Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

침입 탐지 및 방지(IDP) 정책 규칙 및 침입 탐지 및 방지(IDP) 규칙 기반

침입 탐지 및 방지(IDP) 정책은 규칙 및 규칙 기반의 모음입니다.

자세한 내용은 다음 항목을 참조하세요.

침입 탐지 및 방지(IDP) 정책 규칙 기반 이해

규칙 베이스는 특정 탐지 방법을 사용하여 공격을 식별하고 방지하는 정렬된 규칙 집합입니다.

규칙은 침입 탐지 및 방지(IDP) 시스템이 공격을 찾기 위해 조사해야 하는 네트워크 트래픽 부분을 지정하여 탐지 메커니즘에 컨텍스트를 제공하는 지침입니다. 규칙이 일치하면 네트워크 트래픽에서 공격이 감지되어 해당 규칙에 대한 작업이 트리거되었음을 의미합니다. 침입 탐지 및 방지(IDP) 시스템은 지정된 작업을 수행하고 해당 공격으로부터 네트워크를 보호합니다.

각 규칙 베이스에는 여러 개의 규칙이 있을 수 있습니다. 원하는 순서대로 배치하여 네트워크 트래픽에 적용되는 순서를 결정할 수 있습니다. 침입 탐지 및 방지(IDP) 시스템의 각 규칙 베이스는 특정 탐지 방법을 사용하여 공격을 식별하고 방지합니다. Junos OS는 침입 방지 시스템(IPS) 규칙 베이스와 면제 규칙 베이스라는 두 가지 유형의 규칙 베이스를 지원합니다.

침입 탐지 및 방지(IDP) 정책 규칙 이해

침입 탐지 및 방지(IDP) 정책의 각 명령을 규칙이라고 합니다. 규칙은 규칙 베이스에 생성됩니다.

규칙 베이스는 침입 탐지 및 방지(IDP) 정책을 정의하기 위해 결합되는 규칙 집합입니다. 규칙은 침입 탐지 및 방지(IDP) 시스템이 공격을 찾기 위해 조사해야 하는 네트워크 트래픽 부분을 지정함으로써 탐지 메커니즘에 컨텍스트를 제공합니다. 규칙이 일치하면 네트워크 트래픽에서 공격이 감지되어 해당 규칙에 대한 작업이 트리거되었음을 의미합니다. 침입 탐지 및 방지(IDP) 시스템은 지정된 작업을 수행하고 해당 공격으로부터 네트워크를 보호합니다.

침입 탐지 및 방지(IDP) 정책 규칙은 다음과 같은 구성 요소로 구성됩니다.

침입 탐지 및 방지(IDP) 규칙 일치 조건 이해

일치 조건은 침입 탐지 및 방지(IDP)가 공격에 대해 모니터링할 네트워크 트래픽의 유형을 지정합니다.

일치 조건은 다음 특성을 사용하여 모니터링할 네트워크 트래픽 유형을 지정합니다.

  • From-zoneto-zone- 모든 트래픽이 소스에서 대상 영역으로 흐릅니다. 소스 또는 대상에 대한 영역을 선택할 수 있습니다. 또한 영역 예외를 사용하여 각 장치에 대해 고유한 영역과 시작 영역을 지정할 수 있습니다. 모든 영역에서 시작되고 모든 영역으로 들어오는 네트워크 트래픽을 모니터링하도록 지정합니다 any . 기본값은 any입니다.

    메모:

    이(가) 인 경우 from-zonesource-except 주소를 지정할 source-address 수 있습니다any. 마찬가지로 이(가any) 인 경우 to-zonedestination-except 주소를 지정할 destination-address 수 있습니다.

  • Source IP address- 네트워크 트래픽이 시작되는 소스 IP 주소를 지정합니다. 모든 IP 주소에서 발생하는 네트워크 트래픽을 모니터링하도록 지정할 any 수 있습니다. 지정된 주소를 제외한 모든 소스를 지정하도록 지정할 source-except 수도 있습니다. 기본값은 any입니다.

  • Destination IP address- 네트워크 트래픽이 전송되는 대상 IP 주소를 지정합니다. 모든 IP 주소로 전송되는 네트워크 트래픽을 모니터링하려면 이 any 값을 로 설정할 수 있습니다. 지정된 주소를 제외한 모든 수신인을 지정하도록 지정할 destination-except 수도 있습니다. 기본값은 any입니다.

