Hillstone山石网科 入侵防御配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655目录1设备管理 (3)1.1终端console登录 (3)1.2网页WebUI登录 (3)1.3设备系统（StoneOS）升级 (5)1.3.1通过WebUI升级 (5)1.4许可证安装 (5)1.4.1CLI命令行安装 (5)1.4.2WebUI安装 (6)2基础上网配置 (6)2.1接口配置 (6)2.2路由配置 (8)2.3策略配置 (9)3入侵防御功能配置 (11)3.1防火墙联动配置 (11)3.2入侵防御配置 (12)3.3高级配置 (14)3.3.1配置协议特征库 (15)3.3.2自定义威胁特征库 (16)1设备管理设备支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

1.1终端console登录通过Console 口配置设备时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与设备的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：1.2网页WebUI登录WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：1. 将管理PC的IP地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与设备的ethernet0/0接口进行连接。

2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。

出现的登录页面如下图所示：默认用户名：hillstone，密码：hillstone 登录后主页如下：5.5版本推荐使用chrome和IE11浏览器1.3设备系统（StoneOS）升级1.3.1通过WebUI升级A．登录设备后，依次点击“系统”→“升级管理”→“浏览”，选择本地保存的StoneOS 文件A．勾选“立即重启，使新版本生效”，然后点击“应用” 重启设备，系统将使用新的StoneOS启动1.4许可证安装1.4.1CLI命令行安装登录设备，运行命令exec license install +许可证（从“license:”开始输入完整的字符），如下图：注意：根据“info”提示，部分许可证安装后需要重启才能生效1.4.2WebUI安装登录设备，依次点击“系统”→“许可证” →“手动输入”如果收到License的是一个压缩包文件，则解压，在该页面选择“上传许可证文件”，依次选择各文件即可注意：根据WebUI提示，部分许可证安装后需要重启才能生效2基础上网配置对于一台全新或者刚刚恢复出厂的设备，如果只是需要简单的内部用户可以正常上网，只需要配置接口、路由、策略和源NAT这4项功能，以下是具体配置方法：2.1接口配置A．登录设备后，依次点击“网络”→“接口”B．选择相应的接口，点击“编辑”或者直接双击C．在接口配置界面中，选择接口的安全域类型（如果是直接连接运营商公网网线，一般是三层安全域；如果是透明部署选择二层安全域）、安全域名称（一般内网使用trust或l2-trust安全域，外网使用untrust或l2-untrust）、接口ip地址、网络掩码和接口的管理方式，最后点击“确定”注意：如果外网接口使用的是PPPoE的拨号接入，接口配置请参考文档3.1PPPoE相关配置。

2.2路由配置A．依次点击“路由”→“目的路由”→“新建”B．依次填写“目的地”→“子网掩码”→“网关”C．点击“确定”，新建成功注意：实例配置为默认路由，如果需要添加明细路由，请在第三步更改目的地与子网掩码。

2.3策略配置A．依次点击“策略”→“安全策略”→“新建”B．默认配置亦可，源目的安全域、源目的地址、服务为“any”，操作为“允许”C．点击“确定”，新建成功址是内网地址网段。

3入侵防御功能配置3.1防火墙联动配置当NIPS设备工作在旁路模式时，可在旁路接口配置与防火墙联动功能。

当对应入侵防御规则检测出威胁，并且对应行为为阻断IP或者阻断服务时，会将阻断的IP或者服务发给对应防火墙设备。

A．首先需要获取出口NGFW防火墙的IP地址和用户名密码。

假设NGFW的出口的IP地址为192.168.1.100，用户名和密码均为hillstone。

B．通过命令行CLI，如SSH、TELNET等方式登录设备，并输入“config”，进入config 模式。

C．确认旁路部署的接口，如ethernet0/1，旁路的接口安全域为“TAP”。

通过“网络”-“接口”可以查看相关配置。

本次项目中均为“xethernet2/0”和“xethernet2/1”。

D．通过“interface xethernet2/0”命令进入该接口模式下，进行配置，输入以下命令即可“tap firewall ip 192.168.1.100 username hillstone password hillstone”，其中根据具体情况替换防火墙IP地址和用户名密码即可。

