IDP 策略规则和 IDP 规则库
入侵检测和防御 (IDP) 策略是规则和规则库的集合。
有关更多信息,请参阅以下主题:
了解 IDP 策略规则库
规则库是一组有序的规则,使用特定的检测方法来识别和阻止攻击。
规则是通过指定 IDP 系统为了查找攻击而应查看网络流量的哪一部分来为检测机制提供上下文的指令。匹配规则时,表示已在网络流量中检测到攻击,从而触发该规则的操作。IDP 系统会执行指定的操作并保护您的网络免受该攻击。
每个规则库都可以包含多个规则— 您可以按所需顺序来决定将规则应用于网络流量的顺序。IDP 系统中的每个规则库都使用特定的检测方法来识别和阻止攻击。Junos OS 支持两种类型的规则库:入侵防御系统 (IPS) 规则库和豁免规则库。
了解 IDP 策略规则
入侵检测和防御 (IDP) 策略中的每个指令都称为规则。规则是在规则库中创建的。
规则库是一组规则,它们组合在一起即可定义 IDP 策略。规则指定 IDP 系统应查看网络流量的哪一部分以查找攻击,从而为检测机制提供上下文。匹配规则时,表示已在网络流量中检测到攻击,从而触发该规则的操作。IDP 系统会执行指定的操作并保护您的网络免受该攻击。
IDP 策略规则由以下组件组成:
了解 IDP 规则匹配条件
匹配条件指定希望 IDP 监控攻击的网络流量类型。
匹配条件使用以下特征指定要监控的网络流量类型:
From-zone
和to-zone
—所有流量都从一个源流向目标区域。您可以选择源或目标的任何区域。您还可以使用区域例外为每个设备指定区域间的唯一性。指定any
以监控来自任何区域和流向任何区域的网络流量。默认值any
为。注意:您可以指定
source-address
并source-except
解决何时from-zone
是any
。同样,何时to-zone
是any
,您可以指定destination-address
和destination-except
地址。Source IP address
- 指定网络流量发源的源 IP 地址。您可以指定any
以监控源自任何 IP 地址的网络流量。您还可以指定source-except
以指定除指定地址之外的所有源。默认值any
为。Destination IP address
- 指定网络流量发送到的目标 IP 地址。您可以将此any
设置为监控发送到任何 IP 地址的网络流量。您还可以指定destination-except
以指定除指定地址之外的所有目标。默认值any
为。Application
- 指定目标 IP 地址支持的应用层协议。您可以为所有应用程序指定any
,也可以default
指定在规则的攻击对象中配置的应用程序。
了解 IDP 规则对象
对象是可重用的逻辑实体,可应用于规则。您创建的每个对象都会添加到该对象类型的数据库中。
您可以为 IDP 规则配置以下类型的对象。
区域对象
区域或安全区域是一个或多个网络接口的集合。IDP 使用在基本系统中配置的区域对象。
地址或网络对象
地址对象表示网络的组件,例如主机、服务器和子网。您可以使用 IDP 策略规则中的地址对象来指定要保护的网络组件。
应用程序或服务对象
服务对象表示使用传输层协议(如 TCP、UDP、RPC 和 ICMP)的网络服务。您可以在规则中使用服务对象来指定攻击访问您网络时使用的服务。瞻博网络提供预定义的服务对象,这是一个基于行业标准服务的服务对象数据库。如果需要添加预定义服务对象中不包括的服务对象,可以创建自定义服务对象。IDP 支持以下类型的服务对象:
Any
- 允许 IDP 匹配所有传输层协议。TCP
-指定 TCP 端口或端口范围,以匹配指定 TCP 端口的网络服务。您可以指定junos-tcp-any
以匹配所有 TCP 端口的服务。UDP
-指定 UDP 端口或端口范围,以匹配指定 UDP 端口的网络服务。您可以指定junos-udp-any
以匹配所有 UDP 端口的服务。RPC
- 指定远程过程调用(来自 Sun Microsystems 的 RPC)程序编号或程序编号范围。IDP 使用此信息来识别 RPC 会话。ICMP
- 指定属于 ICMP 数据包的类型和代码。您可以指定junos-icmp-all
以匹配所有 ICMP 服务。default
-允许 IDP 将默认和自动检测到的协议与攻击对象中暗示的应用程序匹配。
攻击对象
IDP 攻击对象表示已知和未知的攻击。IDP 包括由瞻博网络定期更新的预定义攻击对象数据库。在规则中指定攻击对象以识别恶意活动。每个攻击都定义为一个攻击对象,代表一种已知的攻击模式。每当受监控的网络流量中遇到这种已知攻击模式时,匹配攻击对象。 表 1 介绍了三种主要类型的攻击对象:
攻击对象 |
描述 |
---|---|
签名攻击对象 |
签名攻击对象使用状态攻击签名检测已知攻击。攻击签名是攻击中始终存在的一种模式;攻击存在时,攻击签名也存在。通过有状态的签名,IDP 可以查找用于实施攻击的特定协议或服务、攻击的方向和流向,以及发生攻击的背景。有状态的签名很少产生误报,因为已定义攻击上下文,从而消除了不会发生攻击的大量网络流量。 |
协议异常攻击对象 |
协议异常攻击对象可识别网络上的异常活动。它们根据正在使用的特定协议的一组规则,检测连接内的异常或模棱两可的消息。协议异常检测的工作原理是发现与协议标准的偏差,通常由 RFC 和常见 RFC 扩展定义。大多数合法流量遵循既定协议。不这样做的流量会产生异常,攻击者可能会出于特定目的(例如逃避入侵防御系统 (IPS) 而创建异常。 |
复合攻击对象 |
复合攻击对象将多个签名和/或协议异常组合为一个对象。流量必须匹配所有组合签名和/或协议异常,才能与复合攻击对象匹配;您可以指定签名或异常必须匹配的顺序使用复合攻击对象来优化 IDP 策略规则,减少误报并提高检测准确性。通过复合攻击对象,您可以在 IDP 将流量识别为攻击之前非常具体地了解需要发生的事件。您可以使用 |
攻击对象组
IDP 包含大量预定义的攻击对象。为了帮助保持 IDP 策略的组织和可管理性,可以对攻击对象进行分组。一个攻击对象组可以包含一个或多个不同类型的攻击对象。Junos OS 支持以下三种类型的攻击组:
预定义的攻击对象组 — 包含签名数据库中存在的对象。预定义的攻击对象组本质上是动态的。例如,FTP:次要组选择应用程序 - FTP 和严重性 - 次要的所有攻击。如果安全数据库中引入严重性较小的新 FTP 攻击,则此攻击将被添加到 FTP:默认情况下,次要组。
动态攻击组 — 根据特定匹配标准包含攻击对象。例如,一个动态组可以包含与应用程序相关的所有攻击。在签名更新期间,动态组成员身份将根据该组的匹配标准自动更新。
对于使用方向过滤器的动态攻击组,应将表达式
and
用于排除值。与所有过滤器一样,默认表达式为or
。但是,对于方向过滤器,可以选择and
。例如,如果您想选择具有客户端到服务器方向的所有攻击,请使用
set security idp dynamic-attack-group dyn1 filters direction values client-to-server
命令配置方向过滤器在发生链攻击时,每个多个成员都有自己的方向。如果策略包括链攻击,则客户端到服务器过滤器会选择以客户端到服务器为方向的任何成员的所有链攻击。这意味着,如果链至少有一个成员以客户端到服务器作为方向,则选择包含服务器到客户端或 ANY 作为方向的成员的链攻击。
您可以使用以下命令查看特定攻击对象组(预定义、动态和自定义攻击组)中存在的攻击对象以及预定义攻击对象所属的组:
show security idp attack attack-list attack-group group-name
show security idp attack group-list attack-name
show security idp attack attack-list attack-group group-name
使用命令可以:查看指定攻击组中存在的所有攻击列表,例如自定义、动态和预定义组。
指定组的名称,例如预定义的组<预定义组名称>或动态组<dynamic-group-name>或自定义组<custom-group-name>以显示该组中的攻击列表。
使用
show security idp attack group-list
命令查看预定义攻击所属的攻击组列表。注意:如果预定义的攻击组没有定义的过滤器,则此类组不会显示为攻击的成员。
使用
show security idp attack attack-list policy policy-name
命令查看配置的 IDP 策略中可用的攻击。如果将 IDP 策略配置为包含属于各种攻击组的特定攻击,则冗余攻击名称将显示在 IDP 策略命令输出中作为攻击的一部分。以前,IDP 签名更新在过滤器下仅支持 9 个标记。这七个标记包括类别、方向、误报、性能、产品、推荐、服务、严重性和供应商。除了现有的 9 个标记外,IDP 签名更新现在还支持在过滤器下创建四个新的附加标记,用于创建更复杂的动态组。
附加标记包括:
通用漏洞评分系统 (CVSS) (以 0 到 10 之间的数字测得。值是实数,包括十进制值。因此,5.5 等数字值也是有效的 CVSS 分数。)
攻击年龄(年和愤怒在(0至100年之间)。例如:大于或小于年限)
文件类型(例如:MPEG、MP4、PPT、*.doc 等)