  • Application- 대상 IP 주소에서 지원하는 애플리케이션 레이어 프로토콜을 지정합니다. 모든 응용 프로그램에 대해 지정 any 하거나 응용 프로그램을 지정할 수 있습니다(예: junos-bgp). 규칙에 대해 공격 객체에 구성된 애플리케이션이 기본 및 자동 탐지 포트를 공격 객체에 내포된 애플리케이션과 일치하도록 지정할 default 수 있습니다.

침입 탐지 및 방지(IDP) 규칙 객체 이해

객체는 규칙에 적용할 수 있는 재사용 가능한 논리적 엔터티입니다. 사용자가 만든 각 개체는 해당 개체 유형에 대한 데이터베이스에 추가됩니다.

침입 탐지 및 방지(IDP) 규칙에 대해 다음과 같은 유형의 객체를 구성할 수 있습니다.

영역 개체

영역 또는 보안 영역은 하나 이상의 네트워크 인터페이스 모음입니다. 침입 탐지 및 방지(IDP)는 기본 시스템에 구성된 영역 객체를 사용합니다.

주소 또는 네트워크 개체

주소 개체는 호스트 시스템, 서버 및 서브넷과 같은 네트워크의 구성 요소를 나타냅니다. 침입 탐지 및 방지(IDP) 정책 규칙의 주소 개체를 사용하여 보호할 네트워크 구성 요소를 지정할 수 있습니다.

응용 프로그램 또는 서비스 개체

서비스 개체는 TCP, UDP, RPC 및 ICMP와 같은 전송 계층 프로토콜을 사용하는 네트워크 서비스를 나타냅니다. 규칙에서 서비스 객체를 사용하여 공격이 네트워크에 액세스하는 데 사용하는 서비스를 지정합니다. 주니퍼 네트웍스는 업계 표준 서비스를 기반으로 하는 서비스 객체의 데이터베이스인 사전 정의된 서비스 객체를 제공합니다. 사전 정의된 서비스 개체에 포함되지 않은 서비스 개체를 추가해야 하는 경우 사용자 지정 서비스 개체를 만들 수 있습니다. 침입 탐지 및 방지(IDP)는 다음과 같은 유형의 서비스 객체를 지원합니다.

  • Any- IDP가 모든 전송 레이어 프로토콜을 일치시킬 수 있습니다.

  • TCP- 지정된 TCP 포트에 대한 네트워크 서비스와 일치하는 TCP 포트 또는 포트 범위를 지정합니다. 모든 TCP 포트에 대해 서비스를 일치시키도록 지정할 junos-tcp-any 수 있습니다.

  • UDP- 지정된 UDP 포트에 대한 네트워크 서비스와 일치하는 UDP 포트 또는 포트 범위를 지정합니다. 모든 UDP 포트에 대해 서비스를 일치시키도록 지정할 junos-udp-any 수 있습니다.

  • RPC- 원격 프로시저 호출(Sun Microsystems의 RPC) 프로그램 번호 또는 프로그램 번호 범위를 지정합니다. 침입 탐지 및 방지(IDP)는 이 정보를 사용하여 RPC 세션을 식별합니다.

  • ICMP- ICMP 패킷의 일부인 유형 및 코드를 지정합니다. 모든 ICMP 서비스를 일치시키도록 지정할 junos-icmp-all 수 있습니다.

  • default—침입 탐지 및 방지(IDP)가 기본 및 자동 탐지된 프로토콜을 공격 객체에 내포된 애플리케이션과 일치시킬 수 있습니다.

공격 객체

침입 탐지 및 방지(IDP) 공격 객체는 알려진 공격과 알려지지 않은 공격을 나타냅니다. 침입 탐지 및 방지(IDP)에는 주니퍼 네트웍스가 주기적으로 업데이트하는 사전 정의된 공격 객체 데이터베이스가 포함되어 있습니다. 공격 객체는 악의적인 활동을 식별하기 위해 규칙에 지정됩니다. 각 공격은 알려진 공격 패턴을 나타내는 공격 객체로 정의됩니다. 모니터링되는 네트워크 트래픽에서 이러한 알려진 공격 패턴이 발생할 때마다 공격 객체가 일치합니다. 세 가지 주요 공격 객체 유형은 표 1에 설명되어 있습니다.

