Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建 IPS 策略规则

开始之前

使用此页面可创建入侵防御系统 (IPS) 规则,用于定义在找到匹配的流量模式时要采取的作。您可以向 IPS 策略添加、编辑或删除规则。

创建 IPS 策略时,可以使用预定义的 IPS 模板。这些模板包含使用与攻击对象关联的默认作的规则。您可以通过选择自己的源地址和目标地址,并选择反映您的安全需求的 IPS作,自定义这些模板以在您的网络上工作。

IPS 规则根据状态式签名和协议异常,使用攻击对象检测已知和未知攻击,从而保护您的网络免遭攻击。IPS 豁免规则可防止生成不必要的告警。

要配置 IPS 策略规则:

  1. 选择 配置>IPS策略>策略>或模板
  2. 单击创建的策略中的 添加规则链接
  3. 单击 “创建 ”,然后选择 “IPS 规则”或“豁免规则”
  4. 根据 表 1表 2 中提供的准则完成配置。
  5. 点击 发布

将使用您的配置创建新的 IPS 规则。您可以在 IPS 策略或 IPS 策略模板中使用此规则。

表 1:IPS 策略规则设置

设置

准则

姓名

输入由字母数字字符、冒号、句点、破折号和下划线组成的唯一字符串。不允许使用空格,最大长度为 255 个字符。

IPS 类型

显示指定类型的规则。例如,IPS,豁免。

Src. 专区

单击源区域字段并配置源区域编辑器设置。

源区域编辑器

区域

为源选择任意区域。您还可以使用区域例外为每个设备指定唯一的区域。指定 any 以监控源自任何区域的网络流量。默认值为 any。

地址

单击源地址字段并配置源地址设置。

源地址

地址选择

从规则的选定地址列表中包括或排除地址。您还可以选择包含源对象的任何 IP 地址。

地址

从可用列中选择一个或多个可用 IP 地址,以包含在规则的选定列表中。

添加新的源地址

单击按钮以添加新的源地址。

目的地区

单击目标区域字段并配置目标区域编辑器设置。

目标区域编辑器

区域

选择目标的任意区域。您还可以使用区域例外为每个设备指定唯一的 from 区域。指定 ANY 以监控流向任何区域的网络流量。默认值为 any。

目的地地址

单击目标地址字段并配置目标地址设置。

目标地址

地址选择

从规则的选定地址列表中包括或排除地址。您还可以选择包含源对象的任何 IP 地址。

地址

从可用列中选择一个或多个可用 IP 地址,以包含在策略规则的选定列表中。

添加新的目标地址

单击按钮以添加新的目标地址。

服务

单击服务字段并配置服务编辑器设置。

服务编辑器

服务

为策略规则选择可用服务。例如:

  • ftp—FTP 允许在计算机之间发送和接收文件。

  • ssh — SSH 是一种程序,用于通过网络在不安全的信道上通过强身份验证和安全通信登录到另一台计算机。

  • Web - 策略允许访问之前通过 Web 身份验证进行过身份验证的用户。

  • 用户防火墙 — 使用用户名和角色信息来确定是允许还是拒绝用户的会话或流量。

  • Infranet — 从访问控制服务推送所有经过身份验证的用户的用户和角色信息。

默认值为默认值。Security Director 中的服务指的是设备上的应用程序,例如域名系统 (DNS)。服务基于协议和端口,添加到策略后,可应用于 Security Director 管理的所有设备。

添加新服务

单击按钮以添加新服务。

IPS 签名

单击 IPS 签名字段并配置 IPS 签名设置。

IPS 签名

IPS 签名

从可用列中选择一个或多个可用的 IPS 签名,以包含在策略规则的选定列表中。

添加新的 IPS 签名

单击 按钮添加新的 IPS 签名。

行动

单击“作”字段并配置作设置。

行动

行动

当受监视的流量与规则中指定的攻击对象匹配时,希望 IPS 执行的作选择一个选项:

  • 无作 (No Action) — 不执行作。如果您只想为某些流量生成日志,请使用此作。

  • 忽略 — 如果发现攻击匹配项,则停止扫描连接其余部分的流量。IPS 会禁用特定连接的规则库。

    注意:

    此作并不意味着忽略攻击。

  • 丢弃数据包 — 在匹配的数据包到达目的地之前丢弃它,但不会关闭连接。使用此作可丢弃易受欺骗流量(如 UDP 流量)中遭受攻击的数据包。丢弃此类流量的连接可能会导致拒绝服务,从而阻止您接收来自合法源 IP 地址的流量。

