IDP 策略规则和 IDP 规则库
本主题介绍 IDP 策略的结构和组成部分,包括规则库,规则库是定义如何检查流量和检测威胁的规则集合。它还涵盖了不同类型的规则库。管理员可以使用 IDP 策略规则和规则库来有效保护其网络免受各种威胁的侵害。
IDP 策略由在规则库中组织的规则组成,这些规则分析网络流量以检测并缓解威胁。这些策略定义如何应用特定检测方法来识别潜在攻击并确定适当的安全作。
了解 IDP 策略规则库
规则库是一组有序的规则,使用特定的检测方法来识别和防止攻击。
规则是通过指定 IDP 系统应查看网络流量的哪一部分来查找攻击,从而为检测机制提供上下文的指令。匹配规则时,表示在网络流量中检测到攻击,从而触发该规则的作。IDP 系统执行指定的作并保护您的网络免受该攻击。
每个规则库可以有多个规则 - 您可以按所需顺序放置规则,以确定将规则应用于网络流量的顺序。IDP 系统中的每个规则库都使用特定的检测方法来识别和防止攻击。Junos OS 支持两种类型的规则库:入侵防御系统 (IPS) 规则库和豁免规则库。
了解 IDP 策略规则
入侵检测和防御 (IDP) 策略中的每条指令称为规则。规则是在规则库中创建的。
规则库是一组组合在一起以定义 IDP 策略的规则。规则通过指定 IDP 系统应查看网络流量的哪一部分来发现攻击,从而为检测机制提供上下文。匹配规则时,表示在网络流量中检测到攻击,从而触发该规则的作。IDP 系统执行指定的作并保护您的网络免受该攻击。
IDP 策略规则由以下组件组成:
了解 IDP 规则匹配条件
匹配条件指定您希望 IDP 监控攻击的网络流量类型。
匹配条件使用以下特征指定要监控的网络流量类型:
From-zone
和to-zone
—所有流量都从源流向目标区域。您可以为源或目标选择任何区域。您还可以使用区域例外来为每个设备指定唯一的区域。指定any
以监视传出和传到任何区域的网络流量。默认值为any
。注意:您可以指定
source-address
和source-except
地址from-zone
when 是any
。类似地,当为any
时to-zone
,可以指定destination-address
和destination-except
地址。Source IP address
- 指定网络流量的来源 IP 地址。您可以指定any
监控源自任何 IP 地址的网络流量。您还可以指定source-except
指定除指定地址以外的所有源。默认值为any
。Destination IP address
- 指定网络流量发送到的目标 IP 地址。您可以将其any
设置为监视发送到任何 IP 地址的网络流量。您还可以指定destination-except
除指定地址以外的所有目标。默认值为any
。-
Application
- 指定目标 IP 地址支持的应用层协议。您可以为所有应用程序指定any
,也可以指定一个应用程序,例如junos-bgp
。您可以为攻击对象中配置的应用程序指定default
规则,以将默认端口和自动检测到的端口与攻击对象中隐含的应用程序进行匹配。
了解 IDP 规则对象
对象是可应用于规则的可重用逻辑实体。您创建的每个对象都将添加到对象类型的数据库中。
您可以为 IDP 规则配置以下类型的对象。
区域对象
区域或安全区域是一个或多个网络接口的集合。IDP 使用基本系统中配置的区域对象。
地址或网络对象
地址对象表示网络的组件,例如主机、服务器和子网。您可以使用 IDP 策略规则中的地址对象来指定要保护的网络组件。
应用程序或服务对象
服务对象表示使用 TCP、UDP、RPC 和 ICMP 等传输层协议的网络服务。您可以使用规则中的服务对象来指定攻击用来访问您的网络的服务。瞻博网络提供预定义服务对象,即基于行业标准服务的服务对象数据库。如果需要添加预定义服务对象中未包含的服务对象,可以创建自定义服务对象。IDP 支持以下类型的服务对象:
Any
- 允许 IDP 匹配所有传输层协议。TCP
- 指定 TCP 端口或端口范围以匹配指定 TCP 端口的网络服务。您可以指定junos-tcp-any
为匹配所有 TCP 端口的服务。UDP
- 指定 UDP 端口或端口范围以匹配指定 UDP 端口的网络服务。您可以指定junos-udp-any
为匹配所有 UDP 端口的服务。RPC
- 指定远程过程调用(来自 Sun Microsystems 的 RPC)程序编号或程序编号范围。IDP 使用此信息来识别 RPC 会话。ICMP
- 指定属于 ICMP 数据包的类型和代码。您可以指定junos-icmp-all
以匹配所有 ICMP 服务。default
- 允许 IDP 将默认和自动检测到的协议与攻击对象中隐含的应用进行匹配。
攻击对象
IDP 攻击对象表示已知和未知攻击。IDP 包括一个预定义的攻击对象数据库,该数据库由瞻博网络定期更新。攻击对象在规则中指定,用于识别恶意活动。每次攻击都被定义为一个攻击对象,它表示一种已知的攻击模式。每当在受监控的网络流量中遇到这种已知的攻击模式时,都会匹配攻击对象。 表 1 描述了三种主要类型的攻击对象:
攻击对象 |
描述 |
---|---|
签名攻击对象 |
签名攻击对象使用状态攻击签名检测已知攻击。攻击签名是攻击中始终存在的一种模式;如果存在攻击,则攻击签名也存在。借助状态式签名,IDP 可以查找用于实施攻击的特定协议或服务、攻击的方向和流程以及攻击发生的上下文。状态式签名几乎不会产生误报,因为攻击的上下文已经定义,从而消除了不会发生攻击的大量网络流量部分。 |
协议异常攻击对象 |
协议异常攻击对象可识别网络上的异常活动。它们根据所使用的特定协议的一组规则检测连接中的异常或模棱两可的消息。协议异常检测的工作原理是查找与协议标准的偏差,这些偏差通常由 RFC 和常见 RFC 扩展定义。大多数合法流量都遵循既定协议。否则,流量将产生异常,攻击者可能会出于特定目的(例如规避入侵防御系统 (IPS))而创建这种异常。 |
复合攻击对象 |
复合攻击对象将多个签名和/或协议异常组合到单个对象中。流量必须与所有组合签名和/或协议异常匹配,才能匹配复合攻击对象;您可以指定签名或异常必须匹配的顺序。使用复合攻击对象来完善 IDP 策略规则、减少误报并提高检测准确性。通过复合攻击对象,您可以非常具体地了解在 IDP 将流量识别为攻击之前需要发生的事件。您可以使用 |
攻击对象组
IDP 包含大量预定义的攻击对象。为了帮助保持 IDP 策略井井有条且可管理,可以对攻击对象进行分组。一个攻击对象组可以包含一个或多个不同类型的攻击对象。Junos OS 支持以下三种类型的攻击组:
预定义攻击对象组 - 包含特征码数据库中存在的对象。预定义的攻击对象组本质上是动态的。例如,FTP:次要组选择应用程序 - FTP 和严重性 - 次要的所有攻击。如果在安全数据库中引入了严重程度较轻的新 FTP 攻击,则默认情况下会将其添加到 FTP: 次要组。
动态攻击组 — 包含基于特定匹配条件的攻击对象。例如,动态组可以包含与应用程序相关的所有攻击。在签名更新期间,动态组成员身份将根据该组的匹配条件自动更新。
对于使用方向过滤器的动态攻击组,应在排除值中使用表达式
and
。与所有过滤器一样,默认表达式为or
。但是,在方向滤波器的情况下可以选择。and
例如,如果要选择客户端到服务器方向的所有攻击,请使用
set security idp dynamic-attack-group dyn1 filters direction values client-to-server
命令配置方向过滤器在链式攻击的情况下,多个成员中的每一个都有自己的方向。如果策略包含链式攻击,则客户端到服务器过滤器会选择以客户端到服务器为方向的所有成员进行链式攻击。这意味着,如果链至少有一个成员以客户端到服务器为方向,则选择包含以服务器到客户端或 ANY 为方向的成员的链式攻击。
您可以使用以下命令查看特定攻击对象组(预定义、动态和自定义攻击组)中的攻击对象以及预定义攻击对象所属的组:
show security idp attack attack-list attack-group group-name
show security idp attack group-list attack-name
show security idp attack attack-list attack-group group-name
使用命令可以:查看指定攻击组中存在的所有攻击的列表,例如自定义、动态和预定义组。
指定组的名称,如 predefined-group <predefined-group-name> 或 dynamic-group <dynamic-group-name> 或 custom-group <custom-group-name> 以显示该组中的攻击列表。
show security idp attack group-list
使用命令查看预定义攻击所属的攻击组列表。注意:如果预定义的攻击组没有定义的过滤器,则此类组不会显示为攻击的成员。
show security idp attack attack-list policy policy-name
使用命令查看配置的 IDP 策略中可用的攻击。如果将 IDP 策略配置为包含属于各种攻击组的特定攻击,则冗余攻击名称将作为攻击的一部分显示在 IDP 策略命令输出中。以前,IDP 签名更新仅支持过滤器下的 9 个标记。这七个标记分别是类别、方向、误报、性能、产品、推荐、服务、严重性和供应商。IDP 签名更新现在支持过滤器下的四个新附加标记,用于在现有 9 个标记的基础上创建更复杂的动态组。
其他标记包括:
通用漏洞评分系统 (CVSS)(以 0 到 10 之间的数字来衡量。该值是一个实数,包括十进制值。因此,数字值(如 5.5)也是有效的 CVSS 分数。
攻击年龄(以年数和(0 到 100 年)之间的愤怒为单位)。例如:大于或小于年)
文件类型(例如:MPEG、MP4、PPT、*.doc 等)
漏洞类型(例如:缓冲区溢出、注入、释放后使用、跨站点脚本 (XSS)、远程代码执行 (RCE) 等。
