【正文】 具體配置方法為：首先選“IPS”“策略管理”，新建一個(gè)IPS策略，按照默認(rèn)規(guī)則使能狀態(tài)應(yīng)用到段上。然后選“IPS”“規(guī)則管理”，選擇剛才新建的策略，按照保護(hù)對(duì)象查詢并使能相應(yīng)的防護(hù)規(guī)則。當(dāng)然，如果現(xiàn)場(chǎng)流量比較大，可以先開啟上面保護(hù)對(duì)象里嚴(yán)重和一般的防護(hù)規(guī)則，再酌情開啟警告和提示的防護(hù)規(guī)則。至于IPS策略執(zhí)行的動(dòng)作，如果沒有特殊要求，建議保留每個(gè)防護(hù)規(guī)則默認(rèn)的動(dòng)作。IPSamp。ACG（必選）配置IPS病毒防范策略時(shí)必須先手工調(diào)整策略規(guī)則應(yīng)用說明：IPS設(shè)備支持防病毒策略，通過采用實(shí)時(shí)分析，自動(dòng)阻截?cái)y帶病毒的報(bào)文與異常流量。IPS基于在線部署模式，可以針對(duì)這些異常流量施以阻截、隔離或干擾的處置，以阻斷病毒通過網(wǎng)絡(luò)傳播。系統(tǒng)默認(rèn)的病毒防范策略根據(jù)網(wǎng)絡(luò)病毒種類，細(xì)分為31個(gè)大類，缺省均為禁用狀態(tài)。當(dāng)需要啟用病毒防范功能時(shí)，管理員應(yīng)根據(jù)實(shí)際需求量，創(chuàng)建一條自定義防病毒策略，調(diào)整部分病毒分類規(guī)則至使能狀態(tài)，然后再將應(yīng)用至段上激活生效。若客戶無明確要求，建議將“Worm”、“Trojan”、“Backdoor”、“Rootkit”、“Exploit”、“Virus”等幾大類規(guī)則設(shè)置為使能狀態(tài)；若客戶有更高要求，可根據(jù)實(shí)際情況使能更多病毒分類，直至全部使能，并注意在后續(xù)維護(hù)過程中觀察設(shè)備內(nèi)存占用率情況。配置思路：具體配置方法為：首先選擇“防病毒”“策略管理”，點(diǎn)擊“新建策略”按鈕新建一條防病毒策略。然后在“規(guī)則管理”界面中，修改要開啟的病毒分類至“使能”狀態(tài)。規(guī)則修改完成后，進(jìn)入“防病毒”“端策略管理”界面，點(diǎn)擊“新建策略應(yīng)用”按鈕，將剛才創(chuàng)建的防病毒策略下發(fā)至段，最后單擊“激活”按鈕使策略生效。IPSamp。ACG（必選）定期檢查IPS/ACG特征庫(kù)版本是否正常更新應(yīng)用說明：特征庫(kù)記錄了設(shè)備可識(shí)別的攻擊特征、病毒特征、應(yīng)用特征等，因此對(duì)于IPS/ACG設(shè)備而言，必須保證其特征庫(kù)得到實(shí)時(shí)更新升級(jí)，才能保持其各項(xiàng)主要功能的正常工作。參考配置思路：特征庫(kù)的升級(jí)分為手動(dòng)升級(jí)和自動(dòng)升級(jí)兩種方式：手動(dòng)升級(jí)是指用戶可以通過手動(dòng)設(shè)定，使用HTTP或TFTP協(xié)議將保存在用戶本地主機(jī)上的特征庫(kù)文件獲取到設(shè)備上。手動(dòng)升級(jí)一般是在用戶的局域網(wǎng)內(nèi)進(jìn)行的，并且手動(dòng)升級(jí)可以獲取與設(shè)備兼容的任意一個(gè)版本的特征庫(kù)。在導(dǎo)航欄中選擇“系統(tǒng)管理 設(shè)備管理 特征庫(kù)升級(jí)”，進(jìn)入特征庫(kù)升級(jí)的頁(yè)面。在“手動(dòng)升級(jí)”頁(yè)簽中可以手動(dòng)升級(jí)特征庫(kù)的版本，如下圖所示。