Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建 IPS 策略规则

准备工作

使用此页面可以创建入侵防御系统 (IPS) 规则,用于定义在找到匹配的流量模式时要执行的操作。您可以向 IPS 策略添加、编辑或删除规则。

您可以在创建 IPS 策略时使用预定义的 IPS 模板。这些模板包含使用与攻击对象关联的默认操作的规则。您可以自定义这些模板,以便在您的网络上工作,方法是选择您自己的源地址和目标地址,并选择能够反映您的安全需求的 IPS 操作。

IPS 规则通过使用攻击对象基于状态签名和协议异常检测已知和未知攻击,保护您的网络免受攻击。IPS 豁免规则可防止生成不必要的告警。

要配置 IPS 策略规则,请执行以下操作:

  1. 选择 配置> IPS 策略>策略>或模板
  2. 单击已创建策略中的 添加规则链接
  3. 单击“ 创建 ”,然后选择 “IPS 规则”或“豁免规则”。
  4. 按照 表 1表 2 中提供的指南完成配置。
  5. 单击 发布

将创建包含您的配置的新 IPS 规则。您可以在 IPS 策略或 IPS 策略模板中使用此规则。

表 1:IPS 策略规则设置

设置

指引

名字

输入唯一的字母数字字符、冒号、句点、破折号和下划线字符串。不允许有空格,最大长度为 255 个字符。

IPS 类型

显示指定类型的规则。例如,IPS、Exempt。

Src. Zone(服务区)

单击源区域字段并配置源区域编辑器设置。

源区域编辑器

为源选择任何区域。您还可以使用区域例外来为每个设备指定唯一的区域。指定 any 以监控源自任何区域的网络流量。默认值为 any。

高级地址

单击源地址字段并配置源地址设置。

源地址

地址选择

在规则的选定地址列表中包含或排除地址。您还可以选择包含源对象的任何 IP 地址。

地址

从“可用”列中选择一个或多个可用 IP 地址,以包含在规则的选定列表中。

添加新的源地址

单击该按钮以添加新的源地址。

目的地区

单击目标区域字段并配置目标区域编辑器设置。

目标区域编辑器

为目标选择任何区域。您还可以使用区域例外为每个设备指定唯一的自区域。指定 any 以监控到任何区域的网络流量。默认值为 any。

地址

单击“目标地址”字段并配置目标地址设置。

目标地址

地址选择

在规则的选定地址列表中包含或排除地址。您还可以选择包含源对象的任何 IP 地址。

地址

从“可用”列中选择一个或多个可用 IP 地址,以包含在策略规则的选定列表中。

添加新的目标地址

单击该按钮以添加新的目标地址。

服务

单击服务字段并配置服务编辑器设置。

服务编辑器

服务业

为策略规则选择可用服务。例如:

  • ftp — FTP 允许在计算机之间发送和接收文件。

  • ssh — SSH 是一种程序,用于通过不安全的信道上的强身份验证和安全通信通过网络登录到另一台计算机。

  • Web - 策略允许访问之前已通过 Web 身份验证进行身份验证的用户。

  • 用户防火墙 — 使用用户名和角色信息来确定是允许还是拒绝用户的会话或流量。

  • Infranet — 从访问控制服务推送所有经过身份验证的用户的用户和角色信息。

默认值为 Default。Security Director 中的服务指的是设备上的应用,如域名系统 (DNS)。服务基于协议和端口,添加到策略中后,可应用到 Security Director 管理的所有设备上。

添加新服务

单击按钮以添加新服务。

IPS 签名

单击“IPS 签名”字段并配置 IPS 签名设置。

IPS 签名

IPS 签名

从“可用”列中选择一个或多个可用的 IPS 签名,以包含在策略规则的选定列表中。

添加新的 IPS 签名

单击该按钮以添加新的 IPS 签名。

行动

单击“操作”字段并配置操作设置。

行动

行动

选择一个选项,以便在监控的流量与规则中指定的攻击对象匹配时,您希望 IPS 执行的操作:

  • 无操作 (No Action) - 不执行操作。如果您只想为某些流量生成日志,请使用此操作。

  • 忽略 — 如果发现攻击匹配,则停止扫描流量以查找连接的其余部分。IPS 禁用特定连接的规则库。

    注意:

    此操作并不意味着忽略攻击。

  • 丢弃数据包 — 在匹配的数据包到达目的地之前丢弃它,但不会关闭连接。使用此操作可在容易发生欺骗的流量(如 UDP 流量)中丢弃攻击的数据包。断开此类流量的连接可能会导致拒绝服务,从而阻止您接收来自合法源 IP 地址的流量。

