一、接入配置

1、訪問地址：http://192.168.1.250/login.html，用戶名：admin，密碼：Woniu.1232、接入網(wǎng)絡(luò)最小化結(jié)構(gòu)，需要專門的一臺(tái)攻擊者主機(jī)用于進(jìn)行eth1和eth2之間的通信和攻擊模擬，不需要交換機(jī)介入

3、訪問目標(biāo)服務(wù)器URL，如果成功，則說明配置完成。4、進(jìn)入管理頁面，確認(rèn)一下各網(wǎng)口的狀態(tài)和IP地址，后續(xù)配置網(wǎng)關(guān)需要用到。請勿修改IP地址。?

二、配置內(nèi)置檢測規(guī)則

1、啟動(dòng)目標(biāo)服務(wù)器

啟動(dòng)目標(biāo)服務(wù)器，對接eth1口，設(shè)置IP地址為：192.168.100.50，確保啟動(dòng)Web服務(wù)并能正常訪問。

2、添加事件集

3、為事件集添加事件

（1）在剛才新增的事件集的右側(cè)操作菜單中，選擇”詳細(xì)“，進(jìn)入事件添加頁面。（2）點(diǎn)擊右上方的”添加事件“按鈕，并選擇”注入攻擊“類型。

（3）提交成功后，如圖所示：

（4）再次設(shè)置響應(yīng)模板，為該事件集中的所有事件配置”返回錯(cuò)誤頁面“的響應(yīng)處理方式。也可以先在事件響應(yīng)模板中新增后再選擇。

此時(shí)，事件集添加完成，但是還不能實(shí)現(xiàn)IPS的功能。還需要在攻擊機(jī)和目標(biāo)服務(wù)器之間配置連通性。

4、配置攻擊機(jī)和目標(biāo)服務(wù)器之間的連通性

（1）新建安全防護(hù)表

（2）新建安全策略

以類似的方式，再配置ge0/1到ge0/2的通信策略。至些，連通性配置成功。（3）在攻擊者主機(jī)上配置網(wǎng)關(guān)為192.168.200.254，并嘗試訪問目標(biāo)主機(jī)網(wǎng)站：http://192.168.100.50，如果訪問成功，則說明連通沒有問題。

5、攻擊模擬與防御測試

在攻擊者主機(jī)上構(gòu)造一些命令注入、SQL注入、XSS注入、反彈Shell等Payload，確認(rèn)是否被IPS攔截，并返回了403頁面。如果是，則內(nèi)置規(guī)則測試成功。

測試一下，將事件響應(yīng)模板修改為”重置“，看看會(huì)不什么不一樣的效果。

6、查看攻擊防御日志

三、自定義規(guī)則檢測

1、新增自定義特征事件

規(guī)則如下：

其他類型的特征定義類似。比如XSS的特征定義如下：

2、新增一個(gè)事件集，選擇新增的兩條自定義規(guī)則。并為其配置響應(yīng)模板。

3、添加防護(hù)表

4、在安全策略中，添加自建規(guī)則防護(hù)表，完成配置。5、進(jìn)行各類自定義規(guī)則的實(shí)驗(yàn)。作為練習(xí)，可以嘗試更多攻擊操作，也可以嘗試

四、其他協(xié)議的測試

IPS相對于WAF來說，可以支持更多的協(xié)議，幾乎囊括所有層協(xié)議，所以防御范圍更廣。

1、ICMP協(xié)議測試

嘗試在Windows中使用ping -l 200 192.168.100.50，看看是否能夠Ping通。

2、TCP的Payload過大

嘗試訪問一下PHPInfo頁面，由于該頁面的響應(yīng)內(nèi)容很長，所以會(huì)被該規(guī)則阻擋。而當(dāng)訪問一個(gè)數(shù)據(jù)量較小的頁面時(shí)，不會(huì)被阻擋。

3、利用TCP協(xié)議檢測MySQL的登錄事件

嘗試在攻擊者主機(jī)上登錄MySQL失敗，確認(rèn)IPS是否存在預(yù)警。（此處建議設(shè)置動(dòng)作為”通過“）。