IDP 策略规则和 IDP 规则库
入侵检测和防御 (IDP) 策略是规则和规则库的集合。
有关更多信息,请参阅以下主题:
了解 IDP 策略规则库
规则库是一组有序的规则,使用特定的检测方法来识别和防止攻击。
规则是提供检测机制上下文的说明,具体体现在指定 IDP 系统应查找哪些网络流量以查找攻击。当规则匹配时,表示在网络流量中检测到攻击,从而触发该规则的操作。IDP 系统执行指定的操作并保护您的网络免遭攻击。
每个规则库都可以有多个规则 — 通过将规则按所需顺序排列来确定规则应用于网络流量的顺序。IDP 系统中的每个规则库都使用特定检测方法来识别和防止攻击。Junos OS 支持两种类型的规则库 — 入侵防御系统 (IPS) 规则库和豁免规则库。
了解 IDP 策略规则
入侵检测和防御 (IDP) 策略中的每个指令都称为规则。规则在规则库中创建。
规则库是一组规则,它们组合在一起定义 IDP 策略。规则指定 IDP 系统应查看的网络流量的哪个部分以查找攻击,从而为检测机制提供上下文。当规则匹配时,表示在网络流量中检测到攻击,从而触发该规则的操作。IDP 系统执行指定的操作并保护您的网络免遭攻击。
IDP 策略规则由以下组件组成:
了解 IDP 规则匹配条件
匹配条件指定希望 IDP 监控攻击的网络流量类型。
匹配条件使用以下特性指定要监控的网络流量类型:
From-zone和to-zone— 所有流量都从来源流向目标区域。您可以为源或目标选择任何区域。您也可使用区域例外情况为每个设备指定各区域的特性和出区。指定any用于监控源自任何区域和任何区域的网络流量。默认值为any。注意:您可以在何时
from-zoneany指定source-address和source-except地址。同样,在何时to-zone是any,您可以指定destination-address和destination-except地址。Source IP address—指定网络流量来源的源 IP 地址。您可以指定any监控源自任何 IP 地址的网络流量。您也可指定source-except指定所有来源(指定地址除外)。默认值为any。Destination IP address—指定发送网络信息流的目标 IP 地址。您可以将此设置为any监控发送至任何 IP 地址的网络流量。您也可指定destination-except指定除指定地址以外的所有目标。默认值为any。Application—指定目标 IP 地址支持的应用层协议。您可以为所有应用程序以及default在攻击对象中配置的应用程序指定any规则。
了解 IDP 规则对象
对象是可重用的逻辑实体,您可以将其应用于规则。您创建的每个对象都添加到对象类型的数据库中。
您可以为 IDP 规则配置以下类型的对象。
区域对象
区域或安全区域是一个或多个网络接口的集合。IDP 使用在基本系统中配置的区域对象。
地址或网络对象
地址对象表示网络的组件,例如主机、服务器和子网。您可使用 IDP 策略规则中的地址对象来指定要保护的网络组件。
应用程序或服务对象
服务对象表示使用传输层协议(如 TCP、UDP、RPC 和 ICMP)的网络服务。您在规则中使用服务对象来指定攻击用于访问网络的服务。瞻博网络提供预定义的服务对象,这是一个基于行业标准服务的服务对象数据库。如果您需要添加预定义服务对象中不包括的服务对象,则可以创建自定义服务对象。IDP 支持以下类型的服务对象:
Any—允许 IDP 匹配所有传输层协议。TCP— 指定 TCP 端口或端口范围,以匹配指定 TCP 端口的网络服务。您可以指定junos-tcp-any要匹配所有 TCP 端口的服务。UDP— 指定 UDP 端口或端口范围,以匹配指定 UDP 端口的网络服务。您可以指定junos-udp-any要匹配所有 UDP 端口的服务。RPC— 指定远程过程调用(来自 Sun Microsystems 的 RPC)程序编号或程序编号范围。IDP 使用此信息识别 RPC 会话。ICMP— 指定属于 ICMP 数据包一部分的类型和代码。您可以指定junos-icmp-all要匹配所有 ICMP 服务。default—允许 IDP 与默认协议匹配,并自动检测到与攻击对象中暗示的应用程序的协议。
攻击对象
IDP 攻击对象代表已知和未知攻击。IDP 包括瞻博网络定期更新的预定义攻击对象数据库。攻击对象在规则中指定,用于识别恶意活动。每个攻击都定义为一个攻击对象,表示已知的攻击模式。每当在受监控的网络流量中遇到这种已知攻击模式时,攻击对象都会匹配。 表 1 描述了三种主要攻击对象类型:
攻击对象 |
描述 |
|---|---|
签名攻击对象 |
签名攻击对象使用有状态攻击签名检测已知攻击。攻击签名是始终存在于攻击中的模式;如果存在攻击,则攻击签名也是。借助状态式签名,IDP 可以查找用于实施攻击的特定协议或服务、攻击的方向和流以及发生攻击的上下文。状态式签名很少产生误报,因为攻击的背景已定义,从而消除了大量不会发生攻击的网络流量。 |
