某用户拓扑如下,NGAF 路由模式部署。内网服务器区与用户区分别位于防火墙两个不同的接口。用户希望利用 IPS 功能即保护服务器,又保护客户端。
第一步:首先要在『网络配置』->『接口/区域』,将防火墙三个接口划分到不同区域。 本案例中,将 ETH1 定义成外网区,ETH2 定义成 DMZ 区,ETH3 口定义成内网区。『对象定义』->『IP 组』将 172.16.1.0/24 定义成服务器组,192.168.1.0/24 定义成内网用户,界面如下:
第二步:设置服务器保护。进入 IPS 设置,点击新增,设置好规则名称。源区域选择外网区,目的区域选择 DMZ 区,目的 IP 选择服务器组,勾选[保护服务器],并且选择相应规则。保护客户端不勾选。点击提交,保存即可。界面如下:
第三步:设置客户端保护。进入 IPS 设置,点击新增,设置好规则名称。源区域选择内网区,目的区域选择外网区,目的 IP 选择全部,勾选[保护客户端],并且选择相应的客户端漏洞。点击提交,保存规则即可。界面如下:
注意:
1、由于攻击服务器和客户端使用的攻击手段不同,所以设置保护客户端与保护服务器的客户端漏洞和服务器漏洞规则也是不同的。
2、一般情况下保护服务器源区域需要选择外网接口所属区域,目的区域选择内网接口所 属区域。保护客户端源区域选择内网接口所属区域,目的选择外网接口所属区域。
建议使用Chrome浏览器访问!