此外,用于配置现有产品和供应商标签的 CLI 界面对用户更加友好,可以进行配置。
供应商(例如:Microsoft、Apple、Red Hat、Google、Juniper、Cisco、Oracle 等。
产品(例如:Office、数据库、Firefox、Chrome、Flash、DirectX、Java、Kerberos 等。
要防止将这些连锁攻击添加到策略中,请按如下方式配置动态组:
set security idp dynamic-attack-group dyn1 filters direction expression and
set security idp dynamic-attack-group dyn1 filters direction values client-to-server
set security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-client
set security idp dynamic-attack-group dyn1 filters direction values exclude-any
自定义攻击组 — 包含客户定义的攻击组,可通过 CLI 进行配置。它们可以包含特定的预定义攻击、自定义攻击、预定义的攻击组或动态攻击组。它们本质上是静态的,因为攻击是在组中指定的。因此,当安全数据库更新时,攻击组不会更改。
您可以在租户和逻辑系统模式下的 IPS/豁免规则下的预定义攻击和攻击组中查看 IPS 策略。使用命令、 show security idp attack attack-group-entries
、 show security idp attack attack-list
和 show security idp attack group-list
可在逻辑系统和租户模式下查看 IPS 策略。
了解 IDP 规则作
Actions 指定当受监控的流量与规则中指定的攻击对象匹配时,您希望 IDP 执行的作。
表 2 显示了可以为 IDP 规则指定的作:
术语 |
定义 |
---|---|
No Action |
不执行任何作。如果您只想为某些流量生成日志,请使用此作。 |
Ignore Connection |
如果发现攻击匹配,则停止扫描流量以查找连接的其余部分。IDP 禁用特定连接的规则库。
注意:
此作并不意味着忽略攻击。 |
Diffserv Marking |
在攻击中,将指示的差异服务代码点 (DSCP) 值分配给数据包,然后正常传递数据包。 请注意,DSCP 值不应用于被检测为攻击的第一个数据包,而是应用于后续数据包。 |
Drop Packet |
在匹配数据包到达目的地之前将其丢弃,但不会关闭连接。使用此作可在容易发生欺骗的流量(如 UDP 流量)中丢弃攻击的数据包。断开此类流量的连接可能会导致拒绝服务,从而阻止您接收来自合法源 IP 地址的流量。
注意:
如果使用任何应用的自定义签名中定义的非数据包上下文配置了 IDP 策略,并且具有丢弃数据包的作,则当 IDP 识别到攻击时,解码器会将drop_packet提升为drop_connection。对于DNS协议攻击,情况并非如此。当发现攻击时,DNS 解码器不会将drop_packet提升为drop_connection。这将确保仅丢弃 DNS 攻击流量,并继续处理有效的 DNS 请求。这也将避免有效 TCP DNS 请求的 TCP 重传。 |
Drop Connection |
丢弃与连接关联的所有数据包,阻止连接的流量到达其目标。使用此作可断开不容易发生欺骗的流量的连接。 |
Close Client |
关闭连接并向客户端(但不向服务器)发送 RST 数据包。 |
Close Server |
关闭连接并向服务器(但不向客户端)发送 RST 数据包。 |
Close Client and Server |
关闭连接并向客户端和服务器发送 RST 数据包。 |
Recommended |
所有预定义的攻击对象都有一个与之关联的默认作。这是瞻博网络在检测到该攻击时建议采取的措施。
注意:
仅 IPS 规则库支持此作。 推荐 — 瞻博网络认为是严重威胁的所有攻击对象的列表,按类别组织。
|
了解 IDP 规则 IP作
IP作是应用于使用相同 IP作属性的未来连接的作。例如,您可以在规则中配置一个 IP作,以便在检测到主机之间的会话遭到攻击时,阻止两个主机之间将来的所有 HTTP 会话。或者,您可以指定一个超时值,该超时值定义仅当在该指定超时值内启动新会话时才应应用该作。IP作的默认超时值为 0,这意味着 IP作永远不会超时。
知识产权行动与其他行动类似;它们指示 IDP 断开或关闭连接。但是,由于您现在还拥有攻击者的 IP 地址,因此您可以选择在指定时间内阻止攻击者。如果攻击者无法立即重新获得与网络的连接,他们可能会尝试攻击更容易的目标。将 IP作与作和日志记录结合使用,以保护您的网络。
