关于 IPS 签名页面
你在这里: 安全服务 > IPS > 签名。
入侵防御系统 (IPS) 将流量与已知威胁的特征码进行比较,并在检测到威胁时阻止流量。网络入侵是对网络资源的攻击或其他滥用。为了检测此类活动,IPS 使用签名。特征码指定设备应检测和报告的网络入侵类型。只要流量模式与签名匹配,IPS 就会触发警报并阻止流量到达目的地。IPS 的关键组件之一是特征码数据库。它包含在定义 IPS 策略规则时使用的不同对象的定义,例如攻击对象、应用程序签名对象和服务对象。
您可以对攻击对象进行分组,以使 IPS 策略井井有条且易于管理。一个攻击对象组可以包含一种或多种类型的攻击对象。Junos OS 支持以下三种类型的攻击组:
-
IPS 特征码 - 包含特征码数据库中存在的对象。
-
动态组 - 包含满足指定匹配条件的攻击对象。在签名更新期间,动态组成员身份将根据该组的匹配条件自动更新。例如,您可以使用动态攻击组筛选器对与特定应用程序相关的攻击进行动态分组。
-
静态组 - 包含在攻击定义中指定的攻击列表。
您可以执行的任务
您可以从此页面执行以下任务:
-
将 IPS 签名关联到 IPS 策略。为此,请单击“IPS 签名”页面标题下方提供的 IPS 策略链接,直接导航到“ IPS 策略 ”页面。然后,单击 添加规则 以将 IPS 签名分配给特定策略。有关更多信息,请参阅 向 IPS 策略添加规则。
- 查看 IPS 特征码预定义攻击或攻击组的列表。为此,请单击“预定义”选项卡,然后从“查看方式”列表中选择“预定义攻击”或“预定义攻击组”。
-
查看预定义 IPS 特征码的详细信息。为此,请在预定义选项卡上选择现有的 IPS 签名,然后按照可用选项进行操作:
-
单击“ 更多 ”,然后选择 “详细视图”。
-
右键单击选定的 IPS 特征码,然后选择 详细视图。
-
将鼠标悬停在所选 IPS 特征码名称的左侧,然后单击 详细视图 图标。
-
- 查看自定义攻击、静态组或动态组的自定义签名。为此,请单击自定义选项卡,然后从查看方式列表中选择自定义攻击、静态组或动态组。
-
导入 snort 规则以将其转换为自定义攻击。请参阅 导入 Snort 规则。
-
创建 IPS 签名自定义攻击。请参阅 创建自定义 IPS 签名。
-
创建 IPS 特征码静态组。请参见 创建 IPS 特征码静态组。
-
创建 IPS 特征码动态组。请参见 创建 IPS 特征码动态组。
-
查看自定义攻击、静态组和动态组的 IPS 签名的详细信息。为此,请在“自定义”选项卡上选择现有的 IPS 特征码、静态组或动态组,然后按照可用选项进行操作:
-
单击“ 更多 ”,然后选择 “详细视图”。
-
右键单击选定的 IPS 特征码,然后选择 详细视图。
-
将鼠标悬停在所选 IPS 特征码的左侧,然后单击 详细视图。
-
-
克隆 IPS 签名。请参见 克隆 IPS 签名。
-
编辑 IPS 签名。请参见 编辑 IPS 签名。
-
删除 IPS 签名。请参见 删除 IPS 签名。
-
显示或隐藏预定义表中的列。为此,请单击预定义表右上角的显示隐藏列图标。然后,选择要查看的选项或清除要在页面上隐藏的选项。
-
针对预定义或自定义 IPS 特征码的高级搜索。为此,请使用表格网格上方的搜索文本框。搜索包括逻辑运算符作为筛选器字符串的一部分。在搜索文本框中,当您将鼠标悬停在图标上时,它会显示示例筛选条件。开始输入搜索字符串时,该图标指示筛选器字符串是否有效。
对于高级搜索:
-
在文本框中输入搜索字符串。
根据您的输入,将显示筛选器上下文菜单中的项目列表。
-
从列表中选择一个值,然后选择要基于其执行高级搜索操作的有效运算符。
注意:按空格键将 AND 运算符或 OR 运算符添加到搜索字符串中。预定义签名仅支持 AND 运算符。键入搜索条件时,随时按退格键可仅删除一个字符。
-
按 Enter 在网格中显示搜索结果。
-
字段说明
领域 |
描述 |
---|---|
名字 |
显示预定义 IPS 特征码的名称。 |
类别 |
显示攻击对象的类别。 |
严重性 |
显示特征码将报告的攻击的严重性级别。 |
攻击类型 |
显示攻击对象的类型是签名、异常还是链。
注意:
此字段仅适用于预定义的攻击。 |
类型攻击 |
显示攻击类型是静态组还是动态组。
注意:
此字段仅适用于预定义的攻击组。 |
推荐 |
指示攻击对象是否由瞻博网络推荐(真)或不推荐(假)。 |
建议的操作 |
显示当受监控的流量与 IPS 规则中指定的攻击对象匹配时采取的一个或多个操作。 |
误报 |
显示攻击在您的网络上产生误报的频率。 |
性能 |
显示一个或多个 IPS 特征码性能影响过滤器。 |
方向 |
显示检测到攻击的一个或多个流量方向。例如,客户端到服务器。 |
服务 |
显示攻击用于进入网络的协议、服务或协议和服务的列表。 |
领域 |
描述 |
---|---|
查看方式: 自定义攻击 |
|
名字 |
显示自定义攻击 IPS 特征码的名称。 |
严重性 |
显示特征码将报告的攻击的严重性级别。 |
攻击类型 |
显示攻击对象的类型是签名、异常还是链。 |
建议的操作 |
显示当受监控流量与 IPS 规则中指定的攻击对象匹配时采取的操作。 |
查看方式: 静态组 |
|
名字 |
显示静态组 IPS 签名的名称。 |
组成员 |
显示属于 IPS 静态组的 IPS 特征码或 IPS 特征码动态组。 |
查看方式: 动态组 |
|
名字 |
显示动态组 IPS 签名的名称。 |
攻击前缀 |
显示攻击名称前缀匹配的一个或多个值。 |
严重性 |
显示特征码将报告的攻击的严重性级别。 |
攻击类型 |
显示攻击对象的类型是签名、异常还是链。 |
类别 |
显示攻击对象的一个或多个类别。 |
方向 |
显示检测到攻击的一个或多个流量方向。例如,客户端到服务器。 |
已排除攻击 |
显示排除的攻击,这些攻击是数据库更新的一部分。 |
文件类型 |
显示用作动态组过滤器的攻击文件类型。 |
误报 |
显示攻击在您的网络上产生误报的频率。 |
推荐 |
指示攻击对象是否由瞻博网络推荐(真)或不推荐(假)。 |
服务 |
显示攻击用于进入网络的协议、服务或协议和服务列表。 |
供应商 |
显示攻击所属的供应商或产品。 |
漏洞类型 |
显示用作动态组过滤器的攻击漏洞类型。 |
性能 |
性能影响筛选器或用于动态组的筛选器。 |
CVSS 分数 |
显示用作动态组筛选器的一个或多个常见漏洞评分系统 (CVSS) 分数。 |
攻击年龄 |
显示用作动态组筛选器的攻击的期限(以年为单位)。 |