표 1: 침입 탐지 및 방지(IDP) 공격 객체 설명

공격 객체

묘사

시그니처 공격 객체

시그니처 공격 객체는 스테이트풀 공격 시그니처를 사용하여 알려진 공격을 탐지합니다. 공격 시그니처는 공격 내에 항상 존재하는 패턴입니다. 공격이 존재하면 공격 시그니처도 존재합니다. IDP는 스테이트풀 시그니처를 사용하여 공격을 저지르는 데 사용된 특정 프로토콜 또는 서비스, 공격의 방향과 흐름, 공격이 발생하는 컨텍스트를 찾을 수 있습니다. 스테이트풀 시그니처는 공격의 맥락이 정의되어 공격이 발생하지 않는 네트워크 트래픽의 거대한 부분을 제거하기 때문에 오탐을 거의 생성하지 않습니다.

프로토콜 이상 공격 객체

프로토콜 이상 공격 객체는 네트워크에서 비정상적인 활동을 식별합니다. 사용 중인 특정 프로토콜에 대한 규칙 집합에 따라 연결 내에서 비정상적이거나 모호한 메시지를 감지합니다. 프로토콜 이상 탐지는 대부분 RFC 및 일반적인 RFC 확장으로 정의되는 프로토콜 표준과의 편차를 찾는 방식으로 작동합니다. 대부분의 합법적인 트래픽은 설정된 프로토콜을 따릅니다. 그렇지 않은 트래픽은 침입 방지 시스템(IPS) 회피와 같은 특정 목적을 위해 공격자가 만들 수 있는 이상을 생성합니다.

복합 공격 객체

복합 공격 객체는 여러 시그니처 및/또는 프로토콜 이상을 하나의 객체로 결합합니다. 트래픽은 복합 공격 객체와 일치하도록 결합된 시그니처 및/또는 프로토콜 이상을 모두 일치시켜야 합니다. 서명 또는 변칙이 일치해야 하는 순서를 지정할 수 있습니다. 복합 공격 객체를 사용하여 침입 탐지 및 방지(IDP) 정책 규칙을 구체화하고, 오탐을 줄이며, 탐지 정확도를 높일 수 있습니다. 복합 공격 객체를 사용하면 침입 탐지 및 방지(IDP)가 트래픽을 공격으로 식별하기 전에 발생해야 하는 이벤트에 대해 매우 구체적으로 파악할 수 있습니다. , OrOrdered and 연산을 사용하여 And복합 공격 내에서 서로 다른 공격 객체 간의 관계와 이벤트가 발생하는 순서를 정의할 수 있습니다.

공격 객체 그룹

침입 탐지 및 방지(IDP)에는 사전 정의된 공격 객체가 다수 포함되어 있습니다. 침입 탐지 및 방지(IDP) 정책을 체계적이고 관리하기 쉽게 유지하기 위해 공격 객체를 그룹화할 수 있습니다. 공격 객체 그룹에는 서로 다른 유형의 공격 객체가 하나 이상 포함될 수 있습니다. Junos OS는 다음과 같은 세 가지 유형의 공격 그룹을 지원합니다.

  • 사전 정의된 공격 객체 그룹 - 시그니처 데이터베이스에 있는 객체를 포함합니다. 사전 정의된 공격 객체 그룹은 본질적으로 동적입니다. 예를 들어 FTP: 마이너 그룹은 애플리케이션(FTP 및 심각도)의 모든 공격을 선택합니다. 보안 데이터베이스에 경미한 심각도의 새 FTP 공격이 도입되면 기본적으로 FTP: 마이너 그룹에 추가됩니다.

  • 동적 공격 그룹 - 특정 일치 기준에 따른 공격 객체를 포함합니다. 예를 들어, 동적 그룹에는 애플리케이션과 관련된 모든 공격이 포함될 수 있습니다. 시그니처 업데이트 중에 동적 그룹 구성원은 해당 그룹의 일치 기준에 따라 자동으로 업데이트됩니다.

    방향 필터를 사용하는 동적 공격 그룹의 경우 제외 값에 표현식 and 을 사용해야 합니다. 모든 필터의 경우와 마찬가지로 기본 표현식은 or입니다. 그러나 방향 필터의 경우 선택할 and 수 있습니다.

    예를 들어, 클라이언트에서 서버로의 방향이 모든 공격을 선택하려면 명령을 사용하여 set security idp dynamic-attack-group dyn1 filters direction values client-to-server 방향 필터를 구성합니다

    연쇄 공격의 경우 여러 구성원 각각에는 고유한 방향이 있습니다. 정책에 체인 공격이 포함된 경우 클라이언트-서버 필터는 클라이언트-서버 구성원이 방향인 모든 체인 공격을 선택합니다. 즉, 체인에 클라이언트-서버를 방향으로하는 구성원이 하나 이상 있는 경우 서버 대 클라이언트 또는 ANY를 지시로 사용하는 구성원을 포함하는 체인 공격이 선택됩니다.

