IDP 策略规则和 IDP 规则库
入侵检测和防御 (IDP) 策略是规则和规则库的集合。
有关详细信息,请参阅以下主题:
了解 IDP 策略规则库
规则库是一组有序的规则,它们使用特定的检测方法来识别和防止攻击。
规则是通过指定 IDP 系统应查找网络流量的哪一部分来查找攻击来为检测机制提供上下文的说明。当规则匹配时,表示已在网络流量中检测到攻击,从而触发该规则的操作。IDP 系统会执行指定的操作并保护您的网络免受该攻击。
每个规则库可以有多个规则 - 您可以通过按所需顺序放置规则来确定规则应用于网络流量的顺序。IDP 系统中的每个规则库都使用特定的检测方法来识别和防止攻击。Junos OS 支持两种类型的规则库 — 入侵防御系统 (IPS) 规则库和豁免规则库。
了解 IDP 策略规则
入侵检测和防御 (IDP) 策略中的每个指令称为一个规则。规则是在规则库中创建的。
规则库是一组组合起来定义 IDP 策略的规则。规则通过指定 IDP 系统应查找网络流量的哪个部分来查找攻击,从而为检测机制提供上下文。当规则匹配时,表示已在网络流量中检测到攻击,从而触发该规则的操作。IDP 系统会执行指定的操作并保护您的网络免受该攻击。
IDP 策略规则由以下组件组成:
了解 IDP 规则匹配条件
匹配条件指定您希望 IDP 监控攻击的网络流量类型。
匹配条件使用以下特征来指定要监视的网络流量类型:
From-zone和to-zone— 从源区域流向目标区域的所有流量。可以为源或目标选择任何区域。还可以使用区域例外为每个设备指定唯一的区域传入和传出区域。指定any以监视源自和流向任何区域的网络流量。默认值为any。注意:您可以指定
source-address和source-except地址from-zone何时any为 。同样,当to-zone为any时,您可以指定destination-address和destination-except地址。Source IP address— 指定网络流量源自的源 IP 地址。您可以指定any监控源自任何 IP 地址的网络流量。还可以指定source-except指定除指定地址之外的所有源。默认值为any。Destination IP address- 指定网络流量发送到的目标 IP 地址。您可以将其设置为以any监控发送到任何 IP 地址的网络流量。您还可以指定destination-except指定除指定地址之外的所有目标。默认值为any。-
Application— 指定目标 IP 地址支持的应用层协议。您可以为所有应用程序指定any,也可以指定应用程序,例如junos-bgp.您可以为default攻击对象中配置的应用程序指定规则,以便将默认端口和自动检测到的端口与攻击对象中隐含的应用程序匹配。
了解 IDP 规则对象
对象是可应用于规则的可重用逻辑实体。您创建的每个对象都将添加到该对象类型的数据库中。
您可以为 IDP 规则配置以下类型的对象。
区域对象
区域或安全区域是一个或多个网络接口的集合。IDP 使用在基本系统中配置的区域对象。
地址或网络对象
地址对象表示网络的组件,例如主机、服务器和子网。您可以使用 IDP 策略规则中的地址对象来指定要保护的网络组件。
应用程序或服务对象
服务对象表示使用传输层协议(如 TCP、UDP、RPC 和 ICMP)的网络服务。您可以在规则中使用服务对象来指定攻击用于访问您的网络的服务。瞻博网络提供预定义的服务对象,即基于行业标准服务的服务对象数据库。如果需要添加预定义服务对象中未包含的服务对象,则可以创建自定义服务对象。IDP 支持以下类型的服务对象:
Any— 允许 IDP 匹配所有传输层协议。TCP— 指定 TCP 端口或端口范围以匹配指定 TCP 端口的网络服务。您可以指定junos-tcp-any匹配所有 TCP 端口的服务。UDP— 指定 UDP 端口或端口范围以匹配指定 UDP 端口的网络服务。您可以指定junos-udp-any匹配所有 UDP 端口的服务。RPC- 指定远程过程调用(来自 Sun Microsystems 的 RPC)程序编号或程序编号范围。IDP 使用此信息来识别 RPC 会话。ICMP— 指定作为 ICMP 数据包一部分的类型和代码。您可以指定junos-icmp-all匹配所有 ICMP 服务。default— 允许 IDP 将默认和自动检测到的协议与攻击对象中隐含的应用程序进行匹配。
攻击对象
IDP 攻击对象表示已知和未知攻击。IDP 包括一个由瞻博网络定期更新的预定义攻击对象数据库。规则中指定攻击对象以识别恶意活动。每个攻击都定义为一个攻击对象,它表示一种已知的攻击模式。每当在受监视的网络流量中遇到这种已知的攻击模式时,就会匹配攻击对象。 表 1 描述了三种主要类型的攻击对象:
攻击对象 |
描述 |
|---|---|
签名攻击对象 |
特征码攻击对象使用状态攻击特征码检测已知攻击。攻击签名是攻击中始终存在的模式;如果存在攻击,则攻击签名也会存在。借助状态签名,IDP 可以查找用于实施攻击的特定协议或服务、攻击的方向和流程以及攻击发生的上下文。有状态签名产生的误报很少,因为攻击的上下文是定义的,从而消除了不会发生攻击的大量网络流量。 |
