![04758d7e8b7e58ac844610fb850f8c8e.png](https://img-blog.csdnimg.cn/img_convert/04758d7e8b7e58ac844610fb850f8c8e.png)
一、防火墙IPS介绍
防火墙IPS功能需要安装License才能使用。License过期后,IPS功能可以采用设备中已有的IPS特征库正常工作,但无法升级特征库。
配置前请在防火墙界面“系统”>”License”>”授权信息”中确认IPS特性为激活状态。
![59b5fc6c0baa4e60fcca2572ff14281f.png](https://img-blog.csdnimg.cn/img_convert/59b5fc6c0baa4e60fcca2572ff14281f.png)
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
配置需求:
1)为应对目前肆虐的WannaCry变种病毒,需要在公司外网进行IPS防护。2)对Microsoft Windows系统等漏洞进行防范。
![2c67df8b66912f5bde2cf394043ea4de.png](https://img-blog.csdnimg.cn/img_convert/2c67df8b66912f5bde2cf394043ea4de.png)
二、升级特征库至官网最新版本
在防火墙界面“系统”>”升级中心”>”特征库升级”中对特征库进行升级
![7ab9f26b666b8d774aaa820d52636f07.png](https://img-blog.csdnimg.cn/img_convert/7ab9f26b666b8d774aaa820d52636f07.png)
三、自动升级操作过程
1. 设备开启DNS代理并配置DNS服务器地址
在防火墙界面“网络”>”DNS”>”高级设置”开启防火墙DNS代理功能。
![335841a20795f6bfe2fd9b022a36ca33.png](https://img-blog.csdnimg.cn/img_convert/335841a20795f6bfe2fd9b022a36ca33.png)
在防火墙界面“网络”>”DNS”>”DNS客户端”中添加DNS服务器地址。
![d616bd332f619ad8240bcb3f050ecc9a.png](https://img-blog.csdnimg.cn/img_convert/d616bd332f619ad8240bcb3f050ecc9a.png)
2. 设备必须可以连接互联网。
![479c253dd2ce2ba1527be1a392ef6991.png](https://img-blog.csdnimg.cn/img_convert/479c253dd2ce2ba1527be1a392ef6991.png)
3. 开启设备定时升级功能
在防火墙界面“系统”>”升级中心”>”特征库升级”中 开启入侵防御特征库定时升级功能。
![7492241a1d7d4cfdf846bd994c61c714.png](https://img-blog.csdnimg.cn/img_convert/7492241a1d7d4cfdf846bd994c61c714.png)
注意:手动升级操作过程
部分设备部署环境可能无法访问互联网,需要使用手动升级更新特征库。
1. 在华三官网下载防火墙最新特征库文件
登录“www.h3c.com” 华三官网,在“产品技术”>“大安全”>”特征库服务专区”中下载IPS特征库文件。
四、配置对外网的IPS防护策略
1 新建安全策略
在防火墙界面“策略”>”安全策略”>新建源安全域为“Untrust”目的安全域为“Trust”的安全策略,在内容安全中将IPS的”default”策略调用。
![b601d6d109ebe2a32fc61f9ea4119064.png](https://img-blog.csdnimg.cn/img_convert/b601d6d109ebe2a32fc61f9ea4119064.png)
![48814c98dcdabdd94d56d3bd68043346.png](https://img-blog.csdnimg.cn/img_convert/48814c98dcdabdd94d56d3bd68043346.png)
![fd9d53256b6901dfa260b6081c28e551.png](https://img-blog.csdnimg.cn/img_convert/fd9d53256b6901dfa260b6081c28e551.png)
![78a14b8c6ed695672db415e1c6d16945.png](https://img-blog.csdnimg.cn/img_convert/78a14b8c6ed695672db415e1c6d16945.png)
五、查看入侵检测
![8166c7a079b37ad2407a82496d8cedc7.png](https://img-blog.csdnimg.cn/img_convert/8166c7a079b37ad2407a82496d8cedc7.png)