- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
13-IDS配置举例
本章节下载 (2.64 MB)
目 录
本文档介绍了H3C SecPath GAP2000的IDS配置举例。
H3C SecPath GAP2000用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP-28281、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。由于此功能效果展示涉及真实攻击场景,请事先准备攻击环境以及攻击脚本,此次举例使用到的环境为python windows版本,攻击手段为udp-flood攻击,下文中会详细介绍到具体下载、安装和执行,以作参考。
本文假设您已了解H3C SecPath GAP2000特性。
如图1所示,网闸内端SLOT0/0的接口IP为192.168.50.226,192.168.50.11为攻击发起源的主机IP,使得攻击发起源可以对网闸内端SLOT0/0进行攻击。
图1 H3C SecPath GAP2000 IDS举例组网图
· 首先统计网闸哪些网卡需要开启IDS功能
· 其次统计网卡上的哪些IP需要检测,并确认检测类型
· 然后对检测端口进行添加,根据检测端口选择对应的检测类型
· 最后涉及应用层协议解析的,根据检测端口选择对应的检测类型
本举例是在E6008P01版本及以上进行配置和验证的。
通过网闸MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为专用管理口,其它网口不允许管理配置网闸)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 登录界面
该配置在系统管理员secrecy下操作。
点击“IDS/IPS管理”,选择内端机的SLOT0/0,随后添加检测IP和端口。
图3 选择IDS/IPS
点击【+】按钮,对检测IP和检测类型进行添加。
图4 点击添加
添加检测IP和检测类型,并点击保存按钮。
图5 添加IP和类型
图6 添加成功
点击【+】按钮,对检测端口进行添加,根据检测端口选择对应的检测类型。
图7 点击添加
添加检测端口和检测类型,并点击保存按钮。
图8 添加端口和类型
图9 添加成功
添加完成后保存并启用IDS
图10 点击保存并启用
图11 开启成功
下图为固定的检测端口,仅供参考:
图12 参考端口
对flood-attack.rar压缩包进行解压。
图13 解压脚本
安装python,下载python官网地址:https://www.python.org/,选择windows版本。
图14 下载python
选择一个版本,下载exe文件(以Python 3.10.1为例)。
图15 选择版本
图16 选择格式
图17 双击安装
将下面的Add Python * to PATH勾选上(这样会自动给你配置好环境变量),然后点击install Now。
图18 安装选择
图19 安装成功
部署pycharm环境,注意在安装pycharm之前,确保你的电脑已完成python的配置。
Pycharm下载地址:
https://www.jetbrains.com/zh-cn/pycharm/download/#section=windows
图20 下载pycharm
安装成功后双击桌面的pycharm快捷方式。
图21 打开pycharm
直接关闭或者Don’t Send。
图22 操作pycharm
图23 点击New Project
进入如下图的界面,图中的Base interpreter是选择你安装的python,Location可以自定义项目存放目录,选择好后,点击create。
图24 操作配置
点击File>Open...>选择已解压的flood-attack进行添加。
图25 点击File
图26 点击Open
图27 选择Flood-attack
运行flood-attack文件需下载pip,scapy等python包管理工具。
图28 点击Setting
图29 下载Package
在已安装的pycharm环境中执行udp-flood-attack.py攻击文件。
图30 点击Terminal
F:\360MoveData\Users\wcc\Desktop\flood-attack>python udp-flood-attack.py在指定目录下执行udp-flood-attack.py攻击文件,IP Target : 192.168.50.226 (输入检测IP),Port : 80 (端口为80)。
图31 攻击配置
图32 回车执行
进入网闸,点击查看IDS管理日志,出现如下图所示udp-flood-attack.py。
图33 日志审计
不同于普通路由交换设备。网闸连通性不能用单纯的ping或telnet来测试连通性。由于网闸摆渡的仅仅是应用层数据,所以只能通过应用来测试。网闸配置完后需要根据不同的业务来进行测试和验证其连通性。
数据库访问通道配置需要注意若数据库侧部署为集群部署或者负载均衡部署模式,需要将实地址和虚地址均配置到网闸上,且需要使用透明映射的方式(监听地址与目的地址配置一致,客户端需要配置到网闸监听地址的路由)配置通道。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
