华为中心AP 配置入侵防御实验

配置入侵防御示例

组网图形

图1 入侵防御组网图
  • 组网需求
  • 配置思路
  • 操作步骤
  • 中心AP的配置文件
组网需求

如图1所示,某企业部署了WLAN网络,内网用户可以访问Internet的Web服务器。现需要在中心AP上配置入侵防御功能,具体要求如下:

保护内网用户,避免内网用户访问Internet的Web服务器时受到攻击。例如,含有恶意代码的网站对内网用户发起攻击。

配置思路
  1. 配置WLAN基本业务。
  2. 配置入侵防御模板“profile_ips_pc”,保护内网用户。通过配置签名过滤器来满足安全需要。
  3. 创建攻击防御模板“defence_1”,并引用入侵防御模板“profile_ips_pc”,保护内网用户免受来自Internet的攻击。
  4. 配置WLAN业务VAP引用攻击防御模板,使入侵防御功能生效。
操作步骤
  1. 配置WLAN基本业务,具体配置步骤请参照配置敏捷分布式WLAN组网示例。
  2. 使能安全引擎。

    <span style="background-color:#dddddd">[AP] <strong>defence engine enable</strong>
    </span>
  3. 创建入侵防御模板“profile_ips_pc”,保护内网用户。

    <span style="background-color:#dddddd">[AP] <strong>profile type ips name profile_ips_pc</strong>
    [AP-profile-ips-profile_ips_pc] <strong>description profile for intranet users</strong>
    [AP-profile-ips-profile_ips_pc] <strong>collect-attack-evidence enable</strong>
    Warning: Succeeded in configuring attack evidence collection for the IPS functio
    n. The function is used for fault locating. This function may deteriorate systemperformance. Exercise caution before using the function.                       
    Attack evidences can be collected only when a log storage device with sufficientstorage space is available.                                                    
    After all required attack evidences are collected, disable the function.        
    Our company alone is unable to transfer or process the communication contents orpersonal data.  You are advised to enable the related functions based on the ap
    plicable laws and regulations in terms of purpose and scope of usage. When the c
    ommunication contents or personal data are being transferred or processed,  you 
    are obliged to take considerable measures to ensure that these contents are full
    y protected. Continue? [Y/N]: <strong>y</strong> 
    [AP-profile-ips-profile_ips_pc] <strong>signature-set name filter1</strong>
    [AP-profile-ips-profile_ips_pc-sigset-filter1] <strong>target client</strong>
    [AP-profile-ips-profile_ips_pc-sigset-filter1] <strong>severity high</strong>
    [AP-profile-ips-profile_ips_pc-sigset-filter1] <strong>protocol HTTP</strong>
    [AP-profile-ips-profile_ips_pc-sigset-filter1] <strong>quit</strong>
    [AP-profile-ips-profile_ips_pc] <strong>quit</strong>
    </span>
  4. 提交配置。

    <span style="background-color:#dddddd">[AP] <strong>engine configuration commit</strong>
    </span>
  5. 创建攻击防御模板“defence_1”,引用入侵防御模板“profile_ips_pc”。

    <span style="background-color:#dddddd">[AP] <strong>defence-profile name defence_1</strong>
    [AP-defence-profile-defence_1] <strong>profile type ips profile_ips_pc</strong>
    [AP-defence-profile-defence_1] <strong>quit</strong>
    </span>
  6. 在VAP模板上引用攻击防御模板“defence_1”。

    <span style="background-color:#dddddd">[AP] <strong>wlan</strong>
    [AP-wlan-view] <strong>vap-profile name wlan-vap</strong>
    [AP-wlan-vap-prof-wlan-vap] <strong>defence-profile defence_1</strong>
    [AP-wlan-vap-prof-wlan-vap] <strong>quit</strong>
    </span>
  7. 验证配置结果。