    다음 명령을 사용하여 특정 공격 객체 그룹(사전 정의된 공격 그룹, 동적 공격 그룹, 사용자 지정 공격 그룹)에 존재하는 공격 객체와 사전 정의된 공격 객체가 속한 그룹을 볼 수 있습니다.

    • show security idp attack attack-list attack-group group-name

    • show security idp attack group-list attack-name

    show security idp attack attack-list attack-group group-name 명령을 사용하여 다음을 수행할 수 있습니다.

    • 지정된 공격 그룹(예: 사용자 지정, 동적 및 사전 정의된 그룹)에 있는 모든 공격의 목록을 봅니다.

    • predefined-group <predefined-group-name> 또는 dynamic-group <dynamic-group-name> 또는 custom-group <custom-group-name>과 같은 그룹 이름을 지정하여 해당 그룹의 공격 목록을 표시합니다.

    show security idp attack group-list 명령을 사용하여 사전 정의된 공격이 속한 공격 그룹 목록을 볼 수 있습니다.

    메모:

    정의된 필터가 없는 사전 정의된 공격 그룹의 경우, 해당 그룹은 공격의 구성원으로 표시되지 않습니다.

    show security idp attack attack-list policy policy-name 구성된 침입 탐지 및 방지(IDP) 정책에서 사용할 수 있는 공격을 보려면 명령을 사용합니다. 침입 탐지 및 방지(IDP) 정책이 다양한 공격 그룹에 속하는 특정 공격을 포함하도록 구성된 경우, 중복 공격 이름은 침입 탐지 및 방지(IDP) 정책 명령 출력에 공격의 일부로 표시됩니다.

    이전에 침입 탐지 및 방지(IDP) 서명 업데이트는 필터에서 9개의 태그만 지원했습니다. 7개의 태그는 범주, 방향, 오탐, 성능, 제품, 권장, 서비스, 심각도 및 공급업체입니다. 침입 탐지 및 방지(IDP) 서명 업데이트는 이제 기존 9개의 태그 외에도 보다 정교한 동적 그룹을 생성하기 위해 필터 아래에 4개의 새로운 추가 태그를 지원합니다.

    추가 태그는 다음과 같습니다.

    • CVSS(Common Vulnerability Scoring System)(0에서 10 사이의 숫자로 측정됨. 값은 10진수 값을 포함하는 실수입니다. 따라서 5.5와 같은 숫자 값도 유효한 CVSS 점수입니다.)

    • 공격 연령(년 및 (0세에서 100세) 사이의 분노). 예: 년보다 크거나 작음)

    • 파일 형식(예: MPEG, MP4, PPT, *.doc 등)

    • 취약점 유형(예: 버퍼 오버플로, 주입, 해제 후 사용, XSS(교차 사이트 스크립팅), RCE(원격 코드 실행) 등)

    또한 기존 제품 및 공급업체 태그를 구성하기 위한 CLI 인터페이스가 구성에 사용할 수 있는 완료를 통해 보다 사용자 친화적으로 만들어졌습니다.

    • 공급업체(예: Microsoft, Apple, Red Hat, Google, Juniper, Cisco, Oracle 등)

    • 제품(예: Office, 데이터베이스, Firefox, Chrome, Flash, DirectX, Java, Kerberos 등)

    이러한 연쇄 공격이 정책에 추가되는 것을 방지하려면 다음과 같이 동적 그룹을 구성하십시오.

    • set security idp dynamic-attack-group dyn1 filters direction expression and

    • set security idp dynamic-attack-group dyn1 filters direction values client-to-server

    • set security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-client

    • set security idp dynamic-attack-group dyn1 filters direction values exclude-any

  • 사용자 지정 공격 그룹—고객이 정의한 공격 그룹을 포함하며 CLI를 통해 구성할 수 있습니다. 여기에는 사전 정의된 특정 공격, 사용자 지정 공격, 사전 정의된 공격 그룹 또는 동적 공격 그룹이 포함될 수 있습니다. 공격이 그룹에 지정되기 때문에 본질적으로 정적입니다. 따라서 보안 데이터베이스가 업데이트될 때 공격 그룹은 변경되지 않습니다.