  • 丢弃连接 — 丢弃与连接关联的所有数据包,从而阻止连接的流量到达其目标。使用此作可丢弃不易发生欺骗的流量的连接。

  • 关闭客户端 — 关闭连接,并向客户端发送 RST 数据包,但不向服务器发送数据包。

  • 关闭服务器 - 关闭连接并向服务器发送 RST 数据包,但不向客户端发送数据包。

  • 关闭客户端和服务器 — 关闭连接并向客户端和服务器发送 RST 数据包。

  • 推荐 — 按类别组织,列出瞻博网络认为是严重威胁的所有攻击对象。例如,严重性按分配给攻击的严重性对攻击对象进行分组。

  • Diffserv 标记 — 为攻击中的数据包分配指定的差异化服务代码点 (DSCP) 值,然后正常传递数据包。

    当您选择 Diffserv 标记时,您需要输入代码值。

    • Diffserv 标记的代码点 - 输入代码点值。行为聚合分类器根据 DSCP 值设置流量的转发类和丢失优先级,从而决定流量接收的转发处理方式。

注意:

DSCP 值不会应用于检测为攻击的第一个数据包,而是应用于后续数据包。

通知选项

单击通知字段并配置通知设置。

通知选项

攻击日志记录

启用此选项以记录攻击。

警报标志

启用此选项可向攻击日志添加警报标志。

日志数据包

启用此选项可在规则匹配时记录数据包捕获。

之前的数据包

输入在捕获攻击之前处理的数据包数。

之后的数据包

输入捕获攻击后处理的数据包数。

发布窗口超时

输入捕获会话攻击后数据包的时间限制。

超时到期后,不会进行数据包捕获。范围为 0 到 1800 秒。

IP作选项

单击 IP作字段并配置 IP作设置。

IP作选项

知识产权行动

选择一个选项以对使用相同 IP作属性的未来连接应用作:

  • 无 - 不对未来的流量采取任何措施。

  • IP 通知 — 不对未来流量采取任何措施,但会记录事件。这是默认设置。

  • IP 关闭 — 通过向客户端和服务器发送 RST 数据包来关闭与此 IP作规则匹配的任何新会话。

  • IP 阻止 — 与 IP作规则匹配的任何会话的所有数据包都将以静默方式丢弃。

    当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP作。最严重的 IP作是“关闭会话”作,下一个严重性是“丢弃/阻止会话”作,然后是“通知”作。

IP 目标

选择一个选项以阻止将来的连接:

  • 无 — 不匹配任何流量。

  • 目标地址 — 根据攻击流量的目标地址匹配流量。

  • 服务 — 对于 TCP 和 UDP,根据攻击流量的源地址、源端口、目的地址和目标端口匹配流量。这是默认设置。

  • 源地址 — 根据攻击流量的源地址匹配流量。

  • 源区域 — 根据攻击流量的源区域匹配流量。

  • 源区域地址 — 根据攻击流量的源区域和源地址匹配流量。

  • 区域服务 — 根据攻击流量的源区域、目标地址、目标端口和协议匹配流量。

刷新超时

启用此选项可刷新 IP作超时,以便在将来的连接与 IP作过滤器匹配时不会过期。

超时值

输入您希望 IP作在流量匹配后保持有效的秒数。

默认值为 0 秒,范围为 0 到 64,800 秒。

记录

启用此选项可针对与规则匹配的流量记录有关 IP作的信息。

日志创建

启用此选项可在 IP作过滤器上生成日志事件。

附加选项

单击“其他”字段并配置其他设置。

附加选项

严重性

选择严重性级别以替代规则中继承的攻击严重性。级别按严重性增加的顺序依次为信息、警告、次要、主要和严重。最危险的级别是“严重”,它试图使您的服务器崩溃或获得对网络的控制权。信息性级别是危险性最小的级别,供网络管理员用来发现其安全系统中的漏洞。

终端

启用此选项可设置终端规则标志。当终端规则匹配时,设备将停止匹配会话的规则。

描述

输入 IPS 策略规则的说明;最大长度为 4096 个字符。
表 2:IPS 策略模板规则设置

设置

准则

姓名

输入由字母数字字符、冒号、句点、破折号和下划线组成的唯一字符串。不允许使用空格,最大长度为 63 个字符。

IPS 类型

显示指定类型的规则。例如,IPS,豁免。

IPS 签名

单击 IPS 签名字段并配置 IPS 签名设置。

IPS 签名

IPS 签名

从可用列中选择一个或多个可用的 IPS 签名,以包含在策略规则的选定列表中。

添加新的 IPS 签名

单击 按钮添加新的 IPS 签名。

行动

单击“作”字段并配置作设置。

行动

行动

当受监视的流量与规则中指定的攻击对象匹配时,希望 IPS 执行的作选择一个选项:

  • 无作 (No Action) — 不执行作。如果您只想为某些流量生成日志,请使用此作。

  • 忽略 — 如果发现攻击匹配项,则停止扫描连接其余部分的流量。IPS 会禁用特定连接的规则库。

    注意:

    此作并不意味着忽略攻击。

  • 丢弃数据包 — 在匹配的数据包到达目的地之前丢弃它,但不会关闭连接。使用此作可丢弃易受欺骗流量(如 UDP 流量)中遭受攻击的数据包。丢弃此类流量的连接可能会导致拒绝服务,从而阻止您接收来自合法源 IP 地址的流量。

  • 丢弃连接 — 丢弃与连接关联的所有数据包,从而阻止连接的流量到达其目标。使用此作可丢弃不易发生欺骗的流量的连接。

  • 关闭客户端 — 关闭连接,并向客户端发送 RST 数据包,但不向服务器发送数据包。

  • 关闭服务器 - 关闭连接并向服务器发送 RST 数据包,但不向客户端发送数据包。

  • 关闭客户端和服务器 — 关闭连接并向客户端和服务器发送 RST 数据包。

  • 推荐 — 按类别组织,列出瞻博网络认为是严重威胁的所有攻击对象。例如,严重性按分配给攻击的严重性对攻击对象进行分组。

  • Diffserv 标记 — 为攻击中的数据包分配指定的差异化服务代码点 (DSCP) 值,然后正常传递数据包。

    当您选择 Diffserv 标记时,您需要输入代码值。

    • Diffserv 标记的代码点 - 输入代码点值。行为聚合分类器根据 DSCP 值设置流量的转发类和丢失优先级,从而决定流量接收的转发处理方式。

注意:

DSCP 值不会应用于检测为攻击的第一个数据包,而是应用于后续数据包。

通知选项

单击通知字段并配置通知设置。

通知选项

攻击日志记录

启用此选项以记录攻击。

警报标志

启用此选项可向攻击日志添加警报标志。

日志数据包

启用此选项可在规则匹配时记录数据包捕获。

之前的数据包

输入在捕获攻击之前处理的数据包数。

之后的数据包

输入捕获攻击后处理的数据包数。

发布窗口超时

输入捕获会话攻击后数据包的时间限制。

超时到期后,不会进行数据包捕获。范围为 0 到 1800 秒。

IP作选项

单击 IP作字段并配置 IP作设置。

IP作选项

知识产权行动

选择一个选项以对使用相同 IP作属性的未来连接应用作:

  • 无 - 不对未来的流量采取任何措施。

  • IP 通知 — 不对未来流量采取任何措施,但会记录事件。这是默认设置。

  • IP 关闭 — 通过向客户端和服务器发送 RST 数据包来关闭与此 IP作规则匹配的任何新会话。

  • IP 阻止 — 与 IP作规则匹配的任何会话的所有数据包都将以静默方式丢弃。

    当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP作。最严重的 IP作是“关闭会话”作,下一个严重性是“丢弃/阻止会话”作,然后是“通知”作。

IP 目标

选择一个选项以阻止将来的连接:

  • 无 — 不匹配任何流量。

  • 目标地址 — 根据攻击流量的目标地址匹配流量。

  • 服务 — 对于 TCP 和 UDP,根据攻击流量的源地址、源端口、目的地址和目标端口匹配流量。这是默认设置。

  • 源地址 — 根据攻击流量的源地址匹配流量。

  • 源区域 — 根据攻击流量的源区域匹配流量。

  • 源区域地址 — 根据攻击流量的源区域和源地址匹配流量。

  • 区域服务 — 根据攻击流量的源区域、目标地址、目标端口和协议匹配流量。

刷新超时

启用此选项可刷新 IP作超时,以便在将来的连接与 IP作过滤器匹配时不会过期。

超时值

输入您希望 IP作在流量匹配后保持有效的秒数。

默认值为 0 秒,范围为 0 到 64,800 秒。

记录

启用此选项可针对与规则匹配的流量记录有关 IP作的信息。

日志创建

启用此选项可在 IP作过滤器上生成日志事件。

附加选项

单击“其他”字段并配置其他设置。

附加选项

严重性

选择严重性级别以替代规则中继承的攻击严重性。级别按严重性增加的顺序依次为信息、警告、次要、主要和严重。最危险的级别是“严重”,它试图使您的服务器崩溃或获得对网络的控制权。信息性级别是危险性最小的级别,供网络管理员用来发现其安全系统中的漏洞。

终端

启用此选项可设置终端规则标志。当终端规则匹配时,设备将停止匹配会话的规则。

描述

输入 IPS 策略规则的说明;最大长度为 1024 个字符。

相关文档