协议异常攻击对象 |
协议异常攻击对象可识别网络上的异常活动。它们根据所使用的特定协议的规则集检测连接中的异常或不明确消息。协议异常检测的工作原理是查找与协议标准的偏差,协议标准通常由 RFC 和常见 RFC 扩展定义。大多数合法流量都遵循既定协议。不这样做的流量会产生异常,攻击者可能会出于特定目的(例如逃避入侵防御系统 (IPS))创建异常。 |
复合攻击对象 |
复合攻击对象将多个签名和/或协议异常组合到单个对象中。流量必须匹配所有组合签名和/或协议异常,以匹配复合攻击对象;您可以指定签名或异常必须匹配的顺序。使用复合攻击对象优化 IDP 策略规则、减少误报并提高检测准确性。复合攻击对象使您能够非常具体地了解在 IDP 将流量识别为攻击之前需要发生的事件。您可以使用 |
攻击对象组
IDP 包含大量预定义的攻击对象。为了帮助保持 IDP 策略的井井有条且易于管理,可以对攻击对象进行分组。一个攻击对象组可以包含一个或多个不同类型的攻击对象。Junos OS 支持以下三种类型的攻击组:
预定义的攻击对象组 — 包含特征库中存在的对象。预定义的攻击对象组本质上是动态的。例如,FTP:次要组选择应用程序 - FTP 和严重性 - 次要的所有攻击。如果在安全数据库中引入了严重性较小的新 FTP 攻击,则默认情况下会将其添加到“FTP: 次要”组中。
动态攻击组 - 包含基于特定匹配条件的攻击对象。例如,动态组可以包含与应用程序相关的所有攻击。在签名更新期间,动态组成员身份将根据该组的匹配条件自动更新。
对于使用方向筛选器的动态攻击组,应在排除值中使用表达式
and。与所有过滤器一样,默认表达式为or。但是,在方向过滤器的情况下可以选择and。例如,如果要选择客户端到服务器方向的所有攻击,请使用命令配置
set security idp dynamic-attack-group dyn1 filters direction values client-to-server方向过滤器在链式攻击的情况下,多个成员中的每一个都有自己的方向。如果策略包含链式攻击,则客户端到服务器过滤器会选择以客户端到服务器为方向的任何成员的所有链式攻击。这意味着,如果链至少有一个成员以客户端到服务器为方向,则会选择包含以服务器到客户端或 ANY 为方向的成员的链攻击。
您可以使用以下命令查看特定攻击对象组(预定义攻击组、动态攻击组和自定义攻击组)中存在的攻击对象以及预定义攻击对象所属的组:
show security idp attack attack-list attack-group group-nameshow security idp attack group-list attack-name
使用命令可以
show security idp attack attack-list attack-group group-name:查看指定攻击组(如自定义组、动态组和预定义组)中存在的所有攻击的列表。
指定组的名称,例如预定义组<预定义组名称>或动态组<动态组名称>或自定义组<自定义组名称>以显示该组中的攻击列表。
使用该
show security idp attack group-list命令可以查看预定义攻击所属的攻击组列表。注意:如果预定义的攻击组没有定义的过滤器,则此类组不会显示为攻击的成员。
使用该
show security idp attack attack-list policy policy-name命令查看已配置的 IDP 策略中可用的攻击。如果将 IDP 策略配置为包含属于各种攻击组的特定攻击,则冗余攻击名称将作为攻击的一部分显示在 IDP 策略命令输出中。以前,IDP 签名更新仅支持过滤器下的九个标签。这七个标记是类别、方向、误报、性能、产品、推荐、服务、严重性和供应商。IDP 签名更新现在在过滤器下支持四个新的附加标签,用于在现有的九个标签之外创建更复杂的动态组。
附加标记包括:
通用漏洞评分系统 (CVSS)(以 0 到 10 之间的数字来衡量。该值是包含十进制值的实数。因此,诸如 5.5 之类的数字值也是有效的 CVSS 分数。
攻击年龄(以年和愤怒(0 到 100 年)为单位)。例如:大于或小于年)
文件类型(例如:MPEG、MP4、PPT、*.doc等)
漏洞类型(例如:缓冲区溢出、注入、释放后使用、跨站脚本 (XSS)、远程代码执行 (RCE) 等。
此外,用于配置现有产品和供应商标签的 CLI 界面更加用户友好,并提供了可能的补全功能以供配置。
供应商(例如:Microsoft、Apple、Red Hat、Google、Juniper、Cisco、Oracle 等。
产品(例如:Office、Database、Firefox、Chrome、Flash、DirectX、Java、Kerberos 等)
要防止将这些链攻击添加到策略中,请按如下所示配置动态组:
