默认策略处理。1、如果策略已保存过,写在配置文件的,保存,导入到iptables,重启服务器即可。防水墙:ensp,不透明的工作方式,你干什么都有记录,但是你自己不知道。
iptables防火墙概念-规则命令详解-配置文件修改
weixin_45266856的博客
02-15 3508
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表,在数据包过滤表,规则被分组放在我们所谓的链(chain)。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
Windows服务器如何防止黑客入侵的安全设置
V13807970340的博客
08-03 2171
打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 ,双击 Guest 帐户,在属性 帐户已禁用,单击 确定。打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 ,双击 交互式登录:不显示最后的用户名,选择 已启用并单击 确定。打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 ,禁用 关机: 允许系统在未登录前关机 策略。禁用或删除,一般建议禁用(管理助手创建的网站会有ftp同名账号,不能禁用)...
华为防火墙 配置命令总结
彪哥.TOP的博客
11-21 1407
配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!防火墙配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)DMZ区域:允许源untrust、trust区域访问目的dmz区域。NAT-Server(仅用于服务器地址转换)配置NAPT地址池(可以设置一个或者多个)无需配置地址池,直接配置NAT策略。进接口,开启相关服务。
交换机常见配置、H3C防火墙配置
cvpatient的博客
08-17 2957
console线连接之后,检查电脑有无console线对应的驱动,无则根据型号去网上下载驱动交换机的端口类型是百兆还是千兆(e为百兆,g为千兆):如果是百兆端口,那么调试时的接口名称就是:e0/0/*如果是千兆端口,那么调试时的接口名称就是:g0/0/*
防火墙入侵防御与反病毒功能介绍
最新发布
09-10
本文介绍了防火墙入侵防御与反病毒功能的重要性及其配置方法。针对网络威胁现状,阐述了入侵防御的种类和原理,以及如何通过配置防火墙实现入侵防御和反病毒功能。通过具体配置示例,详细说明了如何配置入侵防御和反...
H3C_GB0-561-防火墙入侵防御系统
03-15
H3C认证安全技术高级工程师 H3CSE Security(H3C Certified Senior Engineer for Security,H3C认证网络安全高级工程师)主要定位在从事信息安全产品安装、调试、...涵盖当今网络安全领域三大热门技术:防火墙,和IPS。
ensp防火墙入侵防御实验
07-27
对于ensp防火墙入侵防御实验,我可以为您提供一些基本的指导和建议。 首先,了解ensp防火墙的工作原理和功能是很重要的。它可以通过过滤网络流量、监控网络连接和检测潜在的入侵行为来保护网络安全。 在进行实验...
系统防入侵全攻略
2201_75362610的博客
04-21 322
通常按默认方式安装的操作系统,如果不做任何安全加固,那么其安全性难以保证。攻击者稍加利用便可使其成为肉鸡。因此,防止主机成为肉鸡的第一步,便是系统加固。一、防止主机成为肉鸡的安全技术措施1、利用操作系统自身功能加固系统鉴于目前大部分用户仍然使用Windows XP,因此,本文所有内容都基于Windows XP。(1)加强系统登录帐户和密码的安全。
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置
热门推荐
Richardlygo的博客
11-24 1万+
实验要求 根据实验要求配置防火墙: 合理部署防火墙安全策略以及安全区域 实现内网用户可以访问外网用户,反之不能访问 内网用户和外网用户均可以访问公司服务器 实验配置 步骤一:配置各个终端、防火墙端口IP地址 终端以服务器为例: 防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSPUSG6000V1防火墙 防火墙端口配置地址: [USG6000V1]sy FW1 //修改名称 [FW1]un in en //关闭提示信息 Info
入侵检测简单介绍
m0_48944871的博客
05-05 1914
新手上路,多多關照~
安全头响应头(一)Content-Security-Policy_add_header content-security-policy
04-12 665
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 7315
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
新华三防火墙简单配置安全域
Ddfgxfgg的博客
05-20 7750
实现简单的核心交换机与出口路由的隔离 华三防火墙默认账户密码为admin/admin 让g1/0/1口为连接核心交换的接口 [H3C]int g1/0/1 //进入g1/0/1接口 [H3C-GigabitEthernet1/0/1]port link-mode bridge //设置端口模式为二层 [H3C-GigabitEthernet1/0/1]port link-type trunk //设置为trunk接口 [H3C-GigabitEthern...
配置华为防火墙安全策略
杨奇的博客
06-24 6493
Web配置防火墙安全策略: 命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust //配置源区域为trust [FW1-policy-security-rule-trust_dmz]destination-zone dmz //
eNSP之安全策略的配置
qq_53365842的博客
04-26 8875
命令行模式 [FW]firewall zone trust //进入trust区域 [FW-zone-trust]add int g1/0/0 //把g1/0/0加入trust区域 undo add int g1/0/0 取消加入 [FW]firewall zone untrust [FW-zone-untrust]add int g1/0/1 //查看安全区域内容 [FW]dis zone local priority is 100 interface of the zone is (0.
JAVA.SECURITY.POLICY 配置说明
ywb201314的专栏
10-31 3221
众所周知,Java语言具有完善的安全框架,从编程语言,编译器、解释程序到Java虚拟机,都 能确保Java系统不被无效的代码或敌对的编译器暗破坏,基本上,它们保证了Java代码按预定的规则运作。但是,当我们需要逾越这些限制时,例如,读 写文件,监听和读写Socket,退出Java系统等,就必须使用数字签名或安全策略文件(*.Policy)。 在企业内部网,本文提出了使用安全策略文件来设置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyx-0607

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值