实验7 UTM IPS攻击防护配置实验.docVIP

TOC\o1-3\h\z\u实验7UTMIPS攻击防护配置实验 7-1

7.1实验内容与目标 7-1

7.2实验组网图 7-1

7.3实验设备与版本 7-1

7.4实验过程 7-1

步骤一.接口配置 7-1

步骤二.安全域配置 7-2

步骤三.配置NATServer 7-3

步骤四.域间策略配置 7-3

步骤五.引流策略 7-4

步骤六.“应用安全策略”配置 7-5

步骤七.IPS配置 7-5

步骤八.验证结果 7-6

实验7UTMIPS攻击防护配置实验

5

UTMIPS攻击防护配置实验

实验内容与目标

完成本实验，您应该能够：

掌握UTM攻击防护的配置方法

实验组网图

UTM特性实验组网图

组网要求说明：

某公司的内网网段为192.168.1.0/24，外网网段为192.168.100.0/22。内网作为WebServer的主机192.168.1.3连接到UTM的GE0/2接口上，在UTM上配置IPS策略，阻止外部网络中的PC向内部服务器发起攻击。

实验设备与版本

主机：2台

线缆：若干

UTM：H3CSecPathU200-S，Version5.20,ESS5114

实验过程

步骤一.接口配置

1.配置接口GE0/1

在左侧导航栏中点击“设备管理接口管理”，点击GE0/1栏中的按钮，进入“接口编辑”界面。按照下图设置接口GE0/1，然后点击确定按钮完成配置。

步骤二.安全域配置

点击左侧导航栏“设备管理安全域”，点击Untrust栏中的按钮，进入“修改安全域”界面。按照下图将接口GE0/1加入Trust域，点击确定按钮返回“安全域”界面。

同理，配置接口GE0/2并加入安全域

同样配置接口GE0/2的IP地址为192.168.1.1/24，加入到安全域Trust。在“设备管理接口管理”中看到配置完成后的界面：

步骤三.配置NATServer

在该例中需要配置NATServer，以给内部Web服务器192.168.1.3一个从外部可以访问的地址192.168.102.132。点击导航栏“防火墙NAT内部服务器”，在“内部服务器转换”页签下点击新建，进行如下配置：

在“新建内部服务器”中，选择接口为GE0/1，协议类型为TCP，外部IP地址为192.168.102.132，内部IP地址为：192.168.1.3，外部和内部端口均为80。如下图所示：

步骤四.域间策略配置

配置允许Untrust域访问Trust域的内部Web服务器。点击导航栏“防火墙安全策略域间策略”，点击新建，配置源域为Untrust，目的域为Trust；源IP地址为任意地址，目的IP地址为192.168.1.0/24网段，动作为允许，如下图：

步骤五.引流策略

将Trust和Untrust之间匹配ACL3000的流量都引到段0上。

首先需配置ACL，点击“防火墙ACL”，新建ID为3000的ACL，在其中添加规则，定义需要配置的流量。如下图：

再点击“IPS|AV|应用控制高级设置”，新建引流策略，将ACL3000的流量引到段0上。

步骤六.“应用安全策略”配置

点击导航栏“IPS|AV|应用控制高级设置”，点击“应用安全策略”，进入深度检测页面。

步骤七.IPS配置

（1）创建IPS策略

点击“IPS策略管理”，进入IPS策略的显示页面。

单击创建策略按钮，进入创建IPS策略的配置页面，输入策略名称为“IPSenable”，输入描述为“IPSenableall”，选择从指定策略拷贝规则为默认策略“AttackPolicy”，单击确定按钮完成操作。

（2）配置IPS规则

完成上一步策略配置后，页面跳转到“IPS规则管理”的页面，策略已默认选择为“IPSenable”，进行如下配置：选中“修改有哪些信誉好的足球投注网站出的所有规则”，单击使能规则按钮。

（3）应用IPS策略到段上

选择“IPS段策略管理”，单击新建段策略按钮。

在应用策略页面进行如下配置：选择要关联的段为“0”，选择策略为“IPSenable”，选择方向为“双向”，?单击确定按钮完成操作。

（4）激活配置

完成上述的配置后，页面跳转到段策略的显示页面。单击激活按钮，弹出确认对话框。在确认对话框中单击确定按钮后，将配置激活。

步骤八.验证结果

首先作为攻击方的外部PC需要安装一个软件X-Scanv3.3，该软件可以用来扫描目标机的端口。

X-Scan常用的扫描工具，采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，