向 IPS 策略添加规则
您的位置: 安全服务 > IPS > 策略。
要向 IPS 策略添加规则:
您只能为自定义 IPS 策略添加规则。
领域 |
行动 |
---|---|
规则名称 |
输入 IPS 策略的规则名称。 |
描述 |
输入规则说明。 |
网络标准 | |
来源 | |
源区域 |
选择要与 IPS 策略关联的源区域:
|
源地址 |
选择要与 IPS 策略关联的源地址:
|
目的地 | |
目标区域 |
选择要与 IPS 策略关联的目标区域:
|
目标地址 |
选择要与 IPS 策略关联的目标地址:
|
IPS 签名 | |
添加 |
从列表中选择预定义或自定义签名,将其添加到 IPS 策略规则中。 |
删除 |
选择不想添加到 IPS 策略规则的 IPS 签名,然后单击 delete 图标。 |
名字 |
显示 IPS 预定义签名或自定义签名的名称。 |
类别 |
显示预定义的攻击或攻击组类别。例如,应用程序、HTTP 和 LDAP。 |
严重性 |
显示签名报告的攻击严重性级别。 |
攻击类型 |
显示攻击类型(签名或异常)。 |
建议的操作 |
显示检测到攻击时从设备采取的指定操作。例如,忽略并丢弃。 |
类型 |
显示 IPS 签名类型是预定义的还是自定义的。 |
添加预定义签名 |
|
查看方式 |
查看并选择所需的预定义攻击或攻击组,然后单击 OK 将其添加到所选 IPS 策略中。 |
显示或隐藏列 |
使用页面右上角的“显示隐藏列”图标,选择要显示或取消选择的选项以隐藏页面上的选项。 |
名字 |
显示预定义攻击对象或攻击对象组的名称。 |
类别 |
显示预定义的攻击或攻击组类别。例如,应用程序、HTTP 和 LDAP。 |
严重性 |
显示签名报告的攻击严重性级别。 |
类型攻击 |
显示攻击类型(签名或异常)。 |
推荐 |
显示瞻博网络向动态攻击组推荐的预定义攻击。 |
建议的操作 |
显示检测到攻击时从设备采取的指定操作。例如,忽略并丢弃。 |
性能 |
显示性能过滤器(快速、正常、缓慢和未知),根据易受攻击的性能级别添加攻击对象。 |
方向 |
显示攻击的连接方向(任意连接、客户端到服务器或服务器到客户端)。 |
添加自定义签名 |
|
查看方式 |
查看并选择所需的自定义攻击、静态组或动态组,然后单击 OK 将其添加到所选 IPS 策略中。 |
自定义签名 — 自定义攻击 |
|
名字 |
显示自定义攻击对象名称。 |
严重性 |
显示签名报告的攻击严重性级别。 |
攻击类型 |
显示攻击类型(签名或异常)。 |
建议的操作 |
显示检测到攻击时从设备采取的指定操作。例如,忽略并丢弃。 |
自定义签名 — 静态组 |
|
名字 |
显示自定义签名的静态组名称。 |
组成员 |
显示攻击对象或组攻击对象的名称。成员可以是预定义的攻击、预定义的攻击组、自定义攻击或自定义动态组。 |
自定义签名 — 动态组 |
|
名字 |
显示自定义签名的动态组名称。 |
攻击前缀 |
显示攻击名称的前缀匹配。例如:HTTP:* |
严重性 |
显示签名报告的攻击严重性级别。 |
攻击类型 |
显示攻击类型(签名或异常)。 |
类别 |
显示动态攻击组类别。例如,应用程序、HTTP 和 LDAP。 |
方向 |
显示攻击的连接方向(任意连接、客户端到服务器或服务器到客户端)。 |
行动 |
注意:
此选项不可用于豁免规则。 从列表中选择任意一项操作:
|
选项
注意:
此选项不可用于豁免规则。 |
|
日志攻击 |
启用日志攻击以创建显示在日志查看器中的日志记录。 |
日志数据包 |
启用日志数据包以捕获攻击前后收到的数据包,以便进一步离线分析攻击者行为。 |
先进
注意:
此选项不可用于豁免规则。 |
|
威胁分析
注意:
仅当您注册了瞻博网络 ATP 云时,信息源才会显示。您还可以使用命令 |
|
添加攻击者以馈送 |
从列表中选择,将攻击者的 IP 地址添加到信息源,以使用威胁配置文件配置 IPS 规则。 |
将目标添加到源 |
从列表中选择以将目标 IP 地址添加到信息源,以使用威胁配置文件配置 IPS 规则。 |
通知 |
|
之前的数据包 |
输入在捕获攻击之前处理的数据包数。 范围:1 到 255。默认为 1。
注意:
启用日志数据包后,此选项可用。 |
之后的数据包 |
输入捕获攻击后处理的数据包数。 范围:0 到 255。默认为 1。
注意:
启用日志数据包后,此选项可用。 |
后窗口超时 |
输入为会话捕获攻击后数据包的时间限制。超时过期后,不会执行数据包捕获。 范围:0 到 1800 秒。默认为 1 秒。
注意:
启用日志数据包后,此选项可用。 |
警报标志 |
启用此选项可在匹配日志记录的日志查看器的“警报”列中设置警报标志。
注意:
启用日志攻击后,此选项可用。 |
IP 操作 |
|
行动 |
指定 IPS 针对未来使用相同的 IP 地址的连接采取的操作。 从列表中选择 IP 操作:
|
IP 目标 |
配置流量与配置的 IP 操作的匹配方式。 从列表中选择一个 IP 目标:
|
刷新超时 |
如果未来的流量与配置的 IP 操作匹配,请启用 IP 操作超时刷新(您在超时字段中指定)。 |
超时 |
指定在该指定的超时值内启动新会话之前 IP 操作应保持有效的秒数。 输入超时值(以秒为单位)。最大值为 65,535 秒。默认为 300 秒。 |
日志 IP 操作命中数 |
启用以记录有关针对符合规则的流量的 IP 操作的信息。默认情况下,此设置处于禁用状态。 |
日志 IP 操作规则创建 |
启用,在触发 IP 操作过滤器时生成事件。默认情况下,此设置处于禁用状态。 |
规则修改器 |
|
严重性覆盖 |
严重性级别(无、严重、信息、主要、次要、警告)以覆盖规则中的继承攻击严重性。最危险的级别是关键,它试图使服务器崩溃或控制网络。信息级别的危险性最小,可供网络管理员用于查找其安全系统中的缺陷。 |
终端匹配 |
启用以将 IPS 规则标记为终端。匹配终端规则时,设备将停止匹配该 IPS 策略中的剩余规则。 |