漏洞类型(例如:缓冲区溢出、注入、自由使用、跨站点脚本 (XSS)、远程执行代码 (RCE) 等。
此外,用于配置现有产品和供应商标记的 CLI 界面更加方便用户使用,可以完成配置。
供应商(例如:Microsoft、Apple、Red Hat、Google、瞻博网络、Cisco、Oracle 等。
产品(例如:Office、数据库、Firefox、Chrome、Flash、DirectX、Java、Kerberos 等)
要防止将这些链攻击添加到策略中,请按如下配置动态组:
set security idp dynamic-attack-group dyn1 filters direction expression and
set security idp dynamic-attack-group dyn1 filters direction values client-to-server
set security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-client
set security idp dynamic-attack-group dyn1 filters direction values exclude-any
自定义攻击组 — 包含客户定义的攻击组,可通过 CLI 进行配置。它们可以包含特定的预定义攻击、自定义攻击、预定义攻击组或动态攻击组。它们本质上是静态的,因为这些攻击是在组中指定的。因此,更新安全数据库时,攻击组不会更改。
从 Junos 21.2R3 版开始,您可以在租户和逻辑系统模式下的 IPS/豁免规则下,查看预定义攻击和攻击组中的 IPS 策略。使用命令 、 show security idp attack attack-group-entries
show security idp attack attack-list
、 并show security idp attack group-list
查看逻辑系统和租户模式下的 IPS 策略。
了解 IDP 规则操作
Actions 指定了当受监控的流量与规则指定的攻击对象匹配时希望 IDP 采取的操作。
表 2 显示了可以为 IDP 规则指定的操作:
术语 |
定义 |
---|---|
No Action |
未采取任何操作。如果您只想为某些流量生成日志,请使用此操作。 |
Ignore Connection |
如果发现攻击匹配项,将停止扫描连接剩余部分的流量。IDP 禁用特定连接的规则库。
注意:
此操作并不意味着忽略攻击。 |
Diffserv Marking |
为攻击中的数据包分配指示的差异化服务代码点 (DSCP) 值,然后正常传递数据包。 请注意,DSCP 值不会应用于第一个被检测到攻击的数据包,而是应用于后续数据包。 |
Drop Packet |
在匹配数据包到达目标之前丢弃匹配的数据包,但不会关闭连接。使用此操作可以丢弃容易被欺骗的流量(如 UDP 流量)中遭受攻击的数据包。丢弃此类流量的连接可能会导致拒绝服务,从而阻止您从合法的源 IP 地址接收流量。
注意:
当 IDP 策略使用在任何应用程序的自定义签名中定义的非数据包上下文进行配置并具有操作丢弃数据包时,当 IDP 识别到攻击时,解码器会将drop_packet提升为drop_connection。当发生 DNS 协议攻击时,情况并非如此。在发现攻击时,DNS 解码器不会将drop_packet提升为drop_connection。这将确保仅丢弃 DNS 攻击流量,并继续处理有效的 DNS 请求。这还可以避免对有效 TCP DNS 请求进行 TCP 重新传输。 |
Drop Connection |
丢弃与连接关联的所有数据包,防止连接的流量到达其目标位置。使用此操作可以丢弃不易欺骗的流量的连接。 |
Close Client |
关闭连接并将 RST 数据包发送至客户端,但不会发送至服务器。 |
Close Server |
关闭连接并将 RST 数据包发送至服务器,但不会发送至客户端。 |
Close Client and Server |
关闭连接并向客户端和服务器发送一个 RST 数据包。 |
Recommended |
所有预定义的攻击对象都有与之关联的默认操作。这是瞻博网络在检测到这种攻击时建议的操作。
注意:
仅 IPS 规则库支持此操作。 推荐 - 瞻博网络认为是严重威胁的所有攻击对象列表,分为几类。
|
了解 IDP 规则 IP 操作