IP作属性是以下字段的组合:
源 IP 地址
目标 IP 地址
目标端口
从区域
协议
表 3 总结了 IDP 规则支持的 IP作类型:
术语 |
定义 |
---|---|
Notify |
不会对未来的流量采取任何措施,但会记录事件。这是默认设置。 |
Drop/Block Session |
与 IP作规则匹配的任何会话的所有数据包都将以静默方式丢弃。 |
Close Session |
通过向客户端和服务器发送 RST 数据包来关闭与此 IP作规则匹配的任何新会话。 |
当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP作。最严重的 IP作是“关闭会话”作,其次是“丢弃/阻止会话”作,然后是“通知”作。
对中心点进行增强后,系统具有以下限制:
每个 SPU 的最大活动模式
ip-action
数量限制为 600000 个条目。达到此限制时,将无法在 SPU 上创建新的活动模式ip-action
条目。每个 SPU 的最大所有模式(主动模式和被动模式)
ip-action
条目数限制为 1200000 个。达到此限制时,将无法在 SPU 上创建新的活动模式ip-action
条目。运行
clear ip-action
命令时,ip-action
将通过响铃消息删除条目。当 CPU 使用率较高时,已删除的响铃消息将被丢弃并由活动模式ip-action
重新发送。由于删除过程需要时间,因此在运行show ip-action
命令时可以看到很少ip-action
的条目。
在未进行中心点增强的设备上,仅存在活动模式 ip-action
,最大 ip-action
数量限制为 600000。当达到此限制时,您将无法创建新的活动模式 ip-action
条目。
了解 IDP 规则通知
通知定义在执行作时如何记录信息。检测到攻击时,可以选择记录攻击并创建包含攻击信息的日志记录,并将该信息发送到日志服务器。
通过使用通知,您还可以配置以下选项,指示日志服务器对为每个规则生成的日志执行特定作:
Set Alerts
- 为 IDP 策略中的规则指定警报选项。当规则匹配时,相应的日志记录会在日志查看器的警报列中显示警报。安全管理员使用警报来了解重要的安全事件并对其做出反应。Set Severity Level
- 在日志记录中设置严重性级别,以支持在日志服务器上更好地组织和显示日志记录。您可以使用所选攻击对象的默认严重性设置,也可以为规则选择特定的严重性。您在规则中配置的严重性将覆盖继承的攻击严重性。您可以将严重性级别设置为以下级别:信息 - 2
警告 - 3
未成年人 - 4
专业 - 5
严重 - 7
示例:在 IDP 规则库中插入规则
此示例说明如何在 IDP 规则库中插入规则。
要求
开始之前:
配置网络接口。
在规则库中定义规则。请参阅 示例:定义 IDP IPS 规则库的规则。
概述
IDP 规则匹配算法从规则库顶部开始,根据规则库中匹配指定匹配条件的所有规则检查流量。您可以通过将规则按所需顺序放置来确定将规则应用于网络流量的顺序。将规则添加到规则库时,该规则将放在现有规则列表的末尾。若要将规则放置在规则库末尾以外的任何其他位置,请 insert 将规则放置在规则库中的所需位置。此示例将规则 R2 置于名为 base-policy 的策略中的 IDP IPS 规则库中的规则 R1 之前。
配置
程序
分步过程
要在规则库中插入规则,请执行以下作:
根据您希望评估规则的顺序定义规则在规则库中的位置。
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security idp status
命令。
示例:停用和激活 IDP 规则库中的规则
此示例说明如何停用和激活规则库中的规则。
要求
开始之前:
配置网络接口。
在规则库中定义规则。请参阅 示例:定义 IDP IPS 规则库的规则。
概述
在规则库中,您可以使用 deactivate
和 activate
命令禁用和启用规则。 deactivate
命令会从配置中注释掉指定的语句。发出 commit
命令后,已停用的规则不生效。命令会 activate
将指定的语句添加回配置中。已激活的规则将在下次发出 commit
命令时生效。此示例说明如何在与名为 base-policy 的策略关联的 IDP IPS 规则库中停用和重新激活规则 R2。
配置
程序
分步过程
要停用和激活规则库中的规则,请执行以下作:
指定要停用的规则。
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
激活规则。
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security idp status
命令。
了解 IDP 应用级 DDoS 规则库