自動(dòng)升級(jí)可以幫助用戶每隔指定的時(shí)間，使用特定的協(xié)議直接從特定的特征庫(kù)版本服務(wù)器獲取當(dāng)前最新版本的特征庫(kù)文件到設(shè)備；或者在用戶需要的時(shí)候，立即從特定的特征庫(kù)版本服務(wù)器獲取當(dāng)前最新版本的特征庫(kù)文件到設(shè)備。在導(dǎo)航欄中選擇“系統(tǒng)管理 設(shè)備管理 特征庫(kù)升級(jí)”，進(jìn)入特征庫(kù)升級(jí)的頁(yè)面。在“自動(dòng)升級(jí)”頁(yè)簽中可以配置自動(dòng)升級(jí)特征庫(kù)的相關(guān)參數(shù)，如下圖所示：注：(1)關(guān)于“開始時(shí)間”，由于設(shè)備升級(jí)特征庫(kù)的時(shí)候，涉及數(shù)據(jù)庫(kù)的讀寫操作，十分消耗資源，強(qiáng)烈建議自動(dòng)升級(jí)時(shí)間選擇在用戶業(yè)務(wù)量較小的時(shí)候（如：2：004：00左右）。(2)關(guān)于“間隔時(shí)間”，一般選擇7天。(3)確保設(shè)備管理口能夠正常連接互聯(lián)網(wǎng)，并要求同時(shí)配置正確的DNS服務(wù)器IP。IPSamp。ACG（必選）通過NTP\ACSEI保持IPS/ACG時(shí)鐘同步正確應(yīng)用說明：為了保證本設(shè)備與其它設(shè)備協(xié)調(diào)工作，用戶需要將系統(tǒng)時(shí)間配置準(zhǔn)確。系統(tǒng)時(shí)間模塊可以幫助用戶設(shè)置系統(tǒng)的日期、時(shí)間和時(shí)區(qū)等信息。盒式設(shè)備支持手動(dòng)配置系統(tǒng)時(shí)間和自動(dòng)同步SNTP（Simple Network Time Protocol，簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議）服務(wù)器的時(shí)間。插卡可以通過ACSEI自動(dòng)同步時(shí)鐘。參考配置思路：盒式設(shè)備：在導(dǎo)航欄中選擇“系統(tǒng)管理 設(shè)備管理 系統(tǒng)時(shí)間”，進(jìn)入如圖所示的頁(yè)面。插卡設(shè)備：路由交換主機(jī)側(cè)使能ACSEI服務(wù)器功能：[H3C] acsei server enable檢查插卡注冊(cè)信息，確保IPS/ACG插卡已經(jīng)注冊(cè)成功，否則無法實(shí)現(xiàn)時(shí)間同步：H3Cdisplay acsei client info Total Client Number: 1 Client ID: 1 Client Description: Application Control Gateway Hardware: System Software: iWare software, Version Application Software: Ess 6119P02 CPU: RMI XLR732 PCB Version: CPLD Version: Bootrom Version: CF card: 249MB Memory: 2003MB Harddisk: 0MBIPSamp。ACG（必選）部署IPS/ACG MQC引流內(nèi)外安全域須為不同Vlan應(yīng)用說明：SecBlade IPS/ACG插卡配合路由交換主機(jī)部署MQC引流時(shí)，由于板卡硬件僅有一個(gè)內(nèi)聯(lián)口，因此只能通過VLAN ID區(qū)分從內(nèi)聯(lián)口接收?qǐng)?bào)文的安全域?qū)傩?，因此在?shí)施MQC引流時(shí)重定向至IPS/ACG插卡的上下行流量必須屬于不同的VLAN。