    在中心AP上执行命令display profile type ips name profile_ips_pc,查看入侵防御配置文件的配置信息。

    <span style="background-color:#dddddd">[AP-wlan-view] <strong>display profile type ips name profile_ips_pc</strong>IPS Profile Configurations:                                                    ----------------------------------------------------------------------         Name                              : profile_ips_pc                             Description                       : profile for intranet users                 Referenced                        : 1                                          State                             : committed                                  AttackEvidenceCollection          : enable                                     SignatureSet                      : filter1                                    Target                          : client                                     Severity                        : high                                       OS                              : N/A                                        Protocol                        : HTTP                                       Category                        : N/A                                        Action                          : default                                    Application                     : N/A                                        Exception:                                                                     ID       Action                                        Name                    ----------------------------------------------------------------------         DNS Protocol Check:                                                            HTTP Protocol Check:                                                  ----------------------------------------------------------------------    </span>
中心AP的配置文件
<span style="background-color:#dddddd">#defence engine enablesysname AP
#
profile type ips name profile_ips_pc description profile for intranet users collect-attack-evidence enable signature-set name filter1 target client severity high protocol HTTP 
#   
vlan batch 100 to 101
#
dhcp enable
#
defence-profile name defence_1                                                  profile type ips profile_ips_pc  
#
interface Vlanif100ip address 10.23.100.1 255.255.255.0dhcp select interface
#
interface Vlanif101ip address 10.23.101.1 255.255.255.0dhcp select interface
#
interface GigabitEthernet0/0/1port link-type trunkport trunk pvid vlan 100port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/24port link-type trunkport trunk allow-pass vlan 101
#
management-vlan 100
#
wlansecurity-profile name wlan-securitysecurity wpa2 psk pass-phrase %^%#m"tz0f>~7.[`^6RWdzwCy16hJj/Mc!,}s`X*B]}A%^%# aesssid-profile name wlan-ssidssid wlan-netvap-profile name wlan-vapservice-vlan vlan-id 101ssid-profile wlan-ssidsecurity-profile wlan-securitydefence-profile defence_1regulatory-domain-profile name domain1ap-group name ap-group1regulatory-domain-profile domain1radio 0vap-profile wlan-vap wlan 1radio 1vap-profile wlan-vap wlan 1ap-id 1 type-id 19 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042ap-name area_1ap-group ap-group1radio 0channel 20mhz 6eirp 127radio 1channel 20mhz 149eirp 127
#
return</span>
父主题: 配置举例
版权所有 © 华为技术有限公司

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/756716.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

接口VS抽象类,我该用哪个?

在Java编程中&#xff0c;接口和抽象类是两个核心概念&#xff0c;它们为面向对象编程提供了强大的支持。理解这两者的区别以及如何正确地使用它们&#xff0c;对于编写高效、可维护的代码至关重要。 接口&#xff08;Interface&#xff09; 接口是一种完全抽象的类&#xff…

程序运行时,常见存储区分类及作用

作用栈区&#xff08;stack&#xff09; 存放函数的形参和局部变量&#xff08;auto 类型&#xff09;&#xff0c;由编译器自动分配和释放。生命周期与函数调用相关&#xff0c;函数结束时自动回收。栈区的大小有限&#xff0c;通常较小。例如&#xff0c;函数参数和局部变量。…

Bert的一些理解

Bert的一些理解 Masked Language Model (MLM)Next Sentence Prediction (NSP)总结 参考链接1 参考链接2 BERT 模型的训练数据集通常是以预训练任务的形式来构建的&#xff0c;其中包括两个主要任务&#xff1a;Masked Language Model (MLM) 和 Next Sentence Prediction (NSP)。…

GPT-4与Claude3、Gemini、Sora:AI领域的技术创新与突破

【最新增加Claude3、Gemini、Sora、GPTs讲解及AI领域中的集中大模型的最新技术】 2023年随着OpenAI开发者大会的召开&#xff0c;最重磅更新当属GPTs&#xff0c;多模态API&#xff0c;未来自定义专属的GPT。微软创始人比尔盖茨称ChatGPT的出现有着重大历史意义&#xff0c;不亚…

大模型提示工程和常用的几个场景下Prompt案例

提示工程指南 提示工程&#xff08;Prompt Engineering&#xff09;是一门较新的学科&#xff0c;关注提示词开发和优化&#xff0c;帮助用户将大语言模型&#xff08;Large Language Model, LLM&#xff09;用于各场景和研究领域。 掌握了提示工程相关技能将有助于用户更好地了…

linux环境部署

war包环境 在Linux系统上部署准备war包环境 查看linux当前版本和系统类型 [rootlocalhost ~]# uname -a Linux localhost.localdomain 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linuxlinux 打包文件夹 使用tar命令&#xff1…

【PG数据库】CentOS 7 安装 PostgreSQL 14

1 CentOS 7 安装 PostgreSQL 14 1.1下载离线安装包 下载方式&#xff1a;利用离线下载方式在虚拟机中安装PostgreSQL 14 下载链接&#xff1a; https://yum.postgresql.org/14/redhat/rhel-7-x86_64/repoview/postgresqldbserver14.group.html 依次进入下载&#xff1a; 1.…

安卓面试题多线程 66-70

66. 如何避免 Java 线程死锁?要想避免死锁,只需要破坏掉至少一个构造死锁的必要条件即可,而在操作系统中,互斥条件和不可剥夺条件是系统规定的,这也没办法人为更改,而且这两个条件很明显是一个标准的程序应该所具备的特性。所以目前只有请求并持有和环路等待条件是可以被…

