Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

向 IPS 策略添加规则

您的位置: 安全服务 > IPS > 策略

要向 IPS 策略添加规则:

注意:

您只能为自定义 IPS 策略添加规则。

  1. 单击 Add Rules(添加规则)或 IPS 策略名称列旁边的规则编号。
    将显示 IPS 规则页面。
  2. 单击 IPS 规则或豁免规则页面右上角的 add 图标 (+)。
    将显示带有内联可编辑字段的 IPS 规则或豁免规则页面。
  3. 按照表 1 中提供的准则完成配置。
  4. 完成配置后,单击行右侧的滴答符号。
    配置 IPS 策略规则后,即可将 IPS 策略与安全策略相关联。
表 1:IPS 规则或豁免规则页面上的字段

领域

行动

规则名称

输入 IPS 策略的规则名称。

描述

输入规则说明。

网络标准
来源

源区域

选择要与 IPS 策略关联的源区域:

  • 未配置 — 与防火墙策略中配置的源区域匹配。

  • 任意 — 匹配防火墙策略中的任何源区域。

  • 特定 - 从列表中选择网络流量的源区域。

源地址

选择要与 IPS 策略关联的源地址:

  • 未配置 — 与防火墙策略中的配置源 IP 地址匹配。

  • 任意 — 匹配防火墙策略中的任何源 IP 地址。

  • 特定 — 网络流量发源的源 IP 地址。

    从“可用”列中选择地址,然后单击右箭头将其移动到“选定”列。您可以选择 “排除已选择 ”,以仅从列表中排除所选地址。

目的地

目标区域

选择要与 IPS 策略关联的目标区域:

  • 未配置 — 与防火墙策略中配置的目标区域匹配。

  • 任意 — 匹配防火墙策略中的任何目标区域。

  • 特定 — 从列表中选择网络流量发送到的目标区域。

目标地址

选择要与 IPS 策略关联的目标地址:

  • 未配置 — 与防火墙策略中配置的目标 IP 地址匹配。

  • 任意 — 匹配防火墙策略中的任何目标 IP 地址。

  • 特定 — 网络流量发送到的目标 IP 地址。

    从“可用”列中选择地址,然后单击右箭头将其移动到“选定”列。您可以选择 “排除已选择 ”,以仅从列表中排除所选地址。

IPS 签名

添加

从列表中选择预定义或自定义签名,将其添加到 IPS 策略规则中。

删除

选择不想添加到 IPS 策略规则的 IPS 签名,然后单击 delete 图标。

名字

显示 IPS 预定义签名或自定义签名的名称。

类别

显示预定义的攻击或攻击组类别。例如,应用程序、HTTP 和 LDAP。

严重性

显示签名报告的攻击严重性级别。

攻击类型

显示攻击类型(签名或异常)。

建议的操作

显示检测到攻击时从设备采取的指定操作。例如,忽略并丢弃。

类型

显示 IPS 签名类型是预定义的还是自定义的。

添加预定义签名

查看方式

查看并选择所需的预定义攻击或攻击组,然后单击 OK 将其添加到所选 IPS 策略中。

显示或隐藏列

使用页面右上角的“显示隐藏列”图标,选择要显示或取消选择的选项以隐藏页面上的选项。

名字

显示预定义攻击对象或攻击对象组的名称。

类别

显示预定义的攻击或攻击组类别。例如,应用程序、HTTP 和 LDAP。

严重性

显示签名报告的攻击严重性级别。

类型攻击

显示攻击类型(签名或异常)。

推荐

显示瞻博网络向动态攻击组推荐的预定义攻击。

建议的操作

显示检测到攻击时从设备采取的指定操作。例如,忽略并丢弃。

性能

显示性能过滤器(快速、正常、缓慢和未知),根据易受攻击的性能级别添加攻击对象。

方向

显示攻击的连接方向(任意连接、客户端到服务器或服务器到客户端)。

添加自定义签名

查看方式

查看并选择所需的自定义攻击、静态组或动态组,然后单击 OK 将其添加到所选 IPS 策略中。

自定义签名 — 自定义攻击

名字

显示自定义攻击对象名称。

严重性

显示签名报告的攻击严重性级别。

攻击类型

显示攻击类型(签名或异常)。

建议的操作

显示检测到攻击时从设备采取的指定操作。例如,忽略并丢弃。

自定义签名 — 静态组

名字

显示自定义签名的静态组名称。

组成员

显示攻击对象或组攻击对象的名称。成员可以是预定义的攻击、预定义的攻击组、自定义攻击或自定义动态组。

自定义签名 — 动态组

名字

显示自定义签名的动态组名称。

攻击前缀

显示攻击名称的前缀匹配。例如:HTTP:*

严重性

显示签名报告的攻击严重性级别。

攻击类型

显示攻击类型(签名或异常)。

类别

显示动态攻击组类别。例如,应用程序、HTTP 和 LDAP。

方向

显示攻击的连接方向(任意连接、客户端到服务器或服务器到客户端)。

行动

注意:

此选项不可用于豁免规则。

从列表中选择任意一项操作:

  • 推荐(默认)— 所有预定义的攻击对象都有与之关联的默认操作。这是我们在检测到攻击时建议的操作。

  • 无操作 — 未采取任何操作。如果希望仅为某些流量生成日志,请使用此操作。

  • 丢弃连接 — 丢弃与连接关联的所有数据包,防止连接的流量到达其目标。使用此操作可丢弃不易欺骗的流量的连接。

  • 丢弃数据包 — 在匹配的数据包到达目标之前将其丢弃,但不会关闭连接。使用此操作可以丢弃容易被欺骗的流量(如 UDP 流量)中遭受攻击的数据包。丢弃此类流量的连接可能会导致拒绝服务,从而阻止您从合法的源 IP 地址接收流量。

  • 关闭客户端 — 关闭连接并将 RST 数据包发送至客户端,但不会发送到服务器。

  • 关闭服务器 — 关闭连接并将 RST 数据包发送至服务器,但不会发送至客户端。

  • 关闭客户端与服务器 — 关闭连接并向客户端和服务器发送一个 RST 数据包。

  • 忽略连接 — 在发现攻击匹配项时,停止扫描连接剩余部分的流量。IPS 禁用特定连接的规则库。

  • Mark DiffServ — 为攻击中的数据包分配指示的服务差异化值,然后正常传递这些值。

选项

注意:

此选项不可用于豁免规则。

日志攻击

启用日志攻击以创建显示在日志查看器中的日志记录。

日志数据包

启用日志数据包以捕获攻击前后收到的数据包,以便进一步离线分析攻击者行为。

先进
注意:

此选项不可用于豁免规则。

威胁分析

注意:

仅当您注册了瞻博网络 ATP 云时,信息源才会显示。您还可以使用命令 request services security-intelligence download下载源。

添加攻击者以馈送

从列表中选择,将攻击者的 IP 地址添加到信息源,以使用威胁配置文件配置 IPS 规则。

将目标添加到源

从列表中选择以将目标 IP 地址添加到信息源,以使用威胁配置文件配置 IPS 规则。

通知

之前的数据包

输入在捕获攻击之前处理的数据包数。

范围:1 到 255。默认为 1。

注意:

启用日志数据包后,此选项可用。

之后的数据包

输入捕获攻击后处理的数据包数。

范围:0 到 255。默认为 1。

注意:

启用日志数据包后,此选项可用。

后窗口超时

输入为会话捕获攻击后数据包的时间限制。超时过期后,不会执行数据包捕获。

范围:0 到 1800 秒。默认为 1 秒。

注意:

启用日志数据包后,此选项可用。

警报标志

启用此选项可在匹配日志记录的日志查看器的“警报”列中设置警报标志。

注意:

启用日志攻击后,此选项可用。

IP 操作

行动

指定 IPS 针对未来使用相同的 IP 地址的连接采取的操作。

从列表中选择 IP 操作:

  • 无 — 不采取任何操作,这是默认设置。

  • 通知 — 不会对未来的流量采取任何操作,但会记录事件。

  • 关闭 - 通过向客户端和服务器发送 RST 数据包,关闭与 IP 地址匹配的新会话的未来连接。

  • 阻止 — 阻止与 IP 地址匹配的任何会话的未来连接。

IP 目标

配置流量与配置的 IP 操作的匹配方式。

从列表中选择一个 IP 目标:

  • 无 — 不匹配任何流量。

  • 目标地址 — 根据攻击流量的目标 IP 地址匹配流量。

  • 服务 — 对于 TCP 和 UDP,请根据攻击流量的源 IP 地址、源端口、目标 IP 地址和目标端口匹配流量。

  • 源地址 — 根据攻击流量的源 IP 地址匹配流量。

  • 源区域 — 根据攻击流量的源区域匹配流量。

  • 源区域地址 — 根据攻击流量的源区域和源 IP 地址匹配流量。

  • 区域服务 — 根据攻击流量的源区域、目标 IP 地址、目标端口和协议匹配流量。

刷新超时

如果未来的流量与配置的 IP 操作匹配,请启用 IP 操作超时刷新(您在超时字段中指定)。

超时

指定在该指定的超时值内启动新会话之前 IP 操作应保持有效的秒数。

输入超时值(以秒为单位)。最大值为 65,535 秒。默认为 300 秒。

日志 IP 操作命中数

启用以记录有关针对符合规则的流量的 IP 操作的信息。默认情况下,此设置处于禁用状态。

日志 IP 操作规则创建

启用,在触发 IP 操作过滤器时生成事件。默认情况下,此设置处于禁用状态。

规则修改器

严重性覆盖

严重性级别(无、严重、信息、主要、次要、警告)以覆盖规则中的继承攻击严重性。最危险的级别是关键,它试图使服务器崩溃或控制网络。信息级别的危险性最小,可供网络管理员用于查找其安全系统中的缺陷。

终端匹配

启用以将 IPS 规则标记为终端。匹配终端规则时,设备将停止匹配该 IPS 策略中的剩余规则。