IP 操作是适用于未来使用相同的 IP 操作属性的连接的操作。例如,如果在两个主机之间的会话上检测到攻击,则可以在规则中配置 IP 操作,以阻止两个主机之间未来的所有 HTTP 会话。或者,您可以指定一个超时值,用于定义仅在新会话在该指定的超时值内启动时应应用操作。IP 操作的默认超时值为 0,这意味着 IP 操作永远不会超时。
IP 操作与其他操作相似;它们会引导 IDP 来丢弃或关闭连接但是,由于您现在也有攻击者的 IP 地址,因此您可以选择在指定时间内阻止攻击者。如果攻击者无法立即重新获得与您的网络连接,他们可能会尝试攻击更轻松的目标。将 IP 操作与操作和日志记录结合使用,保护您的网络。
IP 操作属性是以下字段的组合:
源 IP 地址
目标 IP 地址
目标端口
从区域
协议
表 3 汇总了 IDP 规则支持的 IP 操作类型:
术语 |
定义 |
---|---|
Notify |
不会对未来流量采取任何措施,但会记录事件。这是默认设置。 |
Drop/Block Session |
与 IP 操作规则匹配的任何会话的所有数据包都会以静默方式丢弃。 |
Close Session |
匹配此 IP 操作规则的任何新会话都通过向客户端和服务器发送 RST 数据包来关闭。 |
当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP 操作。最严重的 IP 操作是“关闭会话”操作,严重程度的下一个是“丢弃/阻止会话”操作,然后是“通知”操作。
增强中心点后,系统具有以下限制:
每个 SPU 的最大活动模式
ip-action
编号限制为 600000 个条目。达到此限制后,将无法在 SPU 上创建新的活动模式ip-action
条目。每个 SPU 的最大所有模式(主动模式和被动模式)
ip-action
编号限制为 1200000 个条目。达到此限制后,将无法在 SPU 上创建新的活动模式ip-action
条目。运行
clear ip-action
命令时,ip-action
将通过振铃消息删除这些条目。当 CPU 使用率高时,已删除的环消息会丢弃,并因活动模式ip-action
而重新发出。由于删除过程需要时间,运行命令时show ip-action
可以看到很少ip-action
的条目。
未实现中心点增强的设备上,仅存在活动模式 ip-action
,最大 ip-action
数量限制为 600000。达到此限制后,将无法创建新的活动模式 ip-action
条目。
了解 IDP 规则通知
通知定义在执行操作时如何记录信息。检测到攻击后,您可以选择记录攻击并使用攻击信息创建日志记录,并将这些信息发送到日志服务器。
通过使用通知,您还可以配置以下选项,指示日志服务器对为每个规则生成的日志执行特定操作:
Set Alerts
- 为 IDP 策略中的规则指定警报选项。匹配规则后,相应的日志记录在日志查看器的警报列中显示警报。安全管理员使用警报来了解重要安全事件并对其做出响应。Set Severity Level
-设置日志记录的严重性级别,以支持在日志服务器上更好地组织和呈现日志记录。您可以使用所选攻击对象的默认严重性设置,或者为规则选择特定的严重性。在规则中配置的严重性将覆盖继承的攻击严重性。您可以将严重性级别设置为以下级别:信息 — 2
警告 — 3
次要 — 4
专业 — 5
关键 — 7
示例:在 IDP 规则库中插入规则
此示例说明如何在 IDP 规则库中插入规则。
要求
开始之前:
配置网络接口。
在规则库中定义规则。请参阅 示例:为 IDP IPS 规则库定义规则。
概述
IDP 规则匹配算法从规则库的顶部开始,根据规则库中与指定匹配条件匹配的所有规则检查流量。您可以按所需顺序来确定规则应用于网络流量的顺序。将规则添加到规则库时,它将放置在现有规则列表的末尾。要将规则放置在规则库末尾以外的任何其他位置,则可以 insert 将规则置于规则库中的所需位置。此示例将规则 R2 置于 IDP IPS 规则库中名为 base-policy 的策略中,规则 R2 前置规则 R1。
配置
程序
逐步过程
在规则库中插入规则:
根据要评估规则的顺序,定义规则在规则库中的位置。
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
完成设备配置后,提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security idp status
命令。
示例:在 IDP 规则库中停用和激活规则
此示例说明如何停用和激活规则库中的规则。
要求
开始之前:
配置网络接口。
在规则库中定义规则。请参阅 示例:为 IDP IPS 规则库定义规则。
概述
在规则库中,您可以使用 and activate
命令禁用和启用规则deactivate