參考配置思路：SecBlade IPS/ACG相關(guān)配置：（交換機(jī)側(cè)配置請(qǐng)參考相關(guān)文檔）（1）去使能ACFP Client功能。在MQC引流方案中，不使能ACFP相關(guān)功能。配置界面位于“系統(tǒng)管理”－“網(wǎng)絡(luò)管理”－“ACFP Client配置”。（2）創(chuàng)建內(nèi)外網(wǎng)安全區(qū)域，接口均選擇為xeth00 (內(nèi)聯(lián)口)，內(nèi)部區(qū)域?qū)儆诤蛢?nèi)網(wǎng)核心設(shè)備三層互聯(lián)的VLAN 30，外部區(qū)域?qū)儆诤屯饩W(wǎng)出口設(shè)備三層互聯(lián)的VLAN 20?！坝驊?yīng)用模式”選擇“常規(guī)”模式。配置界面位于“系統(tǒng)管理”－“網(wǎng)絡(luò)管理”－“安全區(qū)域”。新建內(nèi)網(wǎng)安全區(qū)域如下圖所示：新建外網(wǎng)安全區(qū)域如下圖所示：在“系統(tǒng)管理”－“網(wǎng)絡(luò)管理”－“段配置”界面中將內(nèi)外網(wǎng)安全區(qū)域組成段。段配置完成后便可以進(jìn)一步配置安全策略了。iWare系統(tǒng)配置完成后注意“激活”使配置生效，并保存。IPSamp。ACG（必選）部署IPS/ACG插卡MQC引流時(shí)避免二層報(bào)文風(fēng)暴應(yīng)用說明：由于SecBlade IPS、SecBlade ACG兩類安全板卡屬二層透明設(shè)備，交換機(jī)通過MQC引流方式將業(yè)務(wù)報(bào)文利用內(nèi)聯(lián)接口重定向至安全板卡后，通過安全策略檢查的業(yè)務(wù)報(bào)文仍然會(huì)從該內(nèi)聯(lián)接口返回交換機(jī)繼續(xù)轉(zhuǎn)發(fā)。這個(gè)特殊機(jī)制對(duì)于交換機(jī)而言相當(dāng)于在其與IPS、ACG內(nèi)聯(lián)口上形成了一個(gè)自環(huán)接口，而2個(gè)這樣的內(nèi)聯(lián)口則形成了一個(gè)二層環(huán)路。當(dāng)交換機(jī)接收到一個(gè)廣播報(bào)文后，會(huì)通過內(nèi)聯(lián)接口廣播至2塊安全板卡，安全板卡接收并處理完成后分別回送給交換機(jī)，而交換機(jī)又會(huì)將接收到的報(bào)文再次廣播至安全板卡，周而復(fù)始，形成嚴(yán)重的報(bào)文風(fēng)暴現(xiàn)象，最終影響交換機(jī)正常業(yè)務(wù)轉(zhuǎn)發(fā)處理。在單臺(tái)或多臺(tái)未部署IRF2的交換機(jī)上配置2塊或2塊以上IPS、ACG類安全板卡，采用MQC引流方式，內(nèi)聯(lián)接口允許通過相同VLAN，一旦在該VLAN中出現(xiàn)二層廣播、組播、未知單播報(bào)文，也會(huì)引起報(bào)文風(fēng)暴現(xiàn)象。為避免上述報(bào)文風(fēng)暴問題，在進(jìn)行MQC引流配置時(shí)，必須通過在IPS/ACG內(nèi)聯(lián)口配置包過濾策略阻斷二層廣播、組播、未知單播報(bào)文。參考配置思路：在SecBlade IPS/ACG板卡所在的路由交換主機(jī)上配置包過濾策略，在內(nèi)聯(lián)口出方向僅允許目的MAC地址為交換機(jī)三層虛接口MAC地址的報(bào)文、ACSEI協(xié)議報(bào)文通過，禁止一切其他報(bào)文從該端口轉(zhuǎn)發(fā)。