IPS实验指导书

实验指导书课程名称：入侵检测技术计算机科学与通信工程学院
IPS实验指导书 (1)
实验名称：实验一 IPS的安装与管理 (1)
1.1 实验内容与目标 (1)
1.2 背景需求 (1)
1.3 实验设备与版本 (1)
1.4 实验步骤 (2)
1．IPS的串口管理方式 (2)
2．基于HTTP/HTTPS的Web管理方式 (3)
3．基于Telnet/SSH的命令行管理方式 (3)
实验名称：实验二设备在线和旁路部署时配置IPS攻击防护策略5
1.1 实验内容与目标 (5)
1.2 背景需求 (5)
1.3 实验设备与版本 (5)
1.4 实验步骤 (5)
1．设备在线部署时配置IPS攻击防护策略 (6)
2：设备旁路部署时配置IPS攻击防护策略 (7)
3．IPS URL过滤功能实验 (8)
4．IPS 带宽管理功能测试——基于时间段的BT下载限速 13 5．IPS 防病毒策略配置 (19)
1.5 实验中的命令列表 (23)
1.6 思考题 (23)
IPS实验指导书
实验名称：实验一IPS的安装与管理
1.1 实验内容与目标
完成本实验，您应该能够：
●掌握IPS的安装及管理方法
●掌握IPS攻击防护策略的配置方法
●掌握IPS的两种组网方式
1.2 背景需求
H3C SecPath T系列IPS产品是一款主动式入侵防御系统，能够及时阻止各种针对系统漏洞的攻击，屏蔽蠕虫、病毒和间谍软件等；在不同层面上配置带宽管理策略，阻断或限制P2P应用；可根据用户需求允许或阻断对某些网页的访问。

设备可采用在线和旁路两种组网方式。

1.3 实验设备与版本
主机：4台
线缆：若干
IPS：UTM2000
交换机：可配置镜像口
1.4 实验步骤
1．IPS的串口管理方式
实验组网图
步骤一：用串口管理设备，配置正确的波特率；
波特率为9600，数据位为8，奇偶校验为无，停止位为1，数据流控制为无；
步骤二：成功登陆串口，查看版本信息；
2．基于HTTP/HTTPS的Web管理方式
实验组网图
步骤一：配置管理口IP地址，并启用管理口；
<H3C>system
[H3C]interface m-gigabit0/0/0
[H3C-if]ip address <ip-address> <mask>
[H3C-if]undo shutdown
步骤二：分别使用HTTP及HTTPS方式登陆设备，打开Web主页面；3．基于Telnet/SSH的命令行管理方式
实验组网图
步骤一：打开Telnet和SSH服务；
<H3C>system
[H3C]telnet service enable
[H3C]ssh service enable
步骤二：用Telnet方式登陆设备，查看版本信息；
步骤三：用Putty工具，采用SSH方式登陆设备；
步骤四：用SercureCRT工具，采用SSH方式登陆设备；
实验名称：实验二设备在线和旁路部署时配置IPS攻击防护策略1.1 实验内容与目标
完成本实验，您应该能够：
●掌握IPS的安装及管理方法
●掌握IPS攻击防护策略的配置方法
●掌握IPS的两种组网方式
1.2 背景需求
H3C SecPath T系列IPS产品是一款主动式入侵防御系统，能够及时阻止各种针对系统漏洞的攻击，屏蔽蠕虫、病毒和间谍软件等；在不同层面上配置带宽管理策略，阻断或限制P2P应用；可根据用户需求允许或阻断对某些网页的访问。

设备可采用在线和旁路两种组网方式。

1.3 实验设备与版本
主机：4台
线缆：若干
IPS：UTM2000
交换机：可配置镜像口
1.4 实验步骤
1．设备在线部署时配置IPS攻击防护策略
实验组网图：
步骤一：开启业务口；
通过“系统管理->网络管理->接口配置”开启设备业务口；
步骤二：配置安全区域；
通过“对象管理->安全区域管理”创建两个安全区域；名为zone1的区域选择接口g-ethernet0/0/1，名为zone2的区域选择接口g-ethernet0/0/2；
步骤三：配置段；
通过“对象管理->段管理->创建段”创建段，段编号选0，内部域选zone1，外部域选zone2；
步骤四：在段上应用IPS策略，并激活；
通过“对象管理->段管理->应用策略”在段上应用IPS策略；要关联的段选0，选中“攻击防护策略”，选择策略名为默认的“Attack Policy”，方向选“双向”；
步骤五：验证攻击防范策略是否下发成功
在PC1上打开IE，执行/cmd.exe，将在IPS上看到阻断日志。

