Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建 IPS 策略规则

开始之前

使用此页面可以创建入侵防御系统 (IPS) 规则,这些规则定义在找到匹配流量模式时要采取的操作。您可以向 IPS 策略添加、编辑或删除规则。

您可以在创建 IPS 策略时使用预定义的 IPS 模板。这些模板包含使用与攻击对象关联的默认操作的规则。您可以通过选择自己的源地址和目标地址并选择反映您的安全需求的 IPS 操作来自定义这些模板以在您的网络上工作。

IPS 规则使用攻击对象根据状态签名和协议异常检测已知和未知攻击,从而保护您的网络免受攻击。IPS 豁免规则可防止生成不必要的警报。

要配置 IPS 策略规则,请执行以下操作:

  1. 选择 配置 > IPS 策略>策略>或模板
  2. 单击已创建策略中的 添加规则链接
  3. 单击 创建 ,然后选择 IPS 规则或豁免规则
  4. 根据 表 1表 2 中提供的指南完成配置。
  5. 单击 发布

将创建包含您的配置的新 IPS 规则。您可以在 IPS 策略或 IPS 策略模板中使用此规则。

表 1:IPS 策略规则设置

设置

指引

名字

输入由字母数字字符、冒号、句点、短划线和下划线组成的唯一字符串。不允许使用空格,最大长度为 255 个字符。

IPS 类型

显示指定类型的规则。例如,IPS,豁免。

来源区

单击源区域字段并配置源区域编辑器设置。

源区域编辑器

为源选择任何区域。还可以使用区域例外为每个设备指定唯一的区域。指定 any 以监视源自任何区域的网络流量。默认值为 any。

寄语地址

单击源地址字段并配置源地址设置。

源地址

地址选择

在规则的选定地址列表中包括或排除地址。您还可以选择包括源对象的任何 IP 地址。

地址

从“可用”列中选择要包含在规则的选定列表中的一个或多个可用 IP 地址。

添加新的源地址

单击该按钮以添加新的源地址。

目标区

单击目标区域字段并配置目标区域编辑器设置。

目标区域编辑器

为目标选择任何区域。还可以使用区域例外为每个设备指定唯一的区域。指定 any 以监视发往任何区域的网络流量。默认值为 any。

目的地地址

单击目标地址字段并配置目标地址设置。

目标地址

地址选择

在规则的选定地址列表中包括或排除地址。您还可以选择包括源对象的任何 IP 地址。

地址

从“可用”列中选择要包含在策略规则的选定列表中的一个或多个可用 IP 地址。

添加新的目标地址

单击该按钮以添加新的目标地址。

服务

单击服务字段并配置服务编辑器设置。

服务编辑器

服务

为策略规则选择可用服务。例如:

  • FTP — FTP 允许在计算机之间发送和接收文件。

  • ssh — SSH 是一种程序,用于通过强身份验证和不安全通道上的安全通信通过网络登录到另一台计算机。

  • Web - 策略允许访问之前已通过 Web 身份验证进行身份验证的用户。

  • 用户防火墙 - 使用用户名和角色信息来确定是允许还是拒绝用户的会话或流量。

  • Infranet — 从访问控制服务推送所有经过身份验证的用户的用户和角色信息。

默认值为“默认”。Security Director 中的服务是指设备上的应用程序,如域名系统 (DNS)。服务基于协议和端口,添加到策略后,可以应用于由 Security Director 管理的所有设备。

添加新服务

单击该按钮以添加新服务。

IPS 签名

单击 IPS 特征码字段并配置 IPS 特征码设置。

IPS 签名

IPS 签名

从“可用”列中选择要包含在策略规则的选定列表中的一个或多个可用 IPS 特征码。

添加新的 IPS 签名

单击该按钮添加新的 IPS 签名。

行动

单击操作字段并配置操作设置。

行动

行动

当受监控的流量与规则中指定的攻击对象匹配时,选择您希望 IPS 采取的操作选项:

  • 无操作 - 不执行操作。当您只想为某些流量生成日志时,请使用此操作。

  • 忽略 — 如果发现攻击匹配项,则停止扫描其余连接的流量。IPS 禁用特定连接的规则库。

    注意:

    此操作并不意味着忽略攻击。

  • 丢弃数据包 — 在匹配的数据包到达目的地之前将其丢弃,但不关闭连接。使用此操作可丢弃容易发生欺骗的流量(如 UDP 流量)中的攻击的数据包。断开此类流量的连接可能会导致拒绝服务,从而阻止您从合法源 IP 地址接收流量。