。命令会deactivate
注释掉配置中的指定语句。发出commit
命令时,已停用的规则不会生效。命令会将activate
指定的语句重新添加到配置中。已激活的规则在下次发出commit
命令时生效。此示例说明如何在与名为 base-policy 的策略关联的 IDP IPS 规则库中停用和重新激活规则 R2。
配置
程序
逐步过程
要停用并激活规则库中的规则:
指定要停用的规则。
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
激活规则。
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
完成设备配置后,提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security idp status
命令。
了解 IDP 应用程序级 DDoS 规则库
应用程序级 DDoS 规则库定义用于保护服务器(如 DNS 或 HTTP)免受应用程序级分布式拒绝服务 (DDoS) 攻击的参数。您可以根据正常的服务器活动请求设置自定义应用程序指标,以确定应将客户端视为攻击客户端的时刻。然后,应用级 DDoS 规则库用于定义应监控的流量的源匹配条件,然后采取定义的操作:关闭服务器、丢弃连接、丢弃数据包或不执行操作。它还可执行 IP 操作:ip 阻止、IP 关闭、ip-通知、ip-connection-rate-limit 或超时。 表 4 总结了可以在应用程序级 DDoS 规则库规则中配置的选项。
术语 |
定义 |
---|---|
Match condition |
指定您希望设备监控攻击的网络流量。 |
Action |
指定当受监控的流量与应用程序级 DDoS 规则指定的应用程序 ddos 对象匹配时,您希望入侵检测和防御 (IDP) 采取的操作。 |
IP Action |
允许您隐式阻止源地址,以保护网络免受未来入侵,同时允许合法流量。您可以在应用级 DDoS 中配置以下 IP 操作选项之一:ip 阻止、ip 关闭、ip 通知和 IP 连接速率限制。 |
了解 IDP IPS 规则库
入侵防御系统 (IPS) 规则库使用攻击对象检测已知和未知的攻击,保护您的网络免遭攻击。它可以基于状态签名和协议异常检测攻击。 表 5 汇总了可以在 IPS 规则库规则中配置的选项。
术语 |
定义 |
---|---|
Match condition |
指定您希望设备监控攻击的网络流量类型。有关匹配条件的更多信息,请参阅 了解 IDP 策略规则。 |
Attack objects/groups |
指定您希望设备在受监控的网络流量中匹配的攻击。每个攻击都定义为一个攻击对象,代表一种已知的攻击模式。有关攻击对象的更多信息,请参阅 了解 IDP 策略规则。 |
Terminal flag |
指定终端规则。匹配终端规则时,设备将停止会话的匹配规则。有关终端规则的详细信息,请参阅 了解 IDP 终端规则 。 |
Action |
指定当受监控的流量与规则中指定的攻击对象匹配时,您希望系统采取的操作。如果攻击触发了多个规则操作,则会执行这些规则中最严重的操作。有关操作的更多信息,请参阅 了解 IDP 策略规则。 |
IP Action |
允许您保护网络免受未来入侵,同时允许合法流量。您可以在 IPS 规则库中配置以下 IP 操作选项之一 —通知、丢弃或关闭。有关 IP 操作的更多信息,请参阅 了解 IDP 策略规则。 |
Notification |
定义在执行操作时如何记录信息。您可以选择记录攻击,使用攻击信息创建日志记录,并将信息发送到日志服务器。有关更多信息,请参阅 了解 IDP 策略规则。 |
示例:为 IDP IPS 规则库定义规则
此示例说明如何为 IDP IPS 规则库定义规则。
要求
概述
每个规则都由匹配条件、对象、操作和通知组成。定义 IDP 规则时,必须使用以下特征指定希望 IDP 监控攻击的网络流量类型:源区域、目标区域、源 IP 地址、目标 IP 地址和目标 IP 地址支持的应用层协议。规则在规则库中定义,规则库与策略相关联。
此示例介绍如何创建名为 base-policy 的策略,为此策略指定规则库,然后将规则 R1 添加到此规则库。在此示例中,规则 R1:
指定匹配条件,以包括来自之前配置的区域所调用 trust 到之前配置的另一名为 untrust区域的任何流量。匹配条件还包括预定义的攻击组严重 - TELNET。匹配条件中的应用程序设置匹配 default 在攻击对象中配置的任何应用程序。
为符合规则 R1 标准的任何流量指定丢弃连接的操作。