set security idp dynamic-attack-group dyn1 filters direction expression andset security idp dynamic-attack-group dyn1 filters direction values client-to-serverset security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-clientset security idp dynamic-attack-group dyn1 filters direction values exclude-any
自定义攻击组 — 包含客户定义的攻击组,可通过 CLI 进行配置。它们可以包含特定的预定义攻击、自定义攻击、预定义攻击组或动态攻击组。它们本质上是静态的,因为攻击是在组中指定的。因此,更新安全数据库时,攻击组不会更改。
从 Junos 版本 21.2R3 开始,您可以在租户和逻辑系统模式下的预定义攻击和 IPS/豁免规则下的攻击组中查看 IPS 策略。使用命令、 show security idp attack attack-group-entries、 show security idp attack attack-list和 show security idp attack group-list 在逻辑系统和租户模式下查看 IPS 策略。
了解 IDP 规则操作
Actions 指定当受监控的流量与规则中指定的攻击对象匹配时,您希望 IDP 采取的操作。
表 2 显示了可以为 IDP 规则指定的操作:
术语 |
定义 |
|---|---|
No Action |
不执行任何操作。当您只想为某些流量生成日志时,请使用此操作。 |
Ignore Connection |
如果发现攻击匹配项,则停止扫描连接其余部分的流量。IDP 禁用特定连接的规则库。
注意:
此操作并不意味着忽略攻击。 |
Diffserv Marking |
在攻击中将指示的差异服务代码点 (DSCP) 值分配给数据包,然后正常传递数据包。 请注意,DSCP 值不会应用于被检测为攻击的第一个数据包,而是应用于后续数据包。 |
Drop Packet |
在匹配的数据包到达其目标之前将其丢弃,但不关闭连接。使用此操作可丢弃容易发生欺骗的流量(如 UDP 流量)中的攻击的数据包。断开此类流量的连接可能会导致拒绝服务,从而阻止您从合法的源 IP 地址接收流量。
注意:
当使用在任何应用程序的自定义签名中定义的非数据包上下文配置 IDP 策略并具有操作丢弃数据包时,当 IDP 识别攻击时,解码器会将drop_packet提升为 drop_connection。对于 DNS 协议攻击,情况并非如此。DNS 解码器不会在发现攻击时将drop_packet提升为drop_connection。这将确保仅丢弃 DNS 攻击流量,并继续处理有效的 DNS 请求。这也将避免有效 TCP DNS 请求的 TCP 重新传输。 |
Drop Connection |
丢弃与连接关联的所有数据包,阻止连接的流量到达其目标。使用此操作可丢弃不容易发生欺骗的流量的连接。 |
Close Client |
关闭连接并将 RST 数据包发送到客户端,但不发送到服务器。 |
Close Server |
关闭连接并将 RST 数据包发送到服务器,但不发送到客户端。 |
Close Client and Server |
关闭连接并将 RST 数据包同时发送到客户端和服务器。 |
Recommended |
所有预定义的攻击对象都有一个与之关联的默认操作。这是瞻博网络在检测到攻击时建议采取的措施。
注意:
仅 IPS 规则库支持此操作。 推荐 —瞻博网络认为是严重威胁的所有攻击对象的列表,按类别进行组织。
|
了解 IDP 规则 IP 操作
IP 操作是应用于使用相同 IP 操作属性的未来连接的操作。例如,您可以在规则中配置 IP 操作,以便在主机之间的会话上检测到攻击时阻止两个主机之间的所有未来 HTTP 会话。或者,您可以指定一个超时值,该值定义仅当在该指定超时值内启动新会话时,才应应用操作。IP 操作的默认超时值为 0,这意味着 IP 操作永远不会超时。
知识产权行动与其他行动类似;他们指示 IDP 断开连接或关闭连接。但是,由于您现在还拥有攻击者的 IP 地址,因此您可以选择在指定的时间内阻止攻击者。如果攻击者无法立即重新获得与您的网络的连接,他们可能会尝试攻击更容易的目标。将 IP 操作与操作和日志记录结合使用,以保护您的网络。
IP 操作属性是以下字段的组合:
源 IP 地址
目标 IP 地址
目标端口
从区域
协议
表 3 总结了 IDP 规则支持的 IP 操作类型:
术语 |
定义 |
|---|---|
Notify |
不对将来的流量执行任何操作,但会记录事件。这是默认设置。 |
Drop/Block Session |