  • 丢弃连接 — 丢弃与连接关联的所有数据包,阻止连接的流量到达其目标。使用此操作可丢弃不容易发生欺骗的流量的连接。

  • 关闭客户端 — 关闭连接并将 RST 数据包发送到客户端,但不发送到服务器。

  • 关闭服务器 — 关闭连接并将 RST 数据包发送到服务器,但不发送到客户端。

  • 关闭客户端和服务器 — 关闭连接并将 RST 数据包同时发送到客户端和服务器。

  • 推荐 — 提供瞻博网络认为是严重威胁的所有攻击对象的列表,并按类别进行组织。例如,严重性按分配给攻击的严重性对攻击对象进行分组。

  • Diffserv 标记 — 在攻击中将指示的差异服务代码点 (DSCP) 值分配给数据包,然后正常传递数据包。

    选择 Diffserv 标记时,需要输入代码值。

    • 用于 Diffserv 标记的代码点 - 输入代码点值。根据 DSCP 值,行为聚合分类器为决定流量接收的转发处理的流量设置转发类和丢失优先级。

注意:

DSCP 值不会应用于被检测为攻击的第一个数据包,而是应用于后续数据包。

通知选项

单击通知字段并配置通知设置。

通知选项

攻击日志

启用此选项可记录攻击。

警报标志

启用此选项可将警报标志添加到攻击日志中。

日志数据包

启用此选项可在规则匹配时记录数据包捕获。

之前的数据包

输入捕获攻击之前处理的数据包数。

之后的数据包

输入捕获攻击后处理的数据包数。

发布窗口超时

输入为会话捕获攻击后数据包的时间限制。

超时到期后不执行数据包捕获。范围为 0 到 1800 秒。

知识产权行动选项

单击 IP 操作字段并配置 IP 操作设置。

知识产权行动选项

知识产权行动

选择一个选项以对使用相同 IP 操作属性的未来连接应用操作:

  • 无 - 不对将来的流量采取任何措施。

  • IP 通知 — 不对将来的流量采取任何措施,但会记录事件。这是默认设置。

  • IP 关闭 — 通过向客户端和服务器发送 RST 数据包来关闭与此 IP 操作规则匹配的任何新会话。

  • IP 阻止 — 与 IP 操作规则匹配的任何会话的所有数据包都将以静默方式丢弃。

    当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP 操作。最严重的 IP 操作是“关闭会话”操作,下一个严重性是“丢弃/阻止会话”操作,然后是“通知”操作。

IP 目标

选择一个选项以阻止将来的连接:

  • 无 - 不匹配任何流量。

  • 目标地址 — 根据攻击流量的目标地址匹配流量。

  • 服务 — 对于 TCP 和 UDP,根据攻击流量的源地址、源端口、目标地址和目标端口匹配流量。这是默认设置。

  • 源地址 — 根据攻击流量的源地址匹配流量。

  • 源区域 — 根据攻击流量的源区域匹配流量。

  • 源区域地址 — 根据攻击流量的源区域和源地址匹配流量。

  • 区域服务 — 根据攻击流量的源区域、目标地址、目标端口和协议匹配流量。

刷新超时

启用此选项可刷新 IP 操作超时,以便在将来的连接与 IP 操作筛选器匹配时它不会过期。

超时值

输入您希望 IP 操作在流量匹配后保持有效的秒数。

默认值为 0 秒,范围为 0 到 64,800 秒。

记录日志

启用此选项可针对与规则匹配的流量记录有关 IP 操作的信息。

日志创建

启用此选项可在 IP 操作筛选器上生成日志事件。

附加选项

单击附加字段并配置其他设置。

附加选项

严重性

选择严重性级别以覆盖规则中继承的攻击严重性。级别按严重程度递增的顺序是信息、警告、次要、主要和严重。最危险的级别是关键级别,它试图使您的服务器崩溃或获得对网络的控制权。信息是危险性最低的级别,网络管理员使用它来发现其安全系统中的漏洞。

终端

启用此选项可设置终端规则标志。当终端规则匹配时,设备将停止匹配会话的规则。

描述

输入 IPS 策略规则的说明;最大长度为 4096 个字符。
表 2:IPS 策略模板规则设置

设置

指引

名字

输入由字母数字字符、冒号、句点、短划线和下划线组成的唯一字符串。不允许使用空格,最大长度为 63 个字符。

IPS 类型

显示指定类型的规则。例如,IPS,豁免。

IPS 签名

单击 IPS 特征码字段并配置 IPS 特征码设置。

IPS 签名

IPS 签名

从“可用”列中选择要包含在策略规则的选定列表中的一个或多个可用 IPS 特征码。

添加新的 IPS 签名

单击该按钮添加新的 IPS 签名。

行动

单击操作字段并配置操作设置。

行动

行动

当受监控的流量与规则中指定的攻击对象匹配时,选择您希望 IPS 采取的操作选项:

  • 无操作 - 不执行操作。当您只想为某些流量生成日志时,请使用此操作。

  • 忽略 — 如果发现攻击匹配项,则停止扫描其余连接的流量。IPS 禁用特定连接的规则库。

    注意:

    此操作并不意味着忽略攻击。

  • 丢弃数据包 — 在匹配的数据包到达目的地之前将其丢弃,但不关闭连接。使用此操作可丢弃容易发生欺骗的流量(如 UDP 流量)中的攻击的数据包。断开此类流量的连接可能会导致拒绝服务,从而阻止您从合法源 IP 地址接收流量。

  • 丢弃连接 — 丢弃与连接关联的所有数据包,阻止连接的流量到达其目标。使用此操作可丢弃不容易发生欺骗的流量的连接。

  • 关闭客户端 — 关闭连接并将 RST 数据包发送到客户端,但不发送到服务器。

  • 关闭服务器 — 关闭连接并将 RST 数据包发送到服务器,但不发送到客户端。

  • 关闭客户端和服务器 — 关闭连接并将 RST 数据包同时发送到客户端和服务器。

  • 推荐 — 提供瞻博网络认为是严重威胁的所有攻击对象的列表,并按类别进行组织。例如,严重性按分配给攻击的严重性对攻击对象进行分组。

  • Diffserv 标记 — 在攻击中将指示的差异服务代码点 (DSCP) 值分配给数据包,然后正常传递数据包。

    选择 Diffserv 标记时,需要输入代码值。

    • 用于 Diffserv 标记的代码点 - 输入代码点值。根据 DSCP 值,行为聚合分类器为决定流量接收的转发处理的流量设置转发类和丢失优先级。

注意:

DSCP 值不会应用于被检测为攻击的第一个数据包,而是应用于后续数据包。

通知选项

单击通知字段并配置通知设置。

通知选项

攻击日志

启用此选项可记录攻击。

警报标志

启用此选项可将警报标志添加到攻击日志中。

日志数据包

启用此选项可在规则匹配时记录数据包捕获。

之前的数据包

输入捕获攻击之前处理的数据包数。

之后的数据包

输入捕获攻击后处理的数据包数。

发布窗口超时

输入为会话捕获攻击后数据包的时间限制。

超时到期后不执行数据包捕获。范围为 0 到 1800 秒。

知识产权行动选项

单击 IP 操作字段并配置 IP 操作设置。

知识产权行动选项

知识产权行动

选择一个选项以对使用相同 IP 操作属性的未来连接应用操作:

  • 无 - 不对将来的流量采取任何措施。

  • IP 通知 — 不对将来的流量采取任何措施,但会记录事件。这是默认设置。

  • IP 关闭 — 通过向客户端和服务器发送 RST 数据包来关闭与此 IP 操作规则匹配的任何新会话。

  • IP 阻止 — 与 IP 操作规则匹配的任何会话的所有数据包都将以静默方式丢弃。

    当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP 操作。最严重的 IP 操作是“关闭会话”操作,下一个严重性是“丢弃/阻止会话”操作,然后是“通知”操作。

IP 目标

选择一个选项以阻止将来的连接:

  • 无 - 不匹配任何流量。

  • 目标地址 — 根据攻击流量的目标地址匹配流量。

  • 服务 — 对于 TCP 和 UDP,根据攻击流量的源地址、源端口、目标地址和目标端口匹配流量。这是默认设置。

  • 源地址 — 根据攻击流量的源地址匹配流量。

  • 源区域 — 根据攻击流量的源区域匹配流量。

  • 源区域地址 — 根据攻击流量的源区域和源地址匹配流量。

  • 区域服务 — 根据攻击流量的源区域、目标地址、目标端口和协议匹配流量。

刷新超时

启用此选项可刷新 IP 操作超时,以便在将来的连接与 IP 操作筛选器匹配时它不会过期。

超时值

输入您希望 IP 操作在流量匹配后保持有效的秒数。

默认值为 0 秒,范围为 0 到 64,800 秒。

记录日志

启用此选项可针对与规则匹配的流量记录有关 IP 操作的信息。

日志创建

启用此选项可在 IP 操作筛选器上生成日志事件。

附加选项

单击附加字段并配置其他设置。

附加选项

严重性

选择严重性级别以覆盖规则中继承的攻击严重性。级别按严重程度递增的顺序是信息、警告、次要、主要和严重。最危险的级别是关键级别,它试图使您的服务器崩溃或获得对网络的控制权。信息是危险性最低的级别,网络管理员使用它来发现其安全系统中的漏洞。

终端

启用此选项可设置终端规则标志。当终端规则匹配时,设备将停止匹配会话的规则。

描述

输入 IPS 策略规则的说明;最大长度为 1024 个字符。

相关文档