联想网络防火墙PowerV-Web接口操作手册-3系统配置(2)

启用集群模块后，您可以向防火墙管理员发送警报电子邮件. Netvault Firewall PowerV Web界面操作手册图3-13警报邮箱配置此接口包括以下功能1.配置警报邮箱2.转到“网络配置>域名服务器”界面以配置警报邮箱配置警报邮箱和指定邮箱. SMTP服务器所在的IP地址和端口转到“网络配置>>域名服务器”界面，然后单击“修改DNS配置”按钮，转到“网络配置>>域名服务器”界面. 如果您无法正常发送邮件，请检查DNS配置是否正确. 3.6.3集中管理支持防火墙（SNMP v2，v3）的集中管理. 防火墙可以与联想的集中式安全管理系统无缝链接. 管理员为主机IP和各种监视信息的集中管理配置阈值. 当防火墙操作信息超过阈值时，它将通过SNMP协议将陷阱信息发送到集中式管理主机. 监视信息包括: 系统名称版本号序列号，CPU使用率，内存使用率，网络接口状态，网络连接状态. 将TRAP信息发送到集中管理中心，以为网络管理员提供全面，易于使用和高效的工具和手段，以实时监视网络资源的使用.

相关信息也可以在防火墙的“系统监视>>网络接口”界面和“系统监视＆gt;＆gt;资源状态”中查看. 图3-14集中管理配置图3-3集中管理配置元素NET防火墙防火墙PowerV Web界面操作手册输入上述字段，然后单击“确定”以完成集中管理主机配置. 3.7入侵检测防火墙本身主要在链路层执行访问控制. 入侵检测技术是防火墙技术的逻辑补偿. 作为数据通信监视的一种手段，入侵检测技术必须对每个传入和传出数据包执行解码分析和模式匹配. 如果发现数据包中包含与已知攻击方法的签名匹配的数据，则表明存在入侵事件发生时，将发出警报以提醒管理员注意，并且源IP地址可以自动阻止以立即阻止攻击者. 联想网络防火墙将入侵检测技术无缝集成到其自身中，从而大大提高了防火墙检测数据驱动攻击的能力. 由于防火墙本身的特性，只能检测通过防火墙的数据包. 如果用户需要监视整个网络的潜在攻击，建议选择联想的Netyu系列入侵检测产品. 入侵检测模块的主要功能包括: 实时网络数据流监视实时监视进出防火墙的所有通信流，并分析网络通信会话轨迹.

信息收集和分析同时进行，反应迅速. 一旦发现可疑信息，便会及时报警并作出反应. ？网络攻击模式与已知攻击模式的预设规则库相匹配联想网御防火墙配置，该规则库可以检测各种攻击行为，并最大程度地防止黑客入侵和内部用户的非法使用. 规则库可以升级，以确保可以识别最新的黑客方法. ？对入侵行为的实时自动响应不仅可以警报和写入日志，还可以对入侵事件进行自动响应，还可以实时阻止可疑连接，并且防火墙还可以与其他制造商的IDS产品（例如“ tiantian”和“天眼”实现联系，功能强大. ？灵活的检测策略设置内置十六种检测策略，用户可以使用任意组合联想网御防火墙配置，量身定制以突出重点. ？支持用户添加自定义检测规则用户可以根据其实际情况和感兴趣的安全事件添加自定义检测规则，以反映个性化服务. 支持高级用户调整检测规则. 管理员可以根据受IDS保护的网络的具体情况，在检测策略中调整检测规则，容易造成误报. 禁用NetFire防火墙的PowerV Web界面操作手册中的规则，这将提高入侵检测的效率. ？全天候警报模式可以自动将警报信息发送到管理员的电子邮件，出现在移动通信设备上，并实现离线监视. 图3-15典型应用拓扑图2-15显示了企业内部网络的拓扑图. 防火墙的三个网络端口分别连接到内部网络，外部服务器和路由器.