acl number 4991 rule 10 permit destmac xxxxxxxxxxxx ffffffffffff //根據(jù)實(shí)際MAC信息修改 rule 20 permit type 88a7 ffff //ACSEI協(xié)議報(bào)文 rule 30 denyinterface TenGigabitEthernet1/3/0/1packetfilter 4991 outbound //在出方向下發(fā)包過濾策略IPSamp。ACG（必選）正則表達(dá)式URL過濾規(guī)則的配置優(yōu)化應(yīng)用說明：URL（Uniform Resource Locator，統(tǒng)一資源定位符）過濾是一種網(wǎng)頁(yè)過濾功能，目前IPS/ACG平臺(tái)設(shè)備支持自定義URL 過濾功能。用戶可以根據(jù)需要，在設(shè)備上手動(dòng)指定域名和URI（Uniform Resource Identifier，統(tǒng)一資源標(biāo)識(shí)符）路徑的匹配規(guī)則，以及相應(yīng)的執(zhí)行動(dòng)作，對(duì)收到的HTTP 請(qǐng)求報(bào)文進(jìn)行過濾。匹配規(guī)則分為固定字符串和正則表達(dá)式兩種，其中正則表達(dá)式的配置需注意按以下方法優(yōu)化。參考配置思路：1. 能用固定字符串就不用正則表達(dá)式；2. 使用正則表達(dá)式時(shí)，固定字符要遵守盡量多的原則，如京東（）、58同城（），這種域名較短的，應(yīng)使用盡量長(zhǎng)的正則表達(dá)式以包含更多關(guān)鍵字，例如：“.*jd\..*”，而不是“.*jd.*”。3. 正則表達(dá)式中，如果需要匹配“.”，由于是通配符，所以必須使用“\”轉(zhuǎn)義。IPSamp。ACG（必選）帶寬管理P2P限流規(guī)則配置優(yōu)化應(yīng)用說明：iWare平臺(tái)IPS/ACG產(chǎn)品支持帶寬管理功能，可通過對(duì)各種應(yīng)用流量進(jìn)行靈活的帶寬控制，限制非關(guān)鍵應(yīng)用，從而保證了關(guān)鍵應(yīng)用的帶寬。常見的部署方式為限制網(wǎng)絡(luò)中的P2P流量，為保證限流效果，設(shè)備除了當(dāng)前應(yīng)更新至最新版本的應(yīng)用特征庫(kù)外，還需進(jìn)行如下配置優(yōu)化。參考配置思路：登錄IPS/ACG命令行配置界面，開啟P2P精確識(shí)別功能、P2P長(zhǎng)度序列識(shí)別功能。[H3C] p2p precise enable[H3C] p2p lengthserial enableIPSamp。ACG（必選）ACG通道帶寬管理功能針對(duì)DNS業(yè)務(wù)流量進(jìn)行保障應(yīng)用說明：iWare平臺(tái)IPS/ACG產(chǎn)品支持通道帶寬管理功能（在老版本中顯示為“分層QoS”）。為了達(dá)到分層調(diào)度的目的，通道帶寬管理技術(shù)根據(jù)不同的段、用戶、應(yīng)用或業(yè)務(wù)分層次的劃分出多條不同的通道，對(duì)這些通道分別進(jìn)行帶寬控制以及各種精細(xì)化的動(dòng)作管理。在每條通道上需要配置分類規(guī)則和通道策略。分類規(guī)則決定了流量是否匹配相應(yīng)的通道；通道策略決定了對(duì)于匹配此通道的流量所作的控制動(dòng)作。為了保證啟用通道帶寬管理功能后用戶上網(wǎng)體驗(yàn)效果，在進(jìn)行策略配置時(shí)，必須注意單獨(dú)對(duì)DNS業(yè)務(wù)流量進(jìn)行保障（應(yīng)用分類屬于“網(wǎng)絡(luò)探測(cè)”），避免由于DNS業(yè)務(wù)報(bào)文因限速被丟棄，進(jìn)而造成客戶端域名解析失敗，上網(wǎng)體驗(yàn)速度差。