启用攻击日志记录并指定将警报标志添加到攻击日志中。
将严重级别指定为 critical。
定义规则后,将基本策略指定为设备上的活动策略。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 CLI 中 [edit]
,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为 IDP IPS 规则库定义规则:
通过为策略分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略相关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
将规则添加到规则库。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
将攻击定义为匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
为规则指定操作。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
为规则指定通知和日志记录选项。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
设置规则的严重性级别。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入命令以确认 show security idp
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy { rulebase-ips { rule R1 { match { from-zone trust; source-address any; to-zone untrust; destination-address any; application default; attacks { predefined-attack-groups Critical-TELNET; } } then { action { drop-connection; } notification { log-attacks { alert; } } severity critical; } } } } active-policy base-policy;
完成设备配置后,请从配置模式进入 commit
。
了解 IDP 豁免规则库
豁免规则库与入侵防御系统 (IPS) 规则库协同工作,以防止生成不必要的警报。您可以在此规则库中配置规则,以排除已知误报,或者将特定的源、目标或源/目标对排除为与 IPS 规则匹配。如果流量与 IPS 规则库中的规则匹配,系统将尝试将流量与豁免规则库匹配,然后执行指定的操作。在豁免规则库中谨慎编写规则可以显著减少 IPS 规则库生成的误报数。
在以下条件下配置豁免规则库:
当 IDP 规则使用包含一个或多个产生误报或不相关的日志记录的攻击对象组时。
您希望从匹配 IDP 规则排除特定源、目标或源/目标对时。这可以防止 IDP 生成不必要的告警。
在配置豁免规则库之前,请务必配置 IPS 规则库。
表 6 汇总了可以在豁免规则基础规则中配置的选项。
术语 |
定义 |
---|---|
Match condition |
指定您希望设备以与在 IPS 规则库中相同的方式监控攻击的网络流量类型。但是,在豁免规则库中,您无法配置应用程序;它始终设置为 |
Attack objects/groups |
指定您希望 not 设备在受监控的网络流量中匹配的攻击对象。 |
示例:为 IDP 豁免规则库定义规则
此示例说明如何为可豁免的 IDP 规则库定义规则。
要求
开始之前,在 IDP IPS 规则库中创建规则。请参阅 示例:为 IDP IPS 规则库定义规则。
概述
创建豁免规则时,必须指定以下内容:
您希望免除流量的源和目标。您可以将源或目标设置为
Any
豁免来自任何来源或发送至任何目标的网络流量。您还可以设置source-except
或destination-except
指定除指定源或目标地址以外的所有源或目标。注意:现在,您可以指定
source-address
并source-except
解决何时from-zone
是any
。同样,何时to-zone
是any
,您可以指定destination-address
和destination-except
地址。您希望 IDP 对指定的源/目标地址免除攻击。您必须在豁免规则中包含至少一个攻击对象。