2：设备旁路部署时配置IPS攻击防护策略
实验组网图：
测试准备：配置交换机，将两台PC到交换机的inbound流量镜像到IPS的业务口；
注意：
1、与交换机镜像口连接的业务口加入某一安全区域，将同一个段的另一个业务口加
入另一个安全区域，该业务口可不接网线，然后将两个安全区域配置为同一个段
即可。

2、以下步骤一至步骤四的配置请参见“实验任务四”
步骤一：开启IPS设备的业务口；
步骤二：配置安全区域；
步骤三：配置段；
步骤四：在段上应用IPS策略，并激活；
步骤五：设置组网模式为“旁路”、“只上报日志”；
步骤六：验证攻击防范策略是否下发成功
在PC1上打开IE，执行/cmd.exe，将在IPS上看到阻断日志。

3．IPS URL过滤功能实验
组网需求
在T200设备上配置URL过滤策略和规则，禁止公司A研发部门的用户（IP网段为10.0.0.0/8，IP地址10.0.0.1除外）在上班时间（8:30～18:00）访问网站，其它时间可以访问。

实验组网图
配置步骤：
1、创建一个公司A的时间表“A schedule”
在导航栏中选择“对象管理> 时间表管理”，单击“创建时间表”页签。

输入名称为“A schedule”。

输入描述为“Schedule for A”。

选择“时间分组1”。

输入分组名为“RD”。

输入时间段1为“default”。

输入时间段2为“worktime”。

单击“时间段2”的按钮，在时间表格中选中“周一～周五”的“8:30～18:00”的时间段。

单击<应用>按钮完成操作。

图1-1时间分组设置
2、创建一个URL过滤策略“A URL policy”。

在导航栏中选择“对象管理> URL过滤”，单击“创建策略”页签。

输入名称为“A URL policy”。

输入描述为“URL policy for A”。

选择时间表为“A schedule”。

单击<添加>按钮完成操作。

图1-2创建URL过滤策略
3、为URL过滤策略创建一个规则“abc”。

单击“创建规则”页签。

选择策略为“A URL policy”。

输入名称为“abc”。

输入描述为“filter ”。

选择过滤类型为“主机名”。

输入固定字符串“。

”
选择时间分组为“RD”。

为时间段“break time”选择动作集为“Permit”。

为时间段“work time”选择动作集为“Block”。

单击<保存>按钮完成操作。

图1-3创建URL过滤规则
4、在公司A访问Internet对应的段“0”上应用URL过滤策略。

在导航栏中选择“对象管理> 段管理>段策略管理”，单击“应用策略”页签。

选择要关联的段为“0”。

选择“url过滤策略”。

选择策略为“A URL policy”。

选择方向为“内部到外部”。

在内部域IP地址列表中添加IP地址“10.0.0.0/8”。

在内部域例外IP地址列表中添加IP地址“10.0.0.1”。

单击<保持>按钮完成操作。

图1-4应用URL过滤策略
5、将配置下发到设备。

完成上述的配置后，页面会自动跳转到“段策略管理”的页面，单击<激活>按钮，弹出确认对话框。

在确认对话框中单击<确认>按钮后，将配置下发到设备。

图1-5配置下发
注意事项：
配置URL过滤时需要注意如下事项：
当已被某规则引用的时间分组发生了修改，且修改后的时间表分组中的时间分段数与修改前不一致时，则在“规则管理”的页面上，该规则的“时间分组”列中会有红色感叹
号提示。

提示用户该规则的时间分组中存在没有对应动作集的时间段，或存在没
有对应时间段的动作集。

此时，需对该规则进行修改。

已经应用到段上的URL过滤策略不能删除。

4．IPS 带宽管理功能测试——基于时间段的BT下载限速
组网需求
在正常的工作时间：每周一到周五的早8:30到中午12:00、下午13：30到18:00，这段时间内，为了保证正常业务的开展，限制BT下载速率为10M，单个用户的下载速率限制在100Kbps；同时，对于某VIP用户，则没有这样的限制；而对于其他时间，不限制BT 下载的速率。