Intranet主机可以通过防火墙访问外部服务器和Internet. 外部网络可以访问外部服务器，但不能访问内部网络. 企业网络管理员希望启用防火墙的入侵检测功能以发现各种非法入侵尝试，并启用自动响应功能，该功能将在一段时间内自动阻止出现在“检测结果”中的源IP地址. 3.7.1基本配置首先，登录防火墙配置管理界面后，通过左侧菜单栏中的系统配置>入侵检测，即会出现入侵检测管理界面. Network Royal Firewall PowerV Web界面操作手册图3-15基本配置基本配置可以设置是否启用入侵检测以及监视网络端口和网段. 3.7.2策略配置策略配置可以使管理员选择某些策略以对付入侵. 图3-16入侵检测策略配置ID的警报邮箱设置与整个系统的警报邮箱设置一起设置. 系统警报邮箱的设置位于系统配置->报告设置->警报邮箱中，以及NetVF Firewall PowerV Web界面的操作手册设置警报邮箱后，ids系统将自动将所有入侵记录发送至此入侵记录达到100或时间间隔达到30秒时的邮箱. 3.7.3自定义检测您可以从列表中查看所有当前的自定义规则. 管理员可以验证规则或使规则无效，以检测或取消对某种类型的入侵事件的检测.

管理员可以添加自定义规则，如下所示: 图3-17自定义入侵规则列表的注释: 如果正常的网络行为导致一条规则的大量错误警报，则可以禁用该规则. 最好将正常操作防火墙PowerV Web界面操作手册操作一段时间后才能启用自动响应功能，此时误报警已降至非常低的水平. ？有时FTP服务器或DNS服务器将触发扫描警报，这是一个虚假警报. 您可以调整扫描时间阈值，或将这些服务器的IP地址添加到忽略扫描警报的地址列表中. ？有时，外部服务器的IP会在检测结果中出现在攻击者的源地址中，例如从外部服务器的端口80到外部IP地址的高端口，警告消息是发现了禁止的特征字符串403 . 此警报消息并不表示外部服务器是攻击者. 相反，这是因为外部IP通过防火墙向外部服务器发起了非法Web请求，从而导致服务器返回“ 403 Forbidden”消息，因此攻击者是外部IP地址主机. 但是，由于防火墙的自动响应功能仅阻止检测结果中的源IP地址，因此，为确保不阻止服务器，最好将服务器的IP地址放在忽略自动阻止的地址列表中. 3.7.4扫描检测配置管理员单击“扫描检测配置”，将扫描时间阈值从3分钟内发现的5个端口连接调整为10秒内发现的3个端口连接.

如下所示. 图3-18扫描检测配置3.7.5自动响应配置管理员可以启用自动响应功能，并将阻止时间设置为12秒. 如下图所示: 图3-19设置自动响应功能后，自动响应功能生效. 一旦发生可触发触发检测规则的可疑事件，检测网络防火墙的PowerV Web界面操作手册结果中出现的源IP地址就会自动包含在系统黑名单中. 发起方的通信已被防火墙阻止，可疑行为将无法继续. 管理员可以自定义阻止时间（以秒为单位）. 如果时间未满，它将被视为从不释放该块. 清除被阻止的IP地址，您可以清除防火墙系统中所有被阻止的IP地址，包括由ids链接系统阻止的地址. 注意: 攻击者可以伪造地址进行攻击，因此启用更改功能可能会导致伪造IP受到DOS攻击或网络通信异常，因此建议在正常情况下不要打开此功能. 3.7.6检测结果管理员在界面中单击“检测结果”以查看所有入侵. 该页面如下所示. 图3-20测试结果3.8产品许可证通过该页面，您可以上载获得的防火墙模块的许可证并将其导入防火墙. 上传成功后，请保存系统配置并重启防火墙，以使新模块生效. 图3-21产品许可证上传页面

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shumachanpin/article-209689-2.html