此示例显示,IDP 策略会为内部网络上的攻击 FTP:USER:ROOT 生成误报。您可以配置规则,当源 IP 来自内部网络时,可以针对此攻击免除攻击检测。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 CLI 中 [edit]
,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要定义豁免 IDP 规则库的规则:
指定要为其定义并豁免规则库的 IDP IPS 规则库。
[edit] user@host# edit security idp idp-policy base-policy
将豁免规则库与策略和区域相关联,然后向规则库添加规则。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
指定规则库的源地址和目标地址。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
指定要免除攻击检测的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入命令以确认 show security idp
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy { rulebase-exempt { rule R1 { match { from-zone trust; source-address internal-devices; to-zone any; destination-address any; attacks { predefined-attacks FTP:USER:ROOT; } } } } active-policy base-policy;
完成设备配置后,请从配置模式进入 commit
。
了解 IDP 终端规则
入侵检测和防御 (IDP) 规则匹配算法从规则库顶部开始,根据规则库中与源、目标和服务匹配的所有规则检查流量。但是,您可以将规则配置为 终端。终端规则是此算法的例外。在源、目标、区域和应用程序的终端规则中发现匹配项时,IDP 不会继续检查同一源、目标和应用程序的后续规则。流量是否与匹配规则中的攻击对象匹配并不重要。
终端规则可用于以下目的:
要为同一来源和目标的不同攻击设置不同的操作。
忽略源自已知可信来源的流量。通常,该操作
None
适用于此类终端规则。忽略发送到服务器且仅容易受到特定攻击的流量。通常,该操作
Drop Connection
适用于此类终端规则。
定义终端规则时要小心。不适当的终端规则会使您的网络受到攻击。请记住,与终端规则的源、目标和应用匹配的流量不会与后续规则进行比较,即使该流量与终端规则中的攻击对象不匹配也是如此。仅当要检查特定类型的流量以寻找一组特定的攻击对象时,才使用终端规则。特别小心源和目标使用的 any
终端规则。终端规则应显示在规则库顶部附近,而其他规则将匹配相同流量。
示例:在规则库中设置终端规则
此示例说明如何配置终端规则。
要求
开始之前:
配置网络接口。
在安全策略中启用 IDP 应用程序服务。
创建安全区域。请参阅 示例:创建安全区域。
定义规则。请参阅 示例:在 IDP 规则库中插入规则 。
概述
默认情况下,IDP 规则库中的规则不是终端规则,这意味着 IDP 检查规则库中的所有规则并执行所有匹配。您可以将规则指定为终端;也就是说,如果 IDP 遇到终端规则指定的源、目标和服务的匹配项,则不会检查该连接的任何后续规则。
此示例说明如何配置终端规则。如果流量的源 IP 源自公司中的已知可信网络,则定义规则 R2 以终止匹配算法。如果匹配此规则,IDP 将忽略可信网络的流量,并且不会监控会话中的恶意数据。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 CLI 中 [edit]
,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置终端规则:
创建 IDP 策略。
[edit] user@host# set security idp idp-policy base-policy
定义规则并设置其匹配标准。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
设置规则的终端标志。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
指定要免除攻击检测的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
为规则指定操作。
