89【网络安全】【配置IDS 与防火墙联动】

配置IDS与防火墙联动

【实验名称】

配置IDS与防火墙联动

【实验目的】

掌握RG-IDS与RG-WALL防火墙联动的配置方式，增强对攻击阻断的有效性和及时性。

【背景描述】

IDS产品与防火墙产品联动，能后对恶意攻击和流量进行时时检测和防御

【需求分析】

需求：IDS产品只能单纯的检测不具备防御功能，防火墙只能对3-4层数据报文进行处理，不具备深入检测的功能

分析：通过IDS检测并将检测信息传递给防火墙，通过防火墙对攻击的地址和端口进行阻断等措施，达到时时防御的目的

【实验拓扑】

【实验设备】

PC 3台 RG-IDS 1台 直连线 若干条

交换机 1台（必须支持多对一的端口镜像） SecureCRT软件

139

网络安全实验教程

【预备知识】

RG-WALL防火墙配置基础 交换机端口镜像配置 RG-IDS配置基础

【实验原理】

入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略。防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。

在本实验中，以Ping-of-Death签名为攻击事件，在没有配置为联动的响应方式之前，攻击机能够向被攻击机发送超大字节的ICMP报文，并被IDS检测到。实施RG-IDS与RG-WALL联动后，IDS首先检测到Ping-of-Death攻击，并将事件的信息包括源、目的地址等通过SSH通知防火墙，防火墙根据IDS发送的攻击事件信息自动生成响应规则，阻断攻击源和目的之间通信。

【实验步骤】 第一步：配置策略

点击主界面上的“策略”按钮，切换到策略编辑器界面，从现有的策略模板中生成一个新的策略。新的策略中选择“pingofdeath”签名事件，并将策略并下发到引擎。

第二步：超大字节ICMP报文攻击测试

攻击机172.16.5.127向目标机172.16.5.125发送超大字节ICMP报文。

140

第三章 入侵检测技术实验

通过RG-IDS控制台“安全事件”组件，查看IDS检测的安全事件信息，“pingofdeath”事件上报数量大概为200多条。

第三步：RG-IDS联动文件修改

将ECrunning.cfg和scrtcmd.vbs两个文件拷贝到事件收集器的安装目录下覆盖原有文件。

141

网络安全实验教程

ECrunning.cfg和scrtcmd.vbs两个文件需要单独获取。

第四步：配置响应参数

在RG-IDS控制台“策略”配置界面，选择“响应参数配置—Global_Settings”，在用户指定响应程序名称栏中添入“ruijie”。

点击

按钮，保存修改。

第五步：配置联动签名的响应方式

进入策略配置界面，选择需要联动的签名“pingofdeath”，并在右侧响应方式中选择“DISPLAY”、“LOGDB”、“USER”，为攻击签名选择响应方式。

点击

按钮，保存修改

142

第三章 入侵检测技术实验

通过RG-IDS应用服务管理器重新启动“事件收集服务”、“安全事件响应服务”、“IDS数据管理服务”。

第六步：建立防火墙SSH连接

在IDS控制台PC上，使用SecureCRT工具，建立名为ruijie的SSH连接，通过该连接可以通过SSH登录到RG-WALL防火墙。

通过SSH连接登录防火墙一次，登录过程中要选择保存证书、用户名和密码等信息，登录成功后退出程序。

第七步：ICMP攻击

攻击机172.16.5.127向目标机172.16.5.125发送超大字节ICMP报文。

143

网络安全实验教程

通过RG-IDS控制台“安全事件”组件，查看IDS检测的安全事件信息，“pingofdeath”事件上报数量大概为200多条。

第八步：发送ICMP攻击报文

攻击机172.16.5.127发送ICMP报文失败。

第九步 查看防火墙状态

查看防火墙规则表，防火墙写入规则阻断了攻击机172.16.5.127到目标机172.16.5.125所有通信。

144

第三章 入侵检测技术实验

【验证实验】

用攻击机172.16.5.27 telnet连接被攻击机172.16.5.125，返回信息连接失败，如图所示：

证明攻击机172.16.5.27 到被攻击机172.16.5.125所有通信被阻断，RG-IDS与RG-WALL防火墙联动成功。

【注意事项】

󰁺 在实施联动之前，必须通过SSH先连接防火墙，并保存证书、帐户和密码。 󰁺 在实验过程中，请注意及时清理安全事件列表中的事件信息。

󰁺 防火墙不具备动态规则功能，因此当事件量比较大的时候会产生非常多的访问规

则，这些规则只能手工删除，过多的规则会严重影响防火墙的性能。 󰁺 本实验中没有给出RG-WALL防火墙的基本配置，关于RG-WALL防火墙的配置，请参

见相关的实验和配置文档。

145