24.3 分布式综合应用

24.3 分布式综合应用 1. 分布式事务1.1 分布式事务1.2 分布式事务方案1. 2pc2. 其他方案1.3 Seata分布式事务框架:基于2pc1. 简介2. 启动seata服务1.4 微服务事务案例分析1. 代码分析2. 基于Seata改造2. 分布式锁2.1 简介3. RabbitMQ应用

深度访谈:OpenAI缘何要进军光量子领域

内容来源&#xff1a;量子前哨&#xff08;ID&#xff1a;Qforepost&#xff09; 编辑丨王珩 编译/排版丨沛贤 深度好文&#xff1a;2000字丨12分钟阅读 据报道&#xff0c;人工智能巨头最近为其团队增添了一位新成员&#xff1a;Ben Bartlett&#xff0c;他是PsiQuantum的前…

【QT+QGIS跨平台编译】之八十四:【QGIS_Gui跨平台编译】—【错误处理:未实例化QgsMapLayer - QgsHighlight】

文章目录 一、未实例化QgsMapLayer二、错误处理 一、未实例化QgsMapLayer 报错信息&#xff1a; 二、错误处理 第31行修改为&#xff1a; #include "qgsmaplayer.h"

151,反转的单词

151. 反转字符串中的单词 已解答 中等 相关标签 相关企业 给你一个字符串 s &#xff0c;请你反转字符串中 单词 的顺序。 单词 是由非空格字符组成的字符串。s 中使用至少一个空格将字符串中的 单词 分隔开。 返回 单词 顺序颠倒且 单词 之间用单个空格连接的结果字符串…

SM4对称加密算法

背景 这篇文章主要是记录下&#xff0c;sm4密钥生成的过程。因为对称加密暂时没什么好说的&#xff0c;分组加密的模式ECB和CBC等&#xff0c;优劣如果大家有疑问可以自行百度下。 先说下背景&#xff0c;是因为项目需要改造为sm4的前后端加解密算法&#xff0c;然后和前端同…

R语言系列6——R语言中的机器学习入门

目录 写在开头1. 监督学习基础1.1 线性回归模型原理简介在R语言中的实现解读模型输出 1.2 逻辑回归模型与线性回归的区别实现步骤 1.3 决策树工作原理在R中的构建模型评估与解释 1.4 随机森林基本概念与单一决策树的区别在R中的使用 2. 无监督学习概述2.1 聚类分析的详细介绍原…

HarmonyOS NEXT应用开发之多文件下载监听案例

介绍 多文件下载监听在应用开发中是一个非常常见的需求。本示例将介绍如何使用request上传下载模块实现多文件下载监听&#xff0c;如监听每个文件下载任务的进度&#xff0c;任务暂停&#xff0c;下载完成等下载情况。每个应用最多支持创建10个未完成的任务&#xff0c;相关规…

GB28181视频汇聚EasyCVR平台接入海康Ehome设备,设备在线但是视频无法播放是什么原因?

安防视频监控/视频集中存储/云存储/磁盘阵列EasyCVR平台可拓展性强、视频能力灵活、部署轻快&#xff0c;可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等&#xff0c;以及支持厂家私有协议与SDK接入&#xff0c;包括海康Ehome、海大宇等设备的SDK等。平台既具备传统安…

云原生相关知识

一、kubernetes 1 概述 Kubernetes&#xff08;也称 k8s 或 “kube”&#xff09;是一 个​​开源​​的容器编排平台&#xff0c;可以自动完成在部署、管理和扩展容器化应用过程中涉及的许多手动操作。 我们常说的编排的英文单词为 “Orchestration”&#xff0c;它常被解释…

苹果意将Gemini引入iPhone;英伟达发布新AI GPU;Grok正式开源

苹果正在谈判将 Gemini 引入 iPhone Mark Gurman 报道&#xff0c;苹果正在谈判将 Google 的生成式 AI 大模型 Gemini 引入 iPhone。 知情人士透露&#xff0c;两家公司正在积极谈判&#xff0c;让苹果获得 Gemini 授权&#xff0c;为今年 iPhone 软件的一些新功能提供动力。苹…

Rust 中的 Vec<u8> 类型

Vec<u8> 在 Rust 编程语言中是一种非常常见的类型&#xff0c;它是标准库提供的可变大小的字节向量&#xff08;vector&#xff09;类型。具体来说&#xff1a; Vec是一个实现了动态数组功能的集合类型&#xff0c;可以在运行时调整其长度。 <u8>指定了向量元素的具…

vim | vim多标签之间的跳转

比如有两个标签&#xff1a; 按 Ctrl o 会直接跳转到上一次打开的文件&#xff0c;这样可能不够直观&#xff0c;可以用 :ls 进行查看buff&#xff0c;如下&#xff1a; 可以看到 %a 的是当前正在编辑的 # 是按 Ctrl o 会跳转到的 当然也可以用 这种命令进行跳转&#xff1…