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
结果
在配置模式下,输入命令以确认 show security idp
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy { rulebase-ips { rule R2 { match { source-address internal; destination-address any; attacks { predefined-attacks FTP:USER:ROOT; } } then { action { recommended; } } terminal; } } }
完成设备配置后,请从配置模式进入 commit
。
了解 IDP 策略中的 DSCP 规则
差异服务代码点 (DSCP) 是编码在 IP 数据包标头中定义的 6 位字段中的整数值。它用于实施服务等级 (CoS) 区分。CoS 允许您覆盖默认数据包转发行为,并将服务级别分配给特定的流量。
您可以将 DSCP 值配置为 IDP 策略规则中的一项操作。首先通过在 IDP 策略中定义匹配条件来定义流量,然后将 DiffServ 标记操作与流量关联起来。行为聚合分类器根据 DSCP 值设置流量的转发类和丢失优先级,决定流量接收的转发处理。
与 IDP 策略规则匹配的所有数据包都会使用匹配策略指定的 DSCP 值重写其 IP 报头中的 CoS 字段。如果流量匹配具有不同 DSCP 值的多个规则,则匹配的第一个 IDP 规则将生效,此 IDP 规则将应用于该会话的所有流量。
示例:在 IDP 策略中配置 DSCP 规则
此示例说明如何在 IDP 策略中配置 DSCP 值。
要求
开始之前:
配置网络接口
在安全策略中启用 IDP 应用程序服务
创建安全区域
定义规则
概述
在 IDP 策略中配置 DSCP 值提供了一种将网络上不同类型的流量关联 CoS 值的方法,从而提供不同的可靠性级别。
此示例说明如何创建名为 policy1 的策略,为此策略指定规则库,然后将规则 R1 添加到此规则库。在此示例中,规则 R1:
指定匹配条件,以包括来自先前配置名为信任的区域到之前配置的另一个称为不信任的区域的任何流量。匹配条件还包括一个名为 HTTP - Critical 的预定义攻击组。匹配条件中的应用程序设置被指定为默认值,并且与在攻击对象中配置的任何应用程序匹配。
指定操作,以便为符合规则 R1 标准的任何流量重写具有 DSCP 值 50 的 IP 报头中的 CoS 字段。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 CLI 中 [edit]
,然后从配置模式进入 commit
。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
在 IDP 策略中配置 DSCP 值:
通过为策略分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略相关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
将规则添加到规则库。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
为规则指定操作。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
如果需要,继续为规则指定任何通知或日志记录选项。
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入命令以确认 show security idp
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show security idp idp-policy base-policy{ rulebase-ips { rule R1 { match { from-zone trust; source-address any; to-zone untrust; destination-address any; application default; attacks { predefined-attack-groups HTTP-Critical; } } then { action { mark-diffserv { 50; } } } } } active-policy base-policy;
完成设备配置后,请从配置模式进入 commit
。