应用级 DDoS 规则库定义了用于保护服务器(如 DNS 或 HTTP)免受应用级分布式拒绝服务 (DDoS) 攻击的参数。您可以根据正常的服务器活动请求设置自定义应用程序指标,以确定何时应将客户端视为攻击客户端。然后,应用级 DDoS 规则库用于定义应监控流量的源匹配条件,然后执行定义的作:关闭服务器、丢弃连接、丢包或不执行任何作。它还可以执行 IP作:ip 阻止、ip 关闭、ip 通知、ip 连接速率限制或超时。 表 4 总结了可在应用级 DDoS 规则库规则中配置的选项。
术语 |
定义 |
---|---|
Match condition |
指定您希望设备监控攻击的网络流量。 |
Action |
指定当受监控的流量与应用级 DDoS 规则中指定的应用 ddos 对象匹配时,您希望入侵检测和防御 (IDP) 执行哪些作。 |
IP Action |
允许您隐式阻止源地址,以保护网络免遭将来的入侵,同时允许合法流量。您可以在应用级 DDoS 中配置以下 IP作选项之一:ip-block、ip-close、ip-notify 和 ip-connection-rate-limit。 |
了解 IDP IPS 规则库
入侵防御系统 (IPS) 规则库通过使用攻击对象检测已知和未知攻击来保护您的网络免受攻击。它基于状态式签名和协议异常检测攻击。 表 5 汇总了可在 IPS 规则库规则中配置的选项。
术语 |
定义 |
---|---|
Match condition |
指定您希望设备监控攻击的网络流量类型。有关匹配条件的详细信息,请参阅 了解 IDP 策略规则。 |
Attack objects/groups |
指定您希望设备在受监控的网络流量中匹配的攻击。每次攻击都被定义为一个攻击对象,它表示一种已知的攻击模式。有关攻击对象的详细信息,请参阅 了解 IDP 策略规则。 |
Terminal flag |
指定终端规则。当终端规则匹配时,设备将停止匹配会话的规则。有关终端规则的更多信息,请参阅 了解 IDP 终端规则 。 |
Action |
指定当监控的流量与规则中指定的攻击对象匹配时,您希望系统采取的作。如果攻击触发了多个规则作,则会执行这些规则中最严重的作。有关作的详细信息,请参阅 了解 IDP 策略规则。 |
IP Action |
允许您在允许合法流量的同时保护网络免遭未来入侵。您可以在 IPS 规则库中配置以下 IP作选项之一:通知、删除或关闭。有关 IP作的详细信息,请参阅 了解 IDP 策略规则。 |
Notification |
定义在执行作时如何记录信息。您可以选择记录攻击,创建包含攻击信息的日志记录,并将信息发送到日志服务器。有关更多信息,请参阅 了解 IDP 策略规则。 |
示例:定义 IDP IPS 规则库的规则
此示例说明如何为 IDP IPS 规则库定义规则。
要求
概述
每个规则由匹配条件、对象、作和通知组成。定义 IDP 规则时,必须指定希望 IDP 使用以下特征监控攻击的网络流量类型:源区域、目标区域、源 IP 地址、目标 IP 地址以及目标 IP 地址支持的应用层协议。规则在规则库中定义,而规则库与策略相关联。
此示例介绍如何创建名为 base-policy 的策略,为此策略指定规则库,然后将规则 R1 添加到此规则库。在此示例中,规则 R1:
指定匹配条件以包括从称为 trust 的先前配置的区域到另一个先前配置的区域(名为 untrust)的任何流量。匹配条件还包括预定义的攻击组“严重 - TELNET”。匹配条件 default 中的应用程序设置为 和 匹配攻击对象中配置的任何应用程序。
指定与规则 R1 条件匹配的任何流量的断开连接的作。
启用攻击日志记录,并指定将警报标志添加到攻击日志中。
将严重性级别指定为 critical。
定义规则后,将 base-policy 指定为设备上的活动策略。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit]
级的 CLI 中,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为 IDP IPS 规则库定义规则,请执行以下作:
通过为其分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略相关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
将规则添加到规则库。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
将攻击定义为匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
为规则指定作。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
为规则指定通知和日志记录选项。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
设置规则的严重性级别。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp
命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy { rulebase-ips { rule R1 { match { from-zone trust; source-address any; to-zone untrust; destination-address any; application default; attacks { predefined-attack-groups Critical-TELNET; } } then { action { drop-connection; } notification { log-attacks { alert; } } severity critical; } } } } active-policy base-policy;
如果完成设备配置,请从配置模式输入 commit
。
了解 IDP 豁免规则库
豁免规则库与入侵防御系统 (IPS) 规则库协同工作,以防止生成不必要的告警。您可以在此规则库中配置规则,以排除已知的误报,或排除特定源、目标或源/目标对与 IPS 规则匹配。如果流量与 IPS 规则库中的规则匹配,系统会先尝试将流量与豁免规则库进行匹配,然后再执行指定的作。在豁免规则库中仔细编写的规则可以显著减少 IPS 规则库生成的误报数。
在以下条件下配置豁免规则库:
当 IDP 规则使用的攻击对象组包含一个或多个攻击对象时,这些攻击对象会产生误报或不相关的日志记录。
当您想要将特定源、目标或源/目标对排除在与 IDP 规则匹配的匹配项中时。这样可以防止 IDP 生成不必要的告警。
请确保在配置豁免规则库之前配置 IPS 规则库。
表 6 总结了可以在 exempt-rulebase 规则中配置的选项。
术语 |
定义 |
---|---|
Match condition |
指定您希望设备以与 IPS 规则库中相同的方式监控攻击的网络流量类型。但是,在豁免规则库中,您无法配置应用程序;它始终设置为 |
Attack objects/groups |
指定您 not 希望设备在受监控的网络流量中匹配的攻击对象。 |
支持日志记录以进行豁免规则匹配
IDP 中的豁免规则用于排除记录的特定类型的攻击或某些类型的流量,以便重点针对具有潜在威胁的事件。但是,由于存在豁免规则,一些有用的信息可能会丢失。
我们在 IDP 系统中引入了豁免规则日志记录,可用于监控和分析流量模式、检测潜在安全威胁以及排除网络问题。管理员可以检查日志,深入了解不受 IDP 规则约束的流量类型,并就网络策略做出明智的决策。
豁免规则的日志记录功能在规则级别启用。这可确保对安全事件进行精细化的监控和分析,从而增强系统的可见性。
以下是 IDP 策略中对豁免规则的日志记录支持示例:
user@host# set security idp idp-policy Sample-IPS-Policy rulebase-exempt rule Exempt-rule then notification log-attacks alert
哪里
项目 | 名称 |
---|---|
策略名称 | sample-ips-policy |
规则名称 | 豁免规则 |
下面是一个示例日志事件:
IDP_RULEBASE_EXEMPT_LOG_EVENT
RT_IDP: IDP_RULEBASE_EXEMPT_LOG_EVENT: IDP: at 1687773425, ANOMALY Attack log <IP/50852->IP/80> for TCP protocol and service HTTP application GOOGLE-GEN by rule 4 of rulebase-exempt IPS in policy Space-IPS-Policy. attack: id=1555, repeat=0, action=NONE, threat-severity=HIGH, name=HTTP:INVALID:MSNG-HTTP-VER, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:untrust:xe-0/0/0.0->trust:xe-0/0/1.0, alert=yes, username=N/A, roles=N/A, xff-header=N/A, cve-id=2022-21907, session-id=42
示例:定义 IDP 豁免规则库的规则
此示例说明如何为豁免 IDP 规则库定义规则。
要求
开始之前,请在 IDP IPS 规则库中创建规则。请参阅 示例:定义 IDP IPS 规则库的规则。
概述
创建豁免规则时,必须指定以下内容:
您要豁免的流量的来源和目标。您可以将源或目标
Any
设置为,以豁免源自任何源或发送到任何目标的网络流量。您还可以设置source-except
或destination-except
