山石网科怎么通过路由模式,部署NIPS入侵防御设备?本示例介绍如何以三层路由模式部署NIPS设备。
在路由模式下,NIPS设备被部署在网络边界,提供路由功能,NAT等功能。
使用路由模式时,需要配置接口、内网trust区域、外网untrust区域、服务器DMZ区域、域间策略等,相较于旁路和二层串联模式,配置较复杂。
本文中的示例将基于以下拓扑图,介绍路由模式的部署。
准备工作
连接设备:将设备的接口(ethernet0/3)连接到运营商网络中;接口(如ethernet0/1)连接到内网中;接口(ethernet0/2)与内网服务器相连。
配置步骤
步骤一:配置接口
1、登录NIPS设备WebUI,选择“ 配置管理 > 网络配置 > 接口”,然后双击ethernet0/3接口,在<Ethernet接口>页面配置如下:
- 接口名称:ethernet 0/3
- 绑定安全域:三层安全域
- 安全域:untrust
- IP地址:202.10.1.2
- 掩码:24
- 管理方式:SSH/HTTPS
2、同理配置内网接口ethernet0/1。
- 接口名称:ethernet 0/1
- 绑定安全域:三层安全域
- 安全域:untrust
- IP地址:192.168.2.1
- 掩码:24
- 管理方式:SSH/HTTPS
3、同理配置连接服务器的接口ethernet0/2。
- 接口名称:ethernet 0/2
- 绑定安全域:三层安全域
- 安全域:untrust
- IP地址:10.89.19.2
- 掩码:24
- 管理方式:SSH/HTTPS
步骤二:配置源NAT规则,将内网IP转换为出接口IP。
选择“ 配置管理 > 策略 > NAT > 源NAT”,然后点击“新建”,配置如下:
- 虚拟路由器:trust-vr
- 源地址:any
- 目的地址:any
- 入流量:所有流量
- 出流量:出接口;ethernet0/3
- 将地址转换为
- 转换为:出接口IP
步骤三:配置目的NAT规则,将内部服务器发布到公网IP地址。
选择“ 配置管理 > 策略 > NAT > 目的NAT”,然后点击“新建 > IP映射”,配置如下:
当IP地址符合以下条件时:
- 虚拟路由器:trust-vr
- 目的地址:IP地址;202.10.1.2
映射
- 映射到地址:IP地址;10.89.19.1
步骤四:配置安全防护策略,对服务器及内网用户进行安全防护
untrust—>dmz域间策略
1、选择“ 配置管理 > 策略 >安全防护策略”,然后点击“新建 > 策略”,在<安全防护策略配置>中配置如下:
- 源安全域:untrust
- 源地址:any
- 目的安全域:dmz
- 服务:any
- 入侵防御模板:predef-default
untrust—>trust域间策略
1、选择“ 配置管理 > 策略 >安全防护策略”,然后点击“新建 > 策略”,在<安全防护策略配置>对话框中配置如下:
- 源安全域:untrust
- 源地址:any
- 目的安全域:trust
- 服务:any
- 动作:允许
- 入侵防御模板:predef-default
步骤五:配置默认路由
选择“ 配置管理 > 网络配置 > 路由> 目的路由”,然后点击“新建”,配置如下:
- 虚拟路由器:trust-vr
- 目的地址:0.0.0.0
- 子网掩码:0.0.0.0
- 下一跳:网关
- 网关:202.10.1.1
内网用户将PC的网关设置为202.10.1.1,即可访问外网。
步骤六:结果
完成以上配置步骤后,内网用户可以通过NIPS设备访问外网,通往NIPS设备又可以对内网服务器及内网用户进行安全防御。
本文由 @大老鹰 发布于弱电智能网 。
题图来自Unsplash,基于CC0协议
内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章名称:《山石网科怎么通过路由模式,部署NIPS入侵防御设备?》
文章链接:https://www.ruodian360.com/tech/networking/47901.html
添加微信ydian188免费入群,记得备注“弱电智能网”。