协议异常攻击对象 |
协议异常攻击对象可识别网络上的异常活动。它们会根据所用特定协议的一组规则检测连接内的异常或模棱两可的消息。协议异常检测的工作原理是发现协议标准的偏差,通常由 RFC 和通用 RFC 扩展定义。大多数合法流量都遵循既定协议。不会产生的异常流量可能由攻击者为特定目的创建,例如逃避入侵防御系统 (IPS)。 |
复合攻击对象 |
复合攻击对象将多个签名和/或协议异常组合到一个对象中。信息流必须匹配所有组合签名和/或协议异常,才能匹配复合攻击对象;您可以指定签名或异常必须匹配的顺序。使用复合攻击对象来优化 IDP 策略规则、减少误报并提高检测准确性。复合攻击对象使您能够非常具体地了解 IDP 将流量识别为攻击之前需要发生的事件。您可以使用 |
攻击对象组
IDP 包含大量预定义的攻击对象。为了帮助保持 IDP 策略的组织化和管理,可以对攻击对象进行分组。攻击对象组可以包含一个或多个不同类型的攻击对象。Junos OS 支持以下三种类型的攻击组:
预定义的攻击对象组 — 包含签名数据库中存在的对象。预定义的攻击对象组本质上是动态的。例如,FTP:次要组会选择应用程序 -FTP 和严重性 - 次要的所有攻击。如果安全数据库中引入了新的次要严重性 FTP 攻击,则将其添加到 FTP:默认情况下的次要组。
动态攻击组 — 基于特定匹配标准包含攻击对象。例如,动态组可以包含与应用程序相关的所有攻击。在签名更新期间,动态组成员资格将根据该组的匹配标准自动更新。
对于使用方向过滤器的动态攻击组,应在排除值中使用表达式
and。与所有过滤器的情况一样,默认表达式为or。但是,在and方向过滤器的情况下可以选择。例如,如果您想使用方向客户端到服务器选择所有攻击,请使用
set security idp dynamic-attack-group dyn1 filters direction values client-to-server命令配置方向过滤器如果出现链路攻击,则多个成员中的每一个都有自己的方向。如果策略中包含链路攻击,则客户端到服务器过滤器会选择具有任何成员且以客户端到服务器为方向的所有链路攻击。这意味着,如果链条至少有一个成员以客户端到服务器为方向,则会选择包含服务器到客户端或 ANY 作为方向的成员的链攻击。
您可以使用以下命令查看特定攻击对象组(预定义、动态和自定义攻击组)以及预定义攻击对象所属的组中的攻击对象:
show security idp attack attack-list attack-group group-nameshow security idp attack group-list attack-name
使用 命令
show security idp attack attack-list attack-group group-name:查看指定攻击组中存在的所有攻击列表,例如自定义、动态和预定义的组。
指定组名称,例如预定义组<预定义组名称>或动态组<dynamic-group-name> 或自定义组<客户组名称>以显示该组中的攻击列表。
使用 命令
show security idp attack group-list查看预定义攻击所属的攻击组列表。注意:如果预定义的攻击组没有定义的过滤器,则此类组不会显示为攻击成员。
使用 命令
show security idp attack attack-list policy policy-name查看配置的 IDP 策略中可用的攻击。如果 IDP 策略配置为包含属于各种攻击组的特定攻击,则在 IDP 策略命令输出中显示冗余攻击名称作为攻击的一部分。以前,IDP 签名更新在过滤器下仅支持 9 个标记。这七种标签属于类别、方向、误报、性能、产品、推荐、服务、严重性和供应商。IDP 签名更新现在在过滤器下支持四个新的附加标记,除了现有 9 个标记之外,还可创建更复杂的动态组。
附加标记包括:
通用漏洞评分系统 (CVSS)(以在 0 到 10 之间肆虐的数字数值衡量)。值是真实数字,包括小数值。因此,5.5 等数字值也是有效的 CVSS 分数。)
攻击年龄(按年数和愤怒程度计算(0 到 100 年)。例如:大于或低于年)
文件类型(例如:MPEG、MP4、PPT、*.doc 等)
漏洞类型(例如:缓冲区溢出、注入、免费使用、跨站点脚本 (XSS)、远程代码执行 (RCE) 等。
此外,用于配置现有产品和供应商标记的 CLI 接口也更加方便用户使用,可能的完成也可用于配置。
供应商(例如:Microsoft、Apple、Red Hat、Google、瞻博网络、Cisco、Oracle 等)。
产品(例如:Office、Database、Firefox、Chrome、Flash、DirectX、Java、Kerberos 等。)
为防止将这些链路攻击添加到策略中,请按照以下内容配置动态组:
set security idp dynamic-attack-group dyn1 filters direction expression andset security idp dynamic-attack-group dyn1 filters direction values client-to-serverset security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-clientset security idp dynamic-attack-group dyn1 filters direction values exclude-any
自定义攻击组 — 包含客户定义的攻击组,可通过 CLI 配置。它们可以包含特定的预定义攻击、自定义攻击、预定义攻击组或动态攻击组。它们本质上是静态的,因为攻击在组中指定。因此,当安全数据库更新时,攻击组不会更改。
从 Junos 版本 21.2R3 开始,您可以在租户和逻辑系统模式下根据 IPS/Exempt 规则在预定义的攻击和攻击组中查看 IPS 策略。使用 命令、show security idp attack attack-group-entriesshow security idp attack attack-list和show security idp attack group-list来查看逻辑系统和租户模式中的 IPS 策略。
了解 IDP 规则操作
Actions 指定当受监控的流量与规则中指定的攻击对象匹配时,您希望 IDP 采取的操作。
表 2 显示了您可以为 IDP 规则指定的操作:
术语 |
定义 |
|---|---|
No Action |
未采取任何措施。当您只想为某些流量生成日志时,请使用此操作。 |
Ignore Connection |
如果发现攻击匹配项,请停止扫描连接其余部分的流量。IDP 禁用特定连接的规则库。
注意:
此操作并不意味着忽略攻击。 |
Diffserv Marking |
在攻击中将指示的差异服务代码点 (DSCP) 值分配给数据包,然后正常传递数据包。 请注意,DSCP 值不应用于检测到为攻击的第一个数据包,而是应用于后续数据包。 |
Drop Packet |
在到达目标之前丢弃匹配的数据包,但不会关闭连接。使用此操作,丢弃容易欺骗的流量(如 UDP 流量)中的攻击数据包。丢弃此类流量的连接可能会导致拒绝服务,导致您无法从合法源 IP 地址接收流量。
注意:
当 IDP 策略使用在任何应用程序的自定义签名中定义的非数据包上下文进行配置,并具有操作丢弃数据包时,当 IDP 识别攻击时,解码器会将drop_packet推广到drop_connection。DNS 协议攻击的情况并非如此。当发现攻击时,DNS 解码器不会将drop_packet推广到drop_connection。这将确保仅丢弃 DNS 攻击流量并继续处理有效的 DNS 请求。这也将避免有效 TCP DNS 请求的 TCP 重新传输。 |
Drop Connection |
丢弃与连接关联的所有数据包,从而阻止连接的流量到达其目标。使用此操作丢弃不易欺骗的信息流的连接。 |
Close Client |
关闭连接并将 RST 数据包发送至客户端,但不发送至服务器。 |
Close Server |
关闭连接并将 RST 数据包发送至服务器,但不发送至客户端。 |
Close Client and Server |
关闭连接并将 RST 数据包发送至客户端和服务器。 |
Recommended |
所有预定义的攻击对象都有与之关联的默认操作。这是检测到攻击时瞻博网络建议的行动。
注意:
此操作仅支持 IPS 规则库。 建议 — 瞻博网络认为是严重威胁的所有攻击对象列表,分为类别。
|
了解 IDP 规则 IP 操作
IP 操作是适用于未来使用相同 IP 操作属性的连接的操作。例如,如果在主机之间的会话中检测到攻击,您可以在规则中配置 IP 操作以阻止两个主机之间的所有未来 HTTP 会话。或者,您可指定超时值,用于定义仅当在指定超时值内启动新会话时才应用该操作。IP 操作的默认超时值为 0,这意味着 IP 操作永远不会超时。
IP 操作与其他操作类似;他们指示 IDP 丢弃或关闭连接但是,由于您现在也有攻击者的 IP 地址,因此可以选择在指定时间阻止攻击者。如果攻击者无法立即重新获得与网络的连接,则攻击者可能会尝试攻击更轻松的目标。将 IP 操作与操作和日志记录相结合,保护您的网络。
IP 操作属性是以下字段的组合:
源 IP 地址
目标 IP 地址
目标端口
从区域
协议
表 3 汇总了 IDP 规则支持的 IP 操作类型:
术语 |
定义 |
|---|---|
Notify |
不会对未来的流量采取任何行动,但记录事件。这是默认值。 |
Drop/Block Session |
与 IP 操作规则匹配的所有会话数据包均将静默丢弃。 |
Close Session |
任何与此 IP 操作规则匹配的新会话都可通过向客户端和服务器发送 RST 数据包来关闭。 |