指定除指定源地址或目标地址之外的所有源或目标。注意:您现在可以指定
source-address
和source-except
地址from-zone
when 是any
。类似地,当为any
时to-zone
,可以指定destination-address
和destination-except
地址。您希望 IDP 为指定的源/目标地址免除的攻击。您必须在豁免规则中至少包含一个攻击对象。
此示例显示 IDP 策略为内部网络上的攻击 FTP:USER:ROOT 生成误报。您可以配置规则,以便在源 IP 来自内部网络时免除对此攻击的攻击检测。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit]
级的 CLI 中,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为豁免 IDP 规则库定义规则,请执行以下作:
指定要为其定义和豁免规则库的 IDP IPS 规则库。
[edit] user@host# edit security idp idp-policy base-policy
将豁免规则库与策略和区域相关联,并向规则库添加规则。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
指定规则库的源地址和目标地址。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
指定要免于攻击检测的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp
命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy { rulebase-exempt { rule R1 { match { from-zone trust; source-address internal-devices; to-zone any; destination-address any; attacks { predefined-attacks FTP:USER:ROOT; } } } } active-policy base-policy;
如果完成设备配置,请从配置模式输入 commit
。
了解 IDP 终端规则
入侵检测和防御 (IDP) 规则匹配算法从规则库顶部开始,根据规则库中与源、目标和服务匹配的所有规则检查流量。但是,您可以将规则配置为 终端规则。终端规则是此算法的例外。在源、目标、区域和应用程序的终端规则中发现匹配项时,IDP 不会继续检查同一源、目标和应用程序的后续规则。流量是否与匹配规则中的攻击对象匹配并不重要。
您可以将终端规则用于以下目的:
为同一源和目标的不同攻击设置不同的作。
忽略源自已知可信源的流量。通常,作适用于
None
此类终端规则。忽略发送到仅易受特定攻击的服务器的流量。通常,作适用于
Drop Connection
此类终端规则。
定义终端规则时要小心。不适当的终端规则可能会使您的网络容易受到攻击。请记住,与终端规则的源、目标和应用匹配的流量不会与后续规则进行比较,即使流量与终端规则中的攻击对象不匹配也是如此。仅当要检查一组特定攻击对象的特定类型的流量时,才使用终端规则。请特别注意同时用于 any
源和目标的终端规则。终端规则应显示在规则库顶部附近,先于匹配相同流量的其他规则。
示例:在规则库中设置终端规则
此示例说明如何配置终端规则。
要求
开始之前:
配置网络接口。
在安全策略中启用 IDP 应用服务。
创建安全区域。请参阅 示例:创建安全区域。
定义规则。请参阅 示例:在 IDP 规则库中插入规则 。
概述
默认情况下,IDP 规则库中的规则不是终端,这意味着 IDP 会检查规则库中的所有规则并执行所有匹配项。您可以指定规则为终端;也就是说,如果 IDP 遇到与终端规则中指定的源、目标和服务的匹配项,则不会检查该连接的任何后续规则。
此示例说明如何配置终端规则。您可以定义规则 R2,以便在流量的源 IP 来自公司中已知的可信网络时终止匹配算法。如果匹配此规则,IDP 将忽略来自可信网络的流量,并且不会监控会话中的恶意数据。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit]
级的 CLI 中,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置终端规则:
创建 IDP 策略。
[edit] user@host# set security idp idp-policy base-policy
定义规则并设置其匹配条件。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
设置规则的终端标志。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
