一、接入配置

1、访问地址：http://192.168.1.250/login.html，用户名：admin，密码：Woniu.1232、接入网络最小化结构，需要专门的一台攻击者主机用于进行eth1和eth2之间的通信和攻击模拟，不需要交换机介入

3、访问目标服务器URL，如果成功，则说明配置完成。4、进入管理页面，确认一下各网口的状态和IP地址，后续配置网关需要用到。请勿修改IP地址。 

二、配置内置检测规则

1、启动目标服务器

启动目标服务器，对接eth1口，设置IP地址为：192.168.100.50，确保启动Web服务并能正常访问。

2、添加事件集

3、为事件集添加事件

（1）在刚才新增的事件集的右侧操作菜单中，选择”详细“，进入事件添加页面。（2）点击右上方的”添加事件“按钮，并选择”注入攻击“类型。

（3）提交成功后，如图所示：

（4）再次设置响应模板，为该事件集中的所有事件配置”返回错误页面“的响应处理方式。也可以先在事件响应模板中新增后再选择。

此时，事件集添加完成，但是还不能实现IPS的功能。还需要在攻击机和目标服务器之间配置连通性。

4、配置攻击机和目标服务器之间的连通性

（1）新建安全防护表

（2）新建安全策略

以类似的方式，再配置ge0/1到ge0/2的通信策略。至些，连通性配置成功。（3）在攻击者主机上配置网关为192.168.200.254，并尝试访问目标主机网站：http://192.168.100.50，如果访问成功，则说明连通没有问题。

5、攻击模拟与防御测试

在攻击者主机上构造一些命令注入、SQL注入、XSS注入、反弹Shell等Payload，确认是否被IPS拦截，并返回了403页面。如果是，则内置规则测试成功。

测试一下，将事件响应模板修改为”重置“，看看会不什么不一样的效果。

6、查看攻击防御日志

三、自定义规则检测

1、新增自定义特征事件

规则如下：

其他类型的特征定义类似。比如XSS的特征定义如下：

2、新增一个事件集，选择新增的两条自定义规则。并为其配置响应模板。

3、添加防护表

4、在安全策略中，添加自建规则防护表，完成配置。5、进行各类自定义规则的实验。作为练习，可以尝试更多攻击操作，也可以尝试

四、其他协议的测试

IPS相对于WAF来说，可以支持更多的协议，几乎囊括所有层协议，所以防御范围更广。

1、ICMP协议测试

尝试在Windows中使用ping -l 200 192.168.100.50，看看是否能够Ping通。

2、TCP的Payload过大

尝试访问一下PHPInfo页面，由于该页面的响应内容很长，所以会被该规则阻挡。而当访问一个数据量较小的页面时，不会被阻挡。

3、利用TCP协议检测MySQL的登录事件

尝试在攻击者主机上登录MySQL失败，确认IPS是否存在预警。（此处建议设置动作为”通过“）。