与 IP 操作规则匹配的任何会话的所有数据包都将以静默方式丢弃。 |
Close Session |
通过向客户端和服务器发送 RST 数据包来关闭与此 IP 操作规则匹配的任何新会话。 |
当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP 操作。最严重的 IP 操作是“关闭会话”操作,下一个严重性是“丢弃/阻止会话”操作,然后是“通知”操作。
对中心点进行增强后,系统具有以下限制:
每个 SPU 的最大活动模式
ip-action数限制为 600000 个条目。达到此限制时,您无法在 SPU 上创建新的主动模式ip-action条目。每个 SPU 的最大所有模式(主动模式和被动模式)
ip-action数量限制为 1200000 个条目。达到此限制时,您无法在 SPU 上创建新的主动模式ip-action条目。运行命令
clear ip-action时,ip-action将通过环消息删除条目。当 CPU 使用率较高时,已删除的振铃消息将被丢弃并由活动模式ip-action重新发送。由于删除过程需要时间,因此在运行show ip-action命令时可以看到很少ip-action的条目。
在未执行中心点增强功能的设备上,仅存在活动模式 ip-action ,最大 ip-action 数量限制为 600000。达到此限制时,无法创建新的主动模式 ip-action 条目。
了解 IDP 规则通知
通知定义在执行操作时如何记录信息。检测到攻击时,您可以选择记录攻击并使用攻击信息创建日志记录,并将该信息发送到日志服务器。
通过使用通知,您还可以配置以下选项,指示日志服务器对为每个规则生成的日志执行特定操作:
Set Alerts- 为 IDP 策略中的规则指定警报选项。匹配规则时,相应的日志记录会在日志查看器的警报列中显示警报。安全管理员使用警报来了解重要安全事件并做出反应。Set Severity Level- 在日志记录中设置严重性级别,以支持在日志服务器上更好地组织和显示日志记录。您可以使用所选攻击对象的默认严重性设置,也可以为规则选择特定的严重性。您在规则中配置的严重性将覆盖继承的攻击严重性。可以将严重性级别设置为以下级别:信息 - 2
警告 - 3
次要 - 4
专业 - 5
严重 - 7
示例:在 IDP 规则库中插入规则
此示例说明如何在 IDP 规则库中插入规则。
要求
准备工作:
配置网络接口。
在规则库中定义规则。请参阅示例:为 IDP IPS 规则库定义规则。
概述
IDP 规则匹配算法从规则库的顶部开始,并根据规则库中与指定匹配条件匹配的所有规则检查流量。您可以通过按所需顺序放置规则来确定规则应用于网络流量的顺序。将规则添加到规则库时,该规则将放置在现有规则列表的末尾。要将规则放置在规则库末尾以外的任何其他位置, insert 请将规则放置在规则库中的所需位置。此示例将规则 R2 放在 IDP IPS 规则库中名为基本策略的策略中的规则 R1 之前。
配置
程序
分步过程
要在规则库中插入规则:
根据您希望评估规则的顺序定义规则在规则库中的位置。
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security idp status 命令。
示例:停用和激活 IDP 规则库中的规则
此示例说明如何停用和激活规则库中的规则。
要求
准备工作:
配置网络接口。
在规则库中定义规则。请参阅示例:为 IDP IPS 规则库定义规则。
概述
在规则库中,您可以使用和activate命令禁用deactivate和启用规则。该命令会deactivate从配置中注释掉指定的语句。已停用的规则在发出commit命令时不会生效。该命令将activate指定的语句添加回配置。已激活的规则将在您下次发出commit命令时生效。此示例说明如何在与名为基本策略的策略关联的 IDP IPS 规则库中停用和重新激活规则 R2。
配置
程序
分步过程
要停用和激活规则库中的规则,请执行以下操作:
指定要停用的规则。
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
激活规则。
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security idp status 命令。
了解 IDP 应用程序级 DDoS 规则库
应用程序级 DDoS 规则库定义了用于保护服务器(如 DNS 或 HTTP)免受应用程序级分布式拒绝服务 (DDoS) 攻击的参数。您可以根据正常的服务器活动请求设置自定义应用程序指标,以确定何时应将客户端视为攻击客户端。然后,应用级 DDoS 规则库用于定义应监控的流量的源匹配条件,然后执行定义的操作:关闭服务器、丢弃连接、丢弃数据包或不执行任何操作。它还可以执行 IP 操作:IP 阻止、IP 关闭、IP 通知、IP 连接速率限制或超时。 表 4 汇总了您可以在应用程序级 DDoS 规则库规则中配置的选项。
术语 |