当流量与多个规则匹配时,会应用所有匹配规则的最严重 IP 操作。最严重的 IP 操作是“关闭会话”操作,下一个严重性是 Drop/Block Session 操作,然后是通知操作。
对中央点进行增强后,系统具有以下限制:
每个 SPU 的最大活动模式
ip-action编号仅限于 600000 个条目。达到此限制时,您无法在 SPU 上创建新的活动模式ip-action条目。每个 SPU 的最大所有模式(主动模式和被动模式)
ip-action编号限于 1200000 个条目。达到此限制时,您无法在 SPU 上创建新的活动模式ip-action条目。运行 命令
clear ip-action时,ip-action条目将通过环形消息删除。当 CPU 使用率高时,删除的环路消息将被主动模式ip-action丢弃并感到不满。由于删除过程需要时间,在运行 命令时可以看到很少ip-action的show ip-action条目。
在未完成中心点增强的设备上,仅存在活动模式 ip-action ,并且最大 ip-action 数量限制为 6000000。达到此限制时,您无法创建新的活动模式 ip-action 条目。
了解 IDP 规则通知
通知定义了在执行操作时如何记录信息。检测到攻击时,可以选择记录攻击并使用攻击信息创建日志记录,并将这些信息发送至日志服务器。
通过使用通知,您还可以配置以下选项,指示日志服务器对为每个规则生成的日志执行特定操作:
Set Alerts—为 IDP 策略中的规则指定警报选项。当规则匹配时,相应的日志记录会在日志查看器的警报列中显示警报。安全管理员使用警报来感知和响应重要安全事件。Set Severity Level— 设置日志记录的严重性级别,以支持在日志服务器上更好地组织和显示日志记录。您可以使用所选攻击对象的默认严重性设置,或为您的规则选择特定的严重性。您在规则中配置的严重性压倒了继承的攻击严重性。您可将严重性级别设置为以下级别:信息 — 2
警告 — 3
次要 — 4
主要 - 5
关键 - 7
示例:在 IDP 规则库中插入规则
此示例说明如何在 IDP 规则库中插入规则。
要求
开始之前:
配置网络接口。
在规则库中定义规则。请参阅 示例:定义 IDP IPS 规则库的规则。
概述
IDP 规则匹配算法从规则库顶部开始,根据规则库中与指定匹配条件匹配的所有规则检查流量。通过按所需顺序排列规则,您可以确定对网络流量应用规则的顺序。在规则库中添加规则时,该规则置于现有规则列表的末尾。要在规则库末尾的任何其他位置放置规则,请 insert 在规则库中的所需位置使用规则。此示例将规则 R2 置于称为基本策略的策略的 IDP IPS 规则库中 R1 之前。
配置
程序
逐步过程
要在规则库中插入规则:
根据您希望评估规则的顺序,在规则库中定义规则的位置。
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security idp status 命令。
示例:IDP 规则库中的停用和激活规则
此示例说明如何在规则库中停用和激活规则。
要求
开始之前:
配置网络接口。
在规则库中定义规则。请参阅 示例:定义 IDP IPS 规则库的规则。
概述
在规则库中,您可以使用 deactivate 和 命令禁用并 activate 启用规则。命令 deactivate 将从配置中注释指定语句。已停用的规则在发出 commit 命令时不会生效。命令 activate 将指定语句添加回配置。下次发出 命令时,已激活的 commit 规则将生效。此示例说明如何在与称为基本策略的策略关联的 IDP IPS 规则库中停用和重新激活规则 R2。
配置
程序
逐步过程
要在规则库中停用和激活规则:
指定要停用的规则。
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
激活规则。
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security idp status 命令。
了解 IDP 应用程序级别 DDoS 规则库
应用程序级 DDoS 规则库定义了用于保护服务器(如 DNS 或 HTTP)免受应用程序级分布式拒绝服务 (DDoS) 攻击的参数。您可以根据正常的服务器活动请求设置自定义应用程序指标,以确定何时应将客户端视为攻击客户端。然后,应用程序级 DDoS 规则库用于定义应监控的信息流的源匹配条件,然后采取定义的操作:关闭服务器、丢弃连接、丢弃数据包或无操作。它还可以执行 IP 操作:ip-block、ip-close、IP 通知、ip-连接速率限制或超时。 表 4 汇总了您可以在应用程序级 DDoS 规则库规则中配置的选项。
术语 |
定义 |
|---|---|
Match condition |
指定您希望设备监控攻击的网络流量。 |
Action |