  • 丢弃连接 — 丢弃与连接关联的所有数据包,阻止连接流量到达其目标。使用此操作可断开不容易发生欺骗的流量的连接。

  • 关闭客户端 — 关闭连接并向客户端(但不向服务器)发送RST数据包。

  • 关闭服务器 — 关闭连接并向服务器(但不向客户端)发送RST数据包。

  • 关闭客户端和服务器 — 关闭连接并向客户端和服务器发送RST数据包。

  • 推荐 — 提供瞻博网络视为严重威胁的所有攻击对象的列表,并按类别进行组织。例如,严重性按分配给攻击的严重性对攻击对象进行分组。

  • Diffserv 标记 — 在攻击中为数据包分配指示的差异服务代码点 (DSCP) 值,然后正常传递数据包。

    选择 Diffserv 标记时,需要输入代码值。

    • Diffserv 标记的代码点 - 输入代码点值。行为聚合分类器根据 DSCP 值设置流量的转发类和丢包优先级,从而决定流量接收的转发处理。

注意:

DSCP 值不应用于第一个被检测为攻击的数据包,而是应用于后续数据包。

通知选项

单击“通知”字段并配置通知设置。

通知选项

攻击日志

启用此选项可记录攻击。

警报标志

启用此选项可向攻击日志添加警报标志。

日志数据包

启用此选项可在规则匹配时记录数据包捕获。

之前的数据包

输入在捕获攻击之前处理的数据包数。

之后的数据包

输入捕获攻击后处理的数据包数。

发布窗口超时

输入捕获会话攻击后数据包的时间限制。

超时到期后,不会进行数据包捕获。范围为 0 到 1800 秒。

IP 操作选项。

单击“IP 操作”字段并配置 IP 操作设置。

IP 操作选项。

IP 操作

选择一个选项以对使用相同 IP 操作属性的未来连接应用操作:

  • None — 不对未来的流量采取任何措施。

  • IP 通知 — 不对未来流量采取任何措施,但会记录事件。这是默认设置。

  • IP 关闭 — 通过向客户端和服务器发送RST数据包,关闭与此IP操作规则匹配的任何新会话。

  • IP 阻止 — 与 IP 操作规则匹配的任何会话的所有数据包都将以静默方式丢弃。

    当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP 操作。最严重的 IP 操作是“关闭会话”操作,其次是“丢弃/阻止会话”操作,然后是“通知”操作。

IP 目标

选择一个选项以阻止将来的连接:

  • None — 不匹配任何流量。

  • 目标地址 — 根据攻击流量的目标地址匹配流量。

  • 服务 — 对于 TCP 和 UDP,根据攻击流量的源地址、源端口、目标地址和目标端口匹配流量。这是默认设置。

  • 源地址 — 根据攻击流量的源地址匹配流量。

  • 源区 — 基于攻击流量的源区匹配流量。

  • 源区地址 — 根据攻击流量的源区和源地址匹配流量。

  • 区域服务 — 根据攻击流量的源区域、目标地址、目标端口和协议匹配流量。

刷新超时

启用此选项可刷新 IP 操作超时,以便在将来的连接与 IP 操作筛选器匹配时不会过期。

超时值

输入您希望 IP 操作在流量匹配后保持有效的秒数。

默认值为 0 秒,范围为 0 到 64,800 秒。

记录

启用此选项可记录有关针对与规则匹配的流量的 IP 操作的信息。

日志创建

启用此选项可在 IP 操作过滤器上生成日志事件。

附加选项

单击“附加”字段并配置其他设置。

附加选项

严厉

选择严重性级别以覆盖规则中继承的攻击严重性。级别(按严重程度递增的顺序)是信息、警告、次要、主要和严重。最危险的级别是关键级别,它试图使您的服务器崩溃或控制您的网络。信息是危险性最低的级别,网络管理员使用它来发现其安全系统中的漏洞。

终端

启用此选项可设置终端规则标志。当终端规则匹配时,设备将停止匹配会话的规则。

描述

输入 IPS 策略规则的描述;最大长度为 4096 个字符。
表 2:IPS 策略模板规则设置

设置

指引

名字

输入唯一的字母数字字符、冒号、句点、破折号和下划线字符串。不允许有空格,最大长度为 63 个字符。

IPS 类型

显示指定类型的规则。例如,IPS、Exempt。

IPS 签名

单击“IPS 签名”字段并配置 IPS 签名设置。

IPS 签名

IPS 签名

从“可用”列中选择一个或多个可用的 IPS 签名,以包含在策略规则的选定列表中。

添加新的 IPS 签名

单击该按钮以添加新的 IPS 签名。

行动

单击“操作”字段并配置操作设置。

行动

行动

选择一个选项,以便在监控的流量与规则中指定的攻击对象匹配时,您希望 IPS 执行的操作:

  • 无操作 (No Action) - 不执行操作。如果您只想为某些流量生成日志,请使用此操作。

  • 忽略 — 如果发现攻击匹配,则停止扫描流量以查找连接的其余部分。IPS 禁用特定连接的规则库。

    注意:

    此操作并不意味着忽略攻击。

  • 丢弃数据包 — 在匹配的数据包到达目的地之前丢弃它,但不会关闭连接。使用此操作可在容易发生欺骗的流量(如 UDP 流量)中丢弃攻击的数据包。断开此类流量的连接可能会导致拒绝服务,从而阻止您接收来自合法源 IP 地址的流量。

  • 丢弃连接 — 丢弃与连接关联的所有数据包,阻止连接流量到达其目标。使用此操作可断开不容易发生欺骗的流量的连接。

  • 关闭客户端 — 关闭连接并向客户端(但不向服务器)发送RST数据包。

  • 关闭服务器 — 关闭连接并向服务器(但不向客户端)发送RST数据包。

  • 关闭客户端和服务器 — 关闭连接并向客户端和服务器发送RST数据包。

  • 推荐 — 提供瞻博网络视为严重威胁的所有攻击对象的列表,并按类别进行组织。例如,严重性按分配给攻击的严重性对攻击对象进行分组。

  • Diffserv 标记 — 在攻击中为数据包分配指示的差异服务代码点 (DSCP) 值,然后正常传递数据包。

    选择 Diffserv 标记时,需要输入代码值。

    • Diffserv 标记的代码点 - 输入代码点值。行为聚合分类器根据 DSCP 值设置流量的转发类和丢包优先级,从而决定流量接收的转发处理。

注意:

DSCP 值不应用于第一个被检测为攻击的数据包,而是应用于后续数据包。

通知选项

单击“通知”字段并配置通知设置。

通知选项

攻击日志

启用此选项可记录攻击。

警报标志

启用此选项可向攻击日志添加警报标志。

日志数据包

启用此选项可在规则匹配时记录数据包捕获。

之前的数据包

输入在捕获攻击之前处理的数据包数。

之后的数据包

输入捕获攻击后处理的数据包数。

发布窗口超时

输入捕获会话攻击后数据包的时间限制。

超时到期后,不会进行数据包捕获。范围为 0 到 1800 秒。

IP 操作选项。

单击“IP 操作”字段并配置 IP 操作设置。

IP 操作选项。

IP 操作

选择一个选项以对使用相同 IP 操作属性的未来连接应用操作:

  • None — 不对未来的流量采取任何措施。

  • IP 通知 — 不对未来流量采取任何措施,但会记录事件。这是默认设置。

  • IP 关闭 — 通过向客户端和服务器发送RST数据包,关闭与此IP操作规则匹配的任何新会话。

  • IP 阻止 — 与 IP 操作规则匹配的任何会话的所有数据包都将以静默方式丢弃。

    当流量与多个规则匹配时,将应用所有匹配规则中最严重的 IP 操作。最严重的 IP 操作是“关闭会话”操作,其次是“丢弃/阻止会话”操作,然后是“通知”操作。

IP 目标

选择一个选项以阻止将来的连接:

  • None — 不匹配任何流量。

  • 目标地址 — 根据攻击流量的目标地址匹配流量。

  • 服务 — 对于 TCP 和 UDP,根据攻击流量的源地址、源端口、目标地址和目标端口匹配流量。这是默认设置。

  • 源地址 — 根据攻击流量的源地址匹配流量。

  • 源区 — 基于攻击流量的源区匹配流量。

  • 源区地址 — 根据攻击流量的源区和源地址匹配流量。

  • 区域服务 — 根据攻击流量的源区域、目标地址、目标端口和协议匹配流量。

刷新超时

启用此选项可刷新 IP 操作超时,以便在将来的连接与 IP 操作筛选器匹配时不会过期。

超时值

输入您希望 IP 操作在流量匹配后保持有效的秒数。

默认值为 0 秒,范围为 0 到 64,800 秒。

记录

启用此选项可记录有关针对与规则匹配的流量的 IP 操作的信息。

日志创建

启用此选项可在 IP 操作过滤器上生成日志事件。

附加选项

单击“附加”字段并配置其他设置。

附加选项

严厉

选择严重性级别以覆盖规则中继承的攻击严重性。级别(按严重程度递增的顺序)是信息、警告、次要、主要和严重。最危险的级别是关键级别,它试图使您的服务器崩溃或控制您的网络。信息是危险性最低的级别,网络管理员使用它来发现其安全系统中的漏洞。

终端

启用此选项可设置终端规则标志。当终端规则匹配时,设备将停止匹配会话的规则。

描述

输入 IPS 策略规则的描述;最大长度为 1024 个字符。

相关主题