定义 |
|---|---|
Match condition |
指定希望设备监控攻击的网络流量。 |
Action |
指定当受监控的流量与应用程序级 DDoS 规则中指定的应用程序 DDoS 对象匹配时,您希望入侵检测和防御 (IDP) 执行的操作。 |
IP Action |
允许您隐式阻止源地址以保护网络免受将来的入侵,同时允许合法流量。您可以在应用程序级 DDoS 中配置以下 IP 操作选项之一:ip-block、ip-close、ip 通知和 ip 连接速率限制。 |
了解 IDP IPS 规则库
入侵防御系统 (IPS) 规则库通过使用攻击对象检测已知和未知攻击来保护您的网络免受攻击。它根据状态签名和协议异常检测攻击。 表 5 总结了您可以在 IPS 规则库规则中配置的选项。
术语 |
定义 |
|---|---|
Match condition |
指定希望设备监控攻击的网络流量类型。有关匹配条件的更多信息,请参阅 了解 IDP 策略规则。 |
Attack objects/groups |
指定您希望设备在受监视的网络流量中匹配的攻击。每个攻击都定义为一个攻击对象,它表示一种已知的攻击模式。有关攻击对象的更多信息,请参阅 了解 IDP 策略规则。 |
Terminal flag |
指定终端规则。当终端规则匹配时,设备将停止匹配会话的规则。有关终端规则的详细信息,请参阅 了解 IDP 终端规则 。 |
Action |
指定当监控流量与规则中指定的攻击对象匹配时,您希望系统采取的操作。如果攻击触发了多个规则操作,则会执行这些规则中最严重的操作。有关操作的更多信息,请参阅 了解 IDP 策略规则。 |
IP Action |
使您能够保护网络免受将来的入侵,同时允许合法流量。您可以在 IPS 规则库中配置以下 IP 操作选项之一:通知、丢弃或关闭。有关 IP 操作的详细信息,请参阅 了解 IDP 策略规则。 |
Notification |
定义在执行操作时如何记录信息。您可以选择记录攻击、使用攻击信息创建日志记录以及将信息发送到日志服务器。有关更多信息,请参阅 了解 IDP 策略规则。 |
示例:为 IDP IPS 规则库定义规则
此示例说明如何为 IDP IPS 规则库定义规则。
要求
概述
每个规则都由匹配条件、对象、操作和通知组成。定义 IDP 规则时,必须使用以下特征指定希望 IDP 监控攻击的网络流量类型:源区域、目标区域、源 IP 地址、目标 IP 地址以及目标 IP 地址支持的应用层协议。规则在规则库中定义,规则库与策略相关联。
此示例介绍如何创建名为 base-policy 的策略,为此策略指定规则库,然后将规则 R1 添加到此规则库。在此示例中,规则 R1:
指定匹配条件,以包括从以前 trust 配置的区域调用到另一个以前 untrust配置的区域称为 的任何流量。匹配条件还包括预定义的攻击组“严重”- TELNET。匹配条件 default 中的应用程序设置为和匹配攻击对象中配置的任何应用程序。
指定一个操作,以丢弃与规则 R1 条件匹配的任何流量的连接。
启用攻击日志记录并指定将警报标志添加到攻击日志中。
将严重性级别指定为 critical。
定义规则后,将基本策略指定为设备上的活动策略。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为 IDP IPS 规则库定义规则,请执行以下操作:
通过为其分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
向规则库添加规则。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
将攻击定义为匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
为规则指定操作。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
指定规则的通知和日志记录选项。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
设置规则的严重性级别。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups Critical-TELNET;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy base-policy;
如果完成设备配置,请从配置模式输入 commit 。
了解 IDP 豁免规则库
豁免规则库与入侵防御系统 (IPS) 规则库协同工作,以防止生成不必要的警报。您可以在此规则库中配置规则以排除已知误报,或从匹配 IPS 规则中排除特定源、目标或源/目标对。如果流量与 IPS 规则库中的规则匹配,则系统会在执行指定的操作之前尝试将流量与豁免规则库进行匹配。在豁免规则库中仔细编写规则可以显著减少 IPS 规则库生成的误报数。
