应用场景:
公司内部有一台web服务器192.168.1.2,映射到外网,的地址(202.1.1.11),对外网开放HTTP服务。
一、组网需求
web服务器对互联网开放HTTP服务,从而增加了服务器被攻击的风险,需要使用IPS(入侵防御)功能对服务器进行保护。对所有来自互联网的访问进行IPS防护。
二、组网拓扑
三、配置要点
1、初始化上网配置
2、配置VIP(DNAT)
3、定义IPS传感器
4、配置策略并开启IPS功能
5、开启日志记录
四、配置步骤
1、基础上网配置
配置详细过程请参照 "路由模式典型功能--单线上网--静态地址线路上网配置"一节:
接口IP配置如下:
路由配置如下:
2、配置虚拟IP(DNAT)
进入菜单:防火墙--虚拟IP--虚拟IP,点击"新建"。
配置虚拟IP:名称为webserver,用于wan1口的
3、定义IPS传感器
针对服务器的系统和程序来定制IPS的特征库,假定该系统为windows系统,http 服务。
1)菜单: 安全配置--入侵防护--IPS传感器, 内部已经内置了预定义的传感器,点击"新建"按钮。
随后出现IPS特征值配置页面。分为2种方式进行特征值的过滤:
A,基本模式
严重性: 根据公司的严重性分类, 全选。
对象: 本例为web服务器,属于针对服务器的攻击,选择server,
OS: 选择要保护系统的OS类型。
下面列表内就是符合如上过滤IPS攻击类型。
选择IPS特征值后,选择针对这些攻击特征的处理动作:
接受默认的IPS特征: 每个IPS特征的默认定义了防火墙对该攻击的处理动作,防护墙按预配置的动作处理。
监控全部: 只监控产生日志,不阻断。
全部屏蔽: 阻止,丢去数据包。
重置: 对该会话重置,
隔离: 隔离方式分为 "攻击的ip',"攻击者IP和受攻击者IP","接口进行隔离",隔离一段时间,使其禁止服务通信。谨慎使用。
B,高级模式
该模式可以进行更精确的匹配,提高系统的效率,建议使用。根据提示选择基 IIS程序,http、tcp 、udp等协议
选择IPS特征值后,选择针对这些攻击特征的处理动作:
有些IPS特征在特定场景中会产生误报,在此模式下可以编辑IP豁免
编辑豁免的IP地址段或主机,可以根据源地址与目的地址匹配
C,基于速率的IPS特征
该模式可以进行基于应用层的DDos防护
双击该特征可以编辑防护阈值与持续时间,并且可以设置根据源地址或者目的地址的速率追踪
2)点击"确定",过滤器定义完成。如果添加多个过滤器,按上述方式重复添加即可。
4、配置策略并开启IPS功能
流入接口:wan1
源地址:all
流出接口: internal
目的地址: webserver,定义好的虚拟IP映射对象
服务: HTTP,只允许进行http服务访问
IPS: 启用
5、开启日志记录
FortiGate # config ips sensor
FortiGate (sensor) # edit default
new entry 'httpserver' added
FortiGate (httpserver) # set log enable
FortiGate (httpserver) # config entries
FortiGate (entries) # edit 1
new entry '1' added
FortiGate (1) # set log enable
FortiGate (1) # set log-packet enable
FortiGate (1) # end
五、验证配置
选择攻击工具对服务器攻击测试,查看日志检查是否对来自换互联网的攻击进行了拦截。
以下是通过工具awus对网站服务器进行sql注入攻击的结果,被防火墙拦截并记录日志(下图ip地址与此例不同,为参考图片,配置过程及攻击测试一样)。