指定当受监控的流量与应用程序级别 DDoS 规则中指定的应用程序 ddos 对象匹配时,您希望入侵检测和防御 (IDP) 采取的操作。 |
IP Action |
允许您隐式阻止源地址,以保护网络免受未来入侵,同时允许合法流量。您可以在应用程序级别 DDoS 中配置以下 IP 操作选项之一:ip-block、ip-close、ip-通知和 ip 连接速率限制。 |
了解 IDP IPS 规则库
入侵防御系统 (IPS) 规则库通过使用攻击对象检测已知和未知攻击来保护您的网络免遭攻击。它根据状态式签名和协议异常检测攻击。 表 5 汇总了您可以在 IPS 规则库规则中配置的选项。
术语 |
定义 |
|---|---|
Match condition |
指定您希望设备监控攻击的网络流量类型。有关匹配条件的详细信息,请参阅 了解 IDP 策略规则。 |
Attack objects/groups |
指定要设备在受监控的网络流量中匹配的攻击。每个攻击都定义为一个攻击对象,表示已知的攻击模式。有关攻击对象的详细信息,请参阅 了解 IDP 策略规则。 |
Terminal flag |
指定终端规则。当终端规则匹配时,设备将停止对会话的匹配规则。有关终端规则的详细信息,请参阅 了解 IDP 终端规则 。 |
Action |
当受监控的流量与规则中指定的攻击对象匹配时,指定您希望系统采取的操作。如果攻击触发多个规则操作,则执行这些规则中最严重的操作。有关操作的详细信息,请参阅 了解 IDP 策略规则。 |
IP Action |
允许您保护网络免遭未来入侵,同时允许合法流量。您可以在 IPS 规则库中配置以下 IP 操作选项之一 — 通知、丢弃或关闭。有关 IP 操作的详细信息,请参阅 了解 IDP 策略规则。 |
Notification |
定义在执行操作时如何记录信息。您可以选择记录攻击、使用攻击信息创建日志记录并将信息发送至日志服务器。有关更多信息,请参阅 了解 IDP 策略规则。 |
示例:定义 IDP IPS 规则库的规则
此示例说明如何定义 IDP IPS 规则库的规则。
要求
概述
每个规则都由匹配条件、对象、操作和通知组成。定义 IDP 规则时,必须使用以下特征(源区域、目标区域、源 IP 地址、目标 IP 地址和目标 IP 地址支持的应用层协议)指定希望 IDP 监控攻击的网络流量类型。规则在规则库中定义,规则库与策略相关联。
此示例介绍如何创建称为基本策略的策略,为此策略指定规则库,然后在此规则库中添加规则 R1。在此示例中,规则 R1:
指定匹配条件,以包括从以前配置的区域调用 trust 到其他以前配置的区域(称为 untrust)的任何信息流。匹配条件还包括预定义的攻击组 Critical - TELNET。处于匹配条件的应用程序设置是 default 并匹配攻击对象中配置的任何应用程序。
指定为符合规则 R1 标准的任何流量丢弃连接的操作。
启用攻击日志,并指定在攻击日志中添加了警报标志。
指定严重性级别为 critical。
定义规则后,您将基本策略指定为设备上的活动策略。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要定义 IDP IPS 规则库的规则:
通过为其分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略相关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
将规则添加到规则库中。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
将攻击定义为匹配标准。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
指定规则的操作。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
指定规则的通知和日志选项。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
设置规则的严重性级别。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups Critical-TELNET;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy base-policy;
如果完成设备配置,请在配置模式下输入 commit 。
了解 IDP 豁免规则库
豁免规则库与入侵防御系统 (IPS) 规则库协同工作,以防止生成不必要的报警。您可在此规则库中配置规则以排除已知误报,或排除特定来源、目标或源/目标对,以排除与 IPS 规则匹配的对。如果流量与 IPS 规则库中的规则匹配,系统将尝试在执行指定操作之前将流量与豁免规则库进行匹配。在豁免规则库中精心编写的规则可以显著减少 IPS 规则库生成的误报数。
在以下条件下配置豁免规则库:
当 IDP 规则使用包含一个或多个生成误报或不相关日志记录的攻击对象的攻击对象的攻击对象时。
如果您希望排除特定来源、目标或源/目标对与 IDP 规则匹配。这样可以防止 IDP 生成不必要的报警。
配置豁免规则库之前,请务必配置 IPS 规则库。
表 6 汇总了您可以在豁免规则库规则中配置的选项。
术语 |
定义 |
|---|---|
Match condition |
指定您希望设备以与 IPS 规则库中相同的方式监控攻击的网络流量类型。但是,在豁免规则库中,您无法配置应用程序;它总是设置为 |
Attack objects/groups |
指定您希望 not 设备在受监控的网络流量中匹配的攻击对象。 |
示例:定义 IDP 豁免规则库的规则
此示例说明如何定义豁免 IDP 规则库的规则。
要求
开始之前,请在 IDP IPS 规则库中创建规则。请参阅 示例:定义 IDP IPS 规则库的规则。
概述
创建豁免规则时,必须指定以下内容:
您希望豁免的信息流的来源和目标。您可以设置源或目标,以
Any免除源自任何来源或发送至任何目标的网络流量。您也可设置source-except或destination-except指定除指定来源或目标地址以外的所有来源或目标。注意:现在,您可以指定
source-address地址和source-except地址。from-zone。any同样,在何时to-zone是any,您可以指定destination-address和destination-except地址。您希望 IDP 免于指定来源/目标地址的攻击。豁免规则中必须至少包含一个攻击对象。
此示例显示 IDP 策略会生成攻击的误报 FTP:USER:内部网络上的 ROOT。当源 IP 来自内部网络时,您配置规则可免除此攻击的攻击检测。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要定义豁免 IDP 规则库的规则:
指定要定义和豁免规则库的 IDP IPS 规则库。
[edit] user@host# edit security idp idp-policy base-policy
将豁免规则库与策略和区域相关联,并在规则库中添加规则。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
指定规则库的来源和目标地址。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
指定要免遭攻击检测的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-exempt {
rule R1 {
match {
from-zone trust;
source-address internal-devices;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
}
}
active-policy base-policy;
如果完成设备配置,请在配置模式下输入 commit 。
了解 IDP 终端规则
入侵检测和防御 (IDP) 规则匹配算法从规则库的顶部开始,根据与源、目标和服务匹配的规则库中的所有规则检查流量。但是,您可以将规则配置为 终端。此算法的终端规则是例外。在源、目标、区域和应用程序的终端规则中发现匹配时,IDP 不会继续检查相同源、目标和应用程序的后续规则。流量是否与匹配规则中的攻击对象匹配并不重要。
您可将终端规则用于以下目的:
为相同的源和目标设置不同攻击的不同操作。
忽略源自已知可信源的流量。通常,操作是
None针对此类终端规则。忽略发送至仅易受特定一组攻击的服务器的流量。通常,操作是
Drop Connection针对此类终端规则。
定义终端规则时,请小心谨慎。不恰当的终端规则会让您的网络遭到攻击。请记住,与终端规则的源、目标和应用匹配的信息流不会与后续规则进行比较,即使流量与终端规则中的攻击对象不匹配。只有当您想要检查某个特定攻击对象集的特定流量时,才使用终端规则。特别小心使用源和目标的终端规则 any 。在符合相同流量的其他规则之前,终端规则应显示在规则库顶部附近。
示例:在规则库中设置终端规则
此示例说明如何配置终端规则。
要求
开始之前:
配置网络接口。
在安全策略中启用 IDP 应用服务。
创建安全区域。请参阅 示例:创建安全区域。
定义规则。请参阅 示例:在 IDP 规则库中插入规则 。
概述
默认情况下,IDP 规则库中的规则不是终端,这意味着 IDP 会检查规则库中的所有规则并执行所有匹配项。您可以指定规则是终端;也就是说,如果 IDP 遇到终端规则中指定的源、目标和服务的匹配项,则不会检查该连接的任何后续规则。
此示例说明如何配置终端规则。如果流量源 IP 源来源于贵公司的已知可信网络,则定义规则 R2 以终止匹配算法。如果此规则匹配,IDP 将忽略来自可信网络的流量,并且不会监控会话是否存在恶意数据。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置终端规则:
创建 IDP 策略。
[edit] user@host# set security idp idp-policy base-policy
定义规则并设置其匹配标准。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
设置规则的端子标志。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
指定要免遭攻击检测的攻击。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
指定规则的操作。
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
结果
在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R2 {
match {
source-address internal;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
recommended;
}
}
terminal;
}
}
}
如果完成设备配置,请在配置模式下输入 commit 。
了解 IDP 策略中的 DSCP 规则
差异服务代码点 (DSCP) 是在 IP 数据包标头中定义的 6 位字段中编码的整数值。它用于实施服务等级 (CoS) 区分。借助 CoS,您可以替代默认数据包转发行为,并将服务级别分配给特定的信息流。
您可将 DSCP 值配置为 IDP 策略规则中的一个操作。您首先通过定义 IDP 策略中的匹配条件来定义流量,然后将 DiffServ 标记操作与之相关联。根据 DSCP 值,行为聚合分类器将信息流的转发类和丢失优先级设置为决定信息流接收的转发处理。
与 IDP 策略规则匹配的所有数据包都在其 IP 标头中重写 CoS 字段,并使用匹配策略中指定的 DSCP 值重写。如果流量与不同 DSCP 值的多个规则匹配,则第一个匹配的 IDP 规则生效,而此 IDP 规则则适用于该会话的所有流量。
示例:在 IDP 策略中配置 DSCP 规则
此示例说明如何在 IDP 策略中配置 DSCP 值。
要求
开始之前:
配置网络接口
在安全策略中启用 IDP 应用服务
创建安全区域
定义规则
概述
在 IDP 策略中配置 DSCP 值可为网络上的不同类型的流量提供一种关联 CoS 值(从而提高可靠性)的方法。
此示例说明如何创建称为策略 1 的策略,为此策略指定规则库,然后在此规则库中添加规则 R1。在此示例中,规则 R1:
指定匹配条件,以将来自以前配置的称为信任的区域的任何流量包含到其他以前配置的区域(称为不信任)。匹配条件还包括一个名为 HTTP - 关键“的预定义攻击组。匹配条件下的应用程序设置指定为默认设置,并与攻击对象中配置的任何应用程序匹配。
指定为符合规则 R1 标准的任何流量使用 DSCP 值 50 在 IP 标头中重写 CoS 字段的操作。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要在 IDP 策略中配置 DSCP 值:
通过为其分配有意义的名称来创建策略。
[edit] user@host# edit security idp idp-policy base-policy
将规则库与策略相关联。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
将规则添加到规则库中。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
定义规则的匹配标准。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
指定规则的操作。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
如有必要,继续为该规则指定任何通知或日志选项。
激活策略。
[edit] user@host# set security idp active-policy base-policy
结果
在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
[edit]
user@host# show security idp
idp-policy base-policy{
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups HTTP-Critical;
}
}
then {
action {
mark-diffserv {
50;
}
}
}
}
}
active-policy base-policy;
如果完成设备配置,请在配置模式下输入 commit 。