Junos 릴리스 21.2R3부터 테넌트 및 논리적 시스템 모드의 IPS/면제 규칙에 따라 사전 정의된 공격 및 공격 그룹의 IPS 정책을 볼 수 있습니다. , 및 show security idp attack group-list 명령을 show security idp attack attack-group-entriesshow security idp attack attack-list사용하여 논리적 시스템 및 테넌트 모드에서 IPS 정책을 확인합니다.

침입 탐지 및 방지(IDP) 규칙 작업 이해

Actions 모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IDP가 수행할 작업을 지정합니다.

표 2 에는 침입 탐지 및 방지(IDP) 규칙에 지정할 수 있는 작업이 나와 있습니다.

표 2: 침입 탐지 및 방지(IDP) 규칙 작업

학기

정의

No Action

아무 작업도 수행되지 않습니다. 일부 트래픽에 대한 로그만 생성하려는 경우 이 작업을 사용합니다.

Ignore Connection

공격 일치가 발견되면 나머지 연결에 대한 트래픽 검색을 중지합니다. 침입 탐지 및 방지(IDP)는 특정 연결에 대한 규칙 베이스를 비활성화합니다.

메모:

이 작업은 공격을 무시하는 것을 의미하지 않습니다.

Diffserv Marking

표시된 DSCP(Differentiated Services Code Point) 값을 공격의 패킷에 할당한 다음 패킷을 정상적으로 전달합니다.

DSCP 값은 공격으로 탐지된 첫 번째 패킷에는 적용되지 않지만 후속 패킷에 적용됩니다.

Drop Packet

대상에 도달하기 전에 일치하는 패킷을 삭제하지만 연결을 닫지는 않습니다. UDP 트래픽과 같이 스푸핑이 발생하기 쉬운 트래픽의 공격에 대한 패킷을 삭제하려면 이 작업을 사용합니다. 이러한 트래픽에 대한 연결을 끊으면 합법적인 원본-IP 주소에서 트래픽을 수신하지 못하게 하는 서비스 거부가 발생할 수 있습니다.

메모:

침입 탐지 및 방지(IDP) 정책이 모든 애플리케이션에 대한 사용자 지정 서명에 정의된 비패킷 컨텍스트를 사용하여 구성되고 작업 드롭 패킷이 있는 경우, IDP가 공격을 식별하면 디코더가 drop_packet drop_connection로 승격합니다. DNS 프로토콜 공격의 경우에는 그렇지 않습니다. DNS 디코더는 공격이 식별될 때 drop_packet drop_connection로 승격하지 않습니다. 이렇게 하면 DNS 공격 트래픽만 삭제되고 유효한 DNS 요청이 계속 처리됩니다. 이렇게 하면 유효한 TCP DNS 요청에 대한 TCP 재전송도 방지할 수 있습니다.

Drop Connection

연결과 관련된 모든 패킷을 삭제하여 연결 트래픽이 대상에 도달하지 못하도록 합니다. 스푸핑이 발생하지 않는 트래픽에 대한 연결을 끊으려면 이 작업을 사용합니다.

Close Client

연결을 닫고 RST 패킷을 클라이언트로 보내지만 서버에는 보내지 않습니다.

Close Server

연결을 닫고 RST 패킷을 클라이언트가 아닌 서버로 보냅니다.

Close Client and Server

연결을 닫고 클라이언트와 서버 모두에 RST 패킷을 보냅니다.

Recommended

사전 정의된 모든 공격 객체에는 이와 관련된 기본 작업이 있습니다. 이는 공격이 탐지되었을 때 주니퍼 네트웍스가 권장하는 조치입니다.

메모:

이 작업은 IPS 규칙 베이스에 대해서만 지원됩니다.

권장 - 주니퍼 네트웍스가 심각한 위협으로 간주하는 모든 공격 객체의 목록으로, 범주별로 정리되어 있습니다.

  • 공격 유형 그룹은 유형(이상 또는 시그니처)별로 객체를 공격합니다. 각 유형 내에서 공격 객체는 심각도에 따라 그룹화됩니다.

  • 범주 그룹은 사전 정의된 범주별로 객체를 공격합니다. 각 범주 내에서 공격 객체는 심각도에 따라 그룹화됩니다.

  • 운영 체제 그룹은 적용되는 운영 체제(BSD, Linux, Solaris 또는 Windows)별로 개체를 공격합니다. 각 운영 체제 내에서 공격 객체는 서비스 및 심각도별로 그룹화됩니다.