实验组网图
配置步骤：
1. 配置用户工作时间的时间段；
在菜单”对象管理”>>”时间表管理”>>”创建时间表”下，创建一个时间表”table_time”，在时间表中，添加一个满足需要的时间段”Working_time”；点击”检查方案”按钮，可以查看到所配置的时间段相关信息。

注意：不要使用时间段1(默认)，这个分组是所有未被分配的时间集合。

2. 配置限流的参数
在菜单”对象管理”>>”BWC管理”>>”增加带宽控制”菜单下，添加一个”应用带宽控制”的限流速率，限制速度为10M，且每个连接带宽限制为100kbps：
3. 配置限流的动作和动作组
在菜单”对象管理”>>”动作管理”>>”创建动作下，配置一个限流的动作”action_limit”,引用配置好的限流策略：
限流的动作配置完成后，在菜单”对象管理”>>”动作管理”>>”创建动作集”下，新建一个动作组”actiongroup_limit”，将配置的动作关联到动作组中：
4. 在菜单”对象管理”>>”带宽管理”>>”规则管理”下，在选定的策略中应用已设置好的时间表：
5. 创建一个BT限流的规则
在菜单”对象管理”>>”带宽管理”>>”创建规则”下，在策略下选择对应的服务(这里是要对BT流量进行限制，所以选择BitTorrent服务)，关联到配置的时间分组，并在相应时间段上启用不同的动作；完成后，下发相应的配置：
6. 在使用的段上引用这个策略
在菜单”对象管理”>>”段管理”>>”应用策略”下，在业务数据段上引用已设置好的”带宽管理策略”：
7. 这样，一个完整的策略就配置成功了。

可以在PC1上下载验证。

5．IPS 防病毒策略配置
组网需求
在T200上进行配置，在段0的内部到外部方向上应用防病毒策略“RD”。

策略“RD”从缺省防病毒策略“Anti-Virus Policy”中拷贝的规则，并修改名称为“Email-Worm”的规则，使能该规则，修改其动作集为“Block+Notify”。

实验组网图
配置步骤
1、创建防病毒策略“RD”
在导航栏中选择“对象管理> 防病毒管理> 策略管理”，单击<创建策略>按钮，。

输入名称为“RD”。

输入描述为“AV policy for RD”。

选择从指定策略拷贝规则为“Anti-Virus Policy”。

单击<应用>按钮完成操作。

创建防病毒策略2、修改防病毒策略“RD”的规则“Email-Worm”
在导航栏中选择“对象管理> 防病毒管理> 规则管理”
选择策略“RD”。

选中“搜索”前的复选框。

输入名称为“Email-Worm”。

单击<搜索>按钮，搜索到名称为“Email-Worm”的规则。

搜索指定规则
3、修改规则“Email-Worm”
选中规则“Email-Worm”前的复选框。

选择动作集为“Block+Notify”，单击<修改动作集>按钮。

单击<使能规则>按钮。

修改规则
4、在段“0”上应用防病毒策略“RD”
在导航栏中选择“对象管理> 段管理> 段策略管理”，单击<应用策略>按钮。

选择要关联的段为“0”。

选择“防病毒策略”。

选择策略为“RD”。

选择方向为“内部到外部”。

单击<应用>按钮完成操作。

应用防病毒策略
5、将配置下发到设备
完成上述的配置后，页面会自动跳转回“段策略管理”的页面，单击<激活>按钮，弹出确认对话框。

在确认对话框中单击<确认>按钮后，将配置下发到设备。

配置下发
注意事项:
1、已经应用到段上的防病毒策略不能删除。

2、系统预定义的防病毒策略和规则不能删除。

1.5 实验中的命令列表
表1-1命令列表
1.6 思考题
1、想管理IPS设备，需要对初始设备做怎样的配置？
2、在线部署时，怎样配置设备才能有效检测、阻断攻击报文？
3、旁路部署时，怎样配置设备才能检测网络异常报文，上报攻击日志？。