在以下条件下配置豁免规则库:
当 IDP 规则使用包含一个或多个产生误报或不相关日志记录的攻击对象的攻击对象组时。
当您要从匹配 IDP 规则中排除特定源、目标或源/目标对时。这可以防止 IDP 生成不必要的警报。
请确保在配置豁免规则库之前配置 IPS 规则库。
表 6 汇总了您可以在豁免规则库规则中配置的选项。
术语 |
定义 |
|---|---|
Match condition |
指定您希望设备以与 IPS 规则库中相同的方式监控攻击的网络流量类型。但是,在豁免规则库中,您无法配置应用程序;它始终设置为 |
Attack objects/groups |
指定您希望 not 设备在受监控的网络流量中匹配的攻击对象。 |
示例:为 IDP 豁免规则库定义规则
此示例说明如何为豁免 IDP 规则库定义规则。
要求
开始之前,请在 IDP IPS 规则库中创建规则。请参阅示例:为 IDP IPS 规则库定义规则。
概述
创建豁免规则时,必须指定以下内容:
要豁免的流量的源和目标。您可以将源或目标
Any设置为以免除源自任何源或发送到任何目标的网络流量。您还可以设置source-except或destination-except指定除指定源地址或目标地址之外的所有源或目标地址。注意:现在,您可以指定
source-address和source-except地址from-zone何时为any。同样,当to-zone为any时,您可以指定destination-address和destination-except地址。您希望 IDP 免除指定源/目标地址的攻击。豁免规则中必须至少包含一个攻击对象。
此示例显示 IDP 策略为内部网络上的攻击 FTP:USER:ROOT 生成误报。您可以将规则配置为在源 IP 来自内部网络时免除此攻击的攻击检测。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为豁免 IDP 规则库定义规则,请执行以下操作:
指定要为其定义并免除规则库的 IDP IPS 规则库。
[edit] user@host# edit security idp idp-policy base-policy
将豁免规则库与策略和区域关联,并向规则库添加规则。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
指定规则库的源地址和目标地址。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
指定要从攻击检测中免除的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-exempt {
rule R1 {
match {
from-zone trust;
source-address internal-devices;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
}
}
active-policy base-policy;
如果完成设备配置,请从配置模式输入 commit 。
了解 IDP 终端规则
入侵检测和防御 (IDP) 规则匹配算法从规则库顶部开始,根据规则库中与源、目标和服务匹配的所有规则检查流量。但是,您可以将规则配置为 终端。终端规则是此算法的例外。在源、目标、区域和应用程序的终端规则中发现匹配项时,IDP 不会继续检查同一源、目标和应用程序的后续规则。流量是否与匹配规则中的攻击对象匹配并不重要。
您可以将终端规则用于以下目的:
为同一源和目标的不同攻击设置不同的操作。
忽略源自已知可信源的流量。通常,该操作适用于
None此类终端规则。忽略发送到仅易受一组特定攻击的服务器的流量。通常,该操作适用于
Drop Connection此类终端规则。
定义终端规则时要小心。不适当的终端规则可能会使您的网络容易受到攻击。请记住,与终端规则的源、目标和应用匹配的流量不会与后续规则进行比较,即使流量与终端规则中的攻击对象不匹配也是如此。仅当您要检查一组特定攻击对象的特定类型的流量时,才使用终端规则。请特别注意同时用于 any 源和目标的终端规则。终端规则应先于与相同流量匹配的其他规则显示在规则库顶部附近。
示例:在规则库中设置终端规则
此示例说明如何配置终端规则。
要求
准备工作:
配置网络接口。
在安全策略中启用 IDP 应用程序服务。
创建安全区域。请参见 示例:创建安全区域。
定义规则。请参阅 示例:在 IDP 规则库中插入规则 。
概述
默认情况下,IDP 规则库中的规则不是终端,这意味着 IDP 会检查规则库中的所有规则并执行所有匹配项。您可以指定规则为终端;也就是说,如果 IDP 遇到终端规则中指定的源、目标和服务匹配项,则不会检查该连接的任何后续规则。
此示例说明如何配置终端规则。您可以定义规则 R2,以便在流量的源 IP 源自公司中已知的可信网络时终止匹配算法。如果匹配此规则,IDP 将忽略来自可信网络的流量,并且不会监控会话中的恶意数据。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置终端规则:
创建 IDP 策略。
[edit] user@host# set security idp idp-policy base-policy
定义规则并设置其匹配标准。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
设置规则的终端标志。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
指定要从攻击检测中免除的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
为规则指定操作。
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
结果
在配置模式下,输入 show security idp 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R2 {
match {
source-address internal;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
recommended;
}
}
terminal;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
了解 IDP 策略中的 DSCP 规则
差分服务代码点 (DSCP) 是在 IP 数据包标头中定义的 6 位字段中编码的整数值。它用于强制实施服务等级 (CoS) 区分。CoS 允许您覆盖默认数据包转发行为,并为特定流量分配服务级别。
您可以将 DSCP 值配置为 IDP 策略规则中的操作。首先通过在 IDP 策略中定义匹配条件来定义流量,然后将 DiffServ 标记操作与其关联。根据 DSCP 值,行为聚合分类器为决定流量接收的转发处理的流量设置转发类和丢失优先级。
所有与 IDP 策略规则匹配的数据包都会使用匹配策略中指定的 DSCP 值重写其 IP 标头中的 CoS 字段。如果流量与具有不同 DSCP 值的多个规则匹配,则匹配的第一个 IDP 规则将生效,然后此 IDP 规则将应用于该会话的所有流量。
示例:在 IDP 策略中配置 DSCP 规则
此示例说明如何在 IDP 策略中配置 DSCP 值。
要求
准备工作:
配置网络接口
在安全策略中启用 IDP 应用程序服务
创建安全区域
定义规则
概述
在 IDP 策略中配置 DSCP 值提供了一种为网络上不同类型的流量关联 CoS 值的方法,从而实现不同级别的可靠性。
此示例演示如何创建名为 policy1 的策略,为此策略指定规则库,然后将规则 R1 添加到此规则库。在此示例中,规则 R1:
指定匹配条件,以包括从以前配置的区域(称为信任)到另一个以前配置的区域(称为不信任)的任何流量。匹配条件还包括一个名为“HTTP - 严重”的预定义攻击组。匹配条件中的应用程序设置被指定为默认值,并与攻击对象中配置的任何应用程序匹配。
指定一个操作,对于与规则 R1 条件匹配的任何流量,使用 DSCP 值 50 重写 IP 报头中的 CoS 字段。
注意:使用命令
show security idp attack attack-list recursive predefined-group "HTTP - Critical"查看预定义组“HTTP - 严重”中包含的内容的详细信息。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要在 IDP 策略中配置 DSCP 值,请执行以下操作:
通过为其分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
向规则库添加规则。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
为规则指定操作。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
如果需要,继续为规则指定任何通知或日志记录选项。
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security idp
idp-policy base-policy{
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups HTTP-Critical;
}
}
then {
action {
mark-diffserv {
50;
}
}
}
}
}
active-policy base-policy;
如果完成设备配置,请从配置模式输入 commit 。
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。