指定要免于攻击检测的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
为规则指定作。
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
结果
在配置模式下,输入 show security idp
命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy { rulebase-ips { rule R2 { match { source-address internal; destination-address any; attacks { predefined-attacks FTP:USER:ROOT; } } then { action { recommended; } } terminal; } } }
如果完成设备配置,请从配置模式输入 commit
。
了解 IDP 策略中的 DSCP 规则
差异服务代码点 (DSCP) 是在 IP 数据包标头中定义的 6 位字段中编码的整数值。它用于强制实施服务等级 (CoS) 区分。CoS 允许您覆盖默认数据包转发行为,并为特定流量分配服务级别。
您可以将 DSCP 值配置为 IDP 策略规则中的作。您首先通过在 IDP 策略中定义匹配条件来定义流量,然后将 DiffServ 标记作与之关联。行为聚合分类器根据 DSCP 值设置流量的转发类和丢包优先级,从而决定流量接收的转发处理。
与 IDP 策略规则匹配的所有数据包的 IP 报头中的 CoS 字段都将使用匹配策略中指定的 DSCP 值重写。如果流量与多个具有不同 DSCP 值的规则匹配,则匹配的第一个 IDP 规则生效,然后此 IDP 规则应用于该会话的所有流量。
示例:在 IDP 策略中配置 DSCP 规则
此示例说明如何在 IDP 策略中配置 DSCP 值。
要求
开始之前:
配置网络接口
在安全策略中启用 IDP 应用服务
创建安全区域
定义规则
概述
通过在 IDP 策略中配置 DSCP 值,可为网络上不同类型的流量关联 CoS 值,从而实现不同级别的可靠性。
此示例说明如何创建名为 policy1 的策略,为此策略指定规则库,然后将规则 R1 添加到此规则库。在此示例中,规则 R1:
指定匹配条件以包括从以前配置的区域(称为信任)到另一个以前配置的区域(称为不信任)的任何流量。匹配条件还包括一个名为“HTTP - 严重”的预定义攻击组。匹配条件中的应用程序设置被指定为默认设置,并匹配攻击对象中配置的任何应用程序。
指定一个作,用于为符合规则 R1 条件的任何流量重写 IP 报头中的 DSCP 值 50 的 CoS 字段。
注意:使用命令
show security idp attack attack-list recursive predefined-group "HTTP - Critical"
查看预定义组“HTTP - Critical”中包含的内容的详细信息。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit]
级的 CLI 中,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要在 IDP 策略中配置 DSCP 值,请执行以下作:
通过为其分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略相关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
将规则添加到规则库。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
为规则指定作。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
如果需要,请继续为规则指定任何通知或日志记录选项。
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp
命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy{ rulebase-ips { rule R1 { match { from-zone trust; source-address any; to-zone untrust; destination-address any; application default; attacks { predefined-attack-groups HTTP-Critical; } } then { action { mark-diffserv { 50; } } } } } active-policy base-policy;
如果完成设备配置,请从配置模式输入 commit
。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。