防火墙入侵检测和防护配置命令与案例要有拓扑图
时间: 2024-06-12 08:07:54 浏览: 10
拓扑图:
```
+-----------+
| |
| Internet |
| |
+-----+-----+
|
|
|
+------------------+------------------+
| |
| |
+------+-------+ +-----+-------+
| | | |
| Router +-------------------------+ Firewall |
| | | |
+------+-------+ +-----+-------+
| |
| |
+------+-------+ +-----+-------+
| | | |
| PC1 | | PC2 |
| | | |
+--------------+ +-------------+
```
防火墙入侵检测和防护配置命令:
1. 启用防火墙:
```
Firewall(config)# firewall enable
```
2. 配置防火墙规则:
```
Firewall(config)# access-list 101 permit tcp any any eq 80
Firewall(config)# access-list 101 permit tcp any any eq 443
Firewall(config)# access-list 101 deny ip any any
```
3. 将防火墙规则应用到接口:
```
Firewall(config)# interface GigabitEthernet0/0
Firewall(config-if)# access-group 101 in
```
4. 启用入侵检测:
```
Firewall(config)# ips enable
```
5. 配置入侵检测规则:
```
Firewall(config)# ips signature-category
Firewall(config-sig-category)# category all
Firewall(config-sig-category)# exit
Firewall(config)# ips signature-definition
Firewall(config-sig-def)# signature 1001
Firewall(config-sig-def-sig)# description "SQL Injection Attack"
Firewall(config-sig-def-sig)# engine 1
Firewall(config-sig-def-sig)# risk-rating 90
Firewall(config-sig-def-sig)# exit
Firewall(config-sig-def)# exit
Firewall(config)# ips signature-definition
Firewall(config-sig-def)# signature 1002
Firewall(config-sig-def-sig)# description "XSS Attack"
Firewall(config-sig-def-sig)# engine 1
Firewall(config-sig-def-sig)# risk-rating 80
Firewall(config-sig-def-sig)# exit
Firewall(config-sig-def)# exit
Firewall(config)# ips signature-definition
Firewall(config-sig-def)# signature 1003
Firewall(config-sig-def-sig)# description "Malware Download"
Firewall(config-sig-def-sig)# engine 1
Firewall(config-sig-def-sig)# risk-rating 95
Firewall(config-sig-def-sig)# exit
Firewall(config-sig-def)# exit
```
6. 将入侵检测规则应用到接口:
```
Firewall(config)# interface GigabitEthernet0/0
Firewall(config-if)# ips inline
Firewall(config-if)# exit
```
案例:
假设公司的网络拓扑如上所示,现在需要在防火墙上配置入侵检测和防护,以保护网络安全。假设公司需要保护 Web 服务器和数据库服务器,防止 SQL 注入和 XSS 攻击,并阻止恶意软件下载。
防火墙配置如下:
```
Firewall(config)# firewall enable
Firewall(config)# access-list 101 permit tcp any any eq 80
Firewall(config)# access-list 101 permit tcp any any eq 443
Firewall(config)# access-list 101 deny ip any any
Firewall(config)# interface GigabitEthernet0/0
Firewall(config-if)# access-group 101 in
Firewall(config)# ips enable
Firewall(config)# ips signature-category
Firewall(config-sig-category)# category all
Firewall(config-sig-category)# exit
Firewall(config)# ips signature-definition
Firewall(config-sig-def)# signature 1001
Firewall(config-sig-def-sig)# description "SQL Injection Attack"
Firewall(config-sig-def-sig)# engine 1
Firewall(config-sig-def-sig)# risk-rating 90
Firewall(config-sig-def-sig)# exit
Firewall(config-sig-def)# exit
Firewall(config)# ips signature-definition
Firewall(config-sig-def)# signature 1002
Firewall(config-sig-def-sig)# description "XSS Attack"
Firewall(config-sig-def-sig)# engine 1
Firewall(config-sig-def-sig)# risk-rating 80
Firewall(config-sig-def-sig)# exit
Firewall(config-sig-def)# exit
Firewall(config)# ips signature-definition
Firewall(config-sig-def)# signature 1003
Firewall(config-sig-def-sig)# description "Malware Download"
Firewall(config-sig-def-sig)# engine 1
Firewall(config-sig-def-sig)# risk-rating 95
Firewall(config-sig-def-sig)# exit
Firewall(config-sig-def)# exit
Firewall(config)# interface GigabitEthernet0/0
Firewall(config-if)# ips inline
Firewall(config-if)# exit
```
这样配置后,防火墙会阻止所有 IP 流量,并根据规则允许 Web 和数据库服务器的 HTTP 和 HTTPS 流量,并将所有其他流量拒绝。同时,入侵检测会在防火墙上检测 SQL 注入和 XSS 攻击,以及恶意软件下载,并在检测到这些攻击时采取相应的措施来防止攻击。
相关推荐
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)