參考配置思路：在進(jìn)行通道帶寬管理功能配置時(shí)，注意為DNS業(yè)務(wù)預(yù)留足夠的帶寬，避免DNS流量被執(zhí)行限速動(dòng)作。如下圖所示，在配置通道時(shí)，為“網(wǎng)絡(luò)探測(cè)”服務(wù)單獨(dú)配置帶寬保證，且預(yù)留足夠的帶寬。IPSamp。ACG（可選）部署專用日志主機(jī)配合IPS/ACG實(shí)現(xiàn)安全事件審計(jì)應(yīng)用說明：IPS/ACG設(shè)備自帶數(shù)據(jù)庫(kù)中能保存的日志條數(shù)存在限制，當(dāng)系統(tǒng)產(chǎn)生的日志數(shù)量超過該限制時(shí)，IPS/ACG系統(tǒng)會(huì)自動(dòng)從最老的日志開始刪除數(shù)據(jù)日志的10％，以存儲(chǔ)最近產(chǎn)生的日志。為使得IPS/ACG所產(chǎn)生日志能夠保存足夠長(zhǎng)的時(shí)間，建議配置專用的遠(yuǎn)程日志主機(jī)用來存放日志，以便后期查詢與審計(jì)。參考配置思路：在導(dǎo)航欄中選擇“日志管理 日志配置 設(shè)備日志”，進(jìn)入如圖所示的頁(yè)面。數(shù)據(jù)日志是指IPS攻擊日志、服務(wù)日志、病毒日志、URL過濾日志和黑名單日志等保存在數(shù)據(jù)庫(kù)中的日志。本模塊可以配置數(shù)據(jù)日志的如下參數(shù)：在導(dǎo)航欄中選擇“日志管理 日志配置 數(shù)據(jù)日志”，進(jìn)入如圖所示的頁(yè)面。注：ACG流日志，需要單獨(dú)進(jìn)行配置：在導(dǎo)航欄中選擇“日志管理 流日志 通信配置”，進(jìn)入如圖所示的頁(yè)面。在導(dǎo)航欄中選擇“日志管理 流日志 流日志配置”，進(jìn)入如圖所示的頁(yè)面。IPSamp。ACG1（可選）ACG流日志配置優(yōu)化應(yīng)用說明：ACG設(shè)備具有 4～7 層檢測(cè)能力，提供了深度識(shí)別協(xié)議的功能。根據(jù)系統(tǒng)的配置，設(shè)備會(huì)產(chǎn)生和傳送各種流日志，來描述當(dāng)前的流量信息和統(tǒng)計(jì)數(shù)據(jù)。目前設(shè)備支持記錄并發(fā)送5種流日志，分別為：鏈路使用日志 對(duì)整個(gè)鏈路上各種服務(wù)的流量進(jìn)行日志記錄用戶使用日志 按用戶對(duì)各種服務(wù)的流量進(jìn)行日志記錄會(huì)話使用日志 按會(huì)話對(duì)指定服務(wù)的流量進(jìn)行日志記錄全局日志 對(duì)設(shè)備全局的流量進(jìn)行日志記錄，包括全局的并發(fā)會(huì)話數(shù)、新建會(huì)話數(shù)、并發(fā)用戶數(shù)信息通道日志 對(duì)通道帶寬管理功能進(jìn)行進(jìn)行日志記錄上述5種日志中，用戶日志和會(huì)話日志產(chǎn)生量較大，若全部開啟可能會(huì)導(dǎo)致日志接收服務(wù)器來不及正常處理而丟包。參考配置思路：若無明確要求，推薦關(guān)閉會(huì)話使用日志，酌情關(guān)閉用戶使用日志。IPSamp。ACG1（可選）不啟用IPS DDoS攻擊防范策略應(yīng)用說明：IPS設(shè)備支持DDoS攻擊防范策略，啟用DDoS防范策略需要管理員通過配置學(xué)習(xí)規(guī)則、檢查規(guī)則、防范規(guī)則等多個(gè)復(fù)雜步驟才能完成，且配置DDoS防范策略對(duì)設(shè)備性能消耗較大，因此不推薦啟用該功能。參考配置思路：除客戶強(qiáng)烈要求外，不啟用IPS DDoS攻擊防范策略。