E．配置完成后，即可与出口防火墙保持联动，保持配置,输入“save”，连续选择Y，即可。

3.2入侵防御配置入侵防御系统（Intrusion Prevention System）简称IPS，能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。

系统的入侵防御功能能够实现完整的基于状态的检查，从而极大降低误报率。

当设备开启多项应用层数据检测功能时，启用入侵防御功能不会导致设备性能的明显下降。

另外，系统每天通过特征服务器自动更新特征库，保证特征的完整性和正确性。

•如接口开启了IPv6功能，IPS支持对IPv6地址进行扫描。

系统的入侵防御功能对协议的检测流程包括两部分，分别是协议解析和引擎匹配。

•协议解析过程对协议进行分析，发现协议异常后，系统会根据配置处理数据包（记录日志、阻断、屏蔽），并产生日志信息报告给管理员，系统生成的威胁日志信息详情中包含"威胁ID“，即为协议异常的特征ID，用户可以威胁日志页面查看日志的详细信息；•引擎匹配是在分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测，发现与特征库中特征相匹配的数据包后，系统根据配置处理数据包（记录日志、重置、屏蔽），并产生日志信息报告给管理员。

系统生成的威胁日志信息详情中包含"威胁ID“，即为特征库中的特征ID，用户可以根据该ID查看错误的具体信息。

A．在“对象”→“入侵防御”配置界面下，可查看当前入侵防御内置模板以及自定义模板。

B．在页面中选择点击新建，可以选择对应的协议进行防护。

C．进入“网络”-“安全域”，选择需要防护的安全域（旁路选择TAP安全域），双击打开、再弹出的页面，选择左侧的“威胁防护”，并勾选入侵防御，选择之前创建或者预定义的模板，并根据实际情况选择检测方向，点击确定。

3.3高级配置3.3.1配置协议特征库协议特征库的配置包括协议配置和特征配置两部分。

指定特征库下不同级别攻击特征对应的行为（记录日志、阻断、屏蔽攻击者）以及具体攻击特征对应的行为（优先级高于协议下配置的行为）。

协议配置如果需要对协议特征库进行编辑，请按照以下步骤进行操作：A.从入侵防御规则列表中规则对应的“协议类型”栏点击协议名称，打开指定协议特征库对话框。

B.点击<协议配置>标签页，配置当协议的安全级别分别在严重、警告、信息下的系统响应动作。

C.点击具体协议的<特征列表>标签页，查看或配置特征库中所有特征的具体信息。

D.点击“保存”按钮完成配置。

暗室逢灯是打发特征配置在具体协议的<特征列表>标签页，用户可以查看或配置入侵防御特征库中针对指定协议的特征具体信息，配置具体攻击特征的行为、启用/禁用某指定攻击特征。

3.3.2自定义威胁特征库为了让用户更加灵活的定义威胁特征，设备提供自定义威胁特征的功能。

A．在“对象”→“威胁防护” →“威胁防护全局列表”界面下，可以查看现有所有入侵防御特征库，并进行启用和禁用。

B．点击新建，根据具体情况，填写内容即可。

加载数据库：新建特征后，需点击“加载数据库”，才能将新建特征生效。

编辑特征：选中特征后，点击编辑。

只可编辑自定义特征。

编辑特征后，需点击“加载数据库”，才能使编辑后的特征生效。

删除特征：选中特征后，点击删除。

只可删除自定义特征。

删除特征后，需点击“加载数据库”，才能使删除后的特征失效。

启用/禁用特征：选中特征后，点击启用/禁用。

特征ID作为特征的唯一标识， 根据协议进行分类。

特征ID由两部分构成，分别为协议ID（第1位或者第1和第2位）和攻击特征ID（后5位），例如ID“605001”中，“6”表示Telnet协议，“05001”表示攻击特征ID。

攻击特征ID的第1位是“6”的为协议异常特征，其余为攻击特征。

协议ID与协议的对应关系下表所示：上表中，“Other-TCP”表示除表中已列出的标准TCP协议以外的其他TCP协议；“Other-UDP”表示除表中已列出的标准UDP协议以外的其他UDP协议。