1、环境描述
网络中安装H3C F1030防火墙,版本号为7.1.064,Release 9360P27 V7版本,流量通过核心交换机通过流镜像,把网络中所有流量镜像到防火墙GigabitEthernet1/0/15接口,通过防火墙对网络流量进行IPS入侵防御、AV防病毒、URL特征库、ACG应用识别分析。
新建安全策略调用上述分析策略,但防火墙安全策略无流量匹配,这是因为旁路镜像部署需要配置inline黑洞,否则设备不转发流量,所以策略中没有命中次数。
二、设备配置
1、设备命令行配置
vlan 2
quit
interface GigabitEthernet1/0/15
port link-mode bridge
port access vlan 2
security-zone name analyze
import interface GigabitEthernet1/0/15 vlan 1 to 4094
#创建安全策略,全通分析
security-policy ip
rule 0 name analyze
action pass
counting enable
profile 0_IPv4
#
#安全策略调用分析
app-profile 0_IPv4
ips apply policy default mode protect
data-filter apply policy default
url-filter apply policy default
file-filter apply policy default
anti-virus apply policy default mode protect
waf apply policy default mode protect
apt apply policy default
#
2、防火墙WEB界面中开启黑洞功能
创建黑洞模式接口对,并添加成员接口 选择“网络 > 接口 > 接口对> 接口对“,进入接口对页面。
将G1/0/15接口设置为黑洞模式,这样就可以看到安全策略就有流量计数,检测安全策略就有安全防护的日志了。