1 保护内网服务器配置案例（例外规则）

1.1   适用的产品和版本

表1-1     配置示例使用的产品和版本

设备类型	设备型号	版本
网关	RG-EG-E系列网关	适用于EG_NTOS1.0R3或更高版本

 

1.2   业务需求

如下图所示，Web、邮件等服务器处于内网，设备作为安全网关部署在内网边界。开启入侵防御功能后，可对经过设备的流量进行实时的深度检测，识别流量中隐藏的恶意信息，并进行实时的告警、阻断，保护内网服务器不受恶意流量的威胁。

当命中IPS模板中的某个规则ID的动作不符合用户需求时，用户可在对应IPS模板中添加例外规则，指定该规则ID的命中动作。设置为例外后，例外规则的动作优先级最高。

图1-1     保护内网服务器组网图

                                             

 

1.3   配置限制与说明

无

1.4   前置条件

l  已完成设备的基础上网配置，如接口IP、安全域等。

l  设备已安装并激活入侵防御（IPS）许可授权。

     说明

IPS功能提供专有许可证（License）。许可证过期后现有特征库可用，但无法进行升级更新。

 

1.5   配置步骤

1.5.1  创建自定义模板

(1)   点击[对象]>>[内容模板]>>[入侵防御]>>[自定义模板]菜单项，进入自定义模板配置界面。

(2)   点击<新增>按钮新增IPS模板test。

 

(3)   点击“规则过滤器”区域的<新增>按钮，新增规则过滤器如下：

○         名称：test_rule

○         对象：服务端

○         严重性：全部

○         协议：全选

○         威胁类别：全选

 

(4)   确认无误后，保存配置。

1.5.2  配置行为管理策略

(1)   点击[策略]> >[行为管理]菜单项。

(2)   在操作区，点击<新增>。

系统弹出“提示”信息。

 

(3)   点击<直接新增>。

系统弹出[新增策略]页面。

(4)   设置行为管理策略相关配置项。

l  源区域/接口：WAN

l  目的区域/接口：LAN

l  启用入侵防御，并选择上一步骤设置的IPS模板test。设置入侵防御的执行动作为默认动作。

○         默认动作：所有命中规则的流量，使用安全规则库上的动作进行处理。

○         告警：所有命中规则的流量，只生成日志，不拦截流量。

○         阻断：拦截所有命中规则的流量并生成日志。

其他保持默认配置即可。

 

(5)   点击<保存>。

1.5.3  添加例外规则

(1)   点击[对象]>>[内容模板]>>[入侵防御]>>[自定义模板]菜单项，进入自定义模板配置界面。

(2)   点击<编辑>按钮编辑IPS模板test。

(3)   点击<高级配置>，根据自身需求添加对应规则ID为例外，并指定该规则ID的动作。

本例以添加规则ID为4259841的规则为例外规则，并指定该规则动作为放行。

 

(4)   点击<保存>。

1.6   验证配置结果

配置完例外规则后，当行为管理策略引用了该IPS模板，并且后续流量触发了设定的例外规则ID（例如4259841），则该流量将按照例外规则定义的动作进行处理，即任何匹配到ID为4259841的例外规则的流量都将被直接放行。