  • 심각도 그룹은 공격에 할당된 심각도에 따라 객체를 공격합니다. IDP에는 위험, 주요, 사소, 경고 및 정보의 5가지 심각도 수준이 있습니다. 각 심각도 내에서 공격 객체는 범주별로 그룹화됩니다.

침입 탐지 및 방지(IDP) 규칙 IP 작업 이해

IP 작업은 동일한 IP 작업 속성을 사용하는 향후 연결에 적용되는 작업입니다. 예를 들어, 호스트 간의 세션에서 공격이 탐지될 경우 두 호스트 간의 향후 모든 HTTP 세션을 차단하도록 규칙에서 IP 작업을 구성할 수 있습니다. 또는 지정된 시간 제한 값 내에서 새 세션이 시작되는 경우에만 작업을 적용하도록 정의하는 시간 제한 값을 지정할 수 있습니다. IP 작업의 기본 시간 제한 값은 0이며, 이는 IP 작업이 시간 초과되지 않음을 의미합니다.

IP 작업은 다른 작업과 유사합니다. IDP에 연결을 끊거나 닫도록 지시합니다. 그러나 이제 공격자의 IP 주소도 있으므로 지정된 시간 동안 공격자를 차단하도록 선택할 수 있습니다. 공격자가 네트워크 연결을 즉시 다시 확보할 수 없는 경우 더 쉬운 대상을 공격하려고 할 수 있습니다. IP 작업을 작업 및 로깅과 함께 사용하여 네트워크를 보호합니다.

IP 작업 속성은 다음 필드의 조합입니다.

  • 소스 IP 주소

  • 대상 IP 주소

  • 목적지 포트

  • 프롬 존(From-zone)

  • 프로토콜

표 3 에는 침입 탐지 및 방지(IDP) 규칙에서 지원하는 IP 작업 유형이 요약되어 있습니다.

표 3: 침입 탐지 및 방지(IDP) 규칙 IP 작업

학기

정의

Notify

향후 트래픽에 대해 어떠한 조치도 취하지 않고 이벤트를 기록합니다. 이것이 기본값입니다.

Drop/Block Session

IP 동작 규칙과 일치하는 모든 세션의 모든 패킷은 자동으로 삭제됩니다.

Close Session

이 IP 동작 규칙과 일치하는 모든 새 세션은 클라이언트 및 서버에 RST 패킷을 전송하여 닫힙니다.

트래픽이 여러 규칙과 일치하면 일치하는 모든 규칙 중 가장 심각한 IP 작업이 적용됩니다. 가장 심각한 IP 작업은 세션 닫기 작업이고, 다음으로 심각도가 높은 것은 세션 삭제/차단 작업, 알림 작업 순입니다.

메모:

중앙 지점을 개선한 후 시스템에는 다음과 같은 제한 사항이 있습니다.

  • 각 SPU의 최대 활성 모드 ip-action 수는 600,000개 엔트리로 제한됩니다. 이 제한에 도달하면 SPU에서 새로운 활성 모드 ip-action 엔트리를 생성할 수 없습니다.

  • 각 SPU의 최대 모든 모드(활성 모드 및 패시브 모드) ip-action 수는 1200,000개 항목으로 제한됩니다. 이 제한에 도달하면 SPU에서 새로운 활성 모드 ip-action 엔트리를 생성할 수 없습니다.

  • 명령을 ip-action 실행하면 clear ip-action 링 메시지를 통해 항목이 삭제됩니다. CPU 사용량이 높으면 삭제된 링 메시지가 삭제되고 활성 모드에 ip-action의해 다시 전송됩니다. 삭제 프로세스에 시간이 걸리므로 명령을 실행할 show ip-action 때 항목이 거의 ip-action 표시되지 않습니다.

중앙점 향상이 수행되지 않은 디바이스에서는 활성 모드 ip-action 만 존재하며 최대 ip-action 수는 600000으로 제한됩니다. 이 제한에 도달하면 새 활성 모드 ip-action 항목을 만들 수 없습니다.

침입 탐지 및 방지(IDP) 규칙 알림 이해

알림은 작업이 수행될 때 정보가 기록되는 방법을 정의합니다. 공격이 탐지되면 공격을 기록하고 공격 정보가 포함된 로그 레코드를 만들어 해당 정보를 로그 서버로 보내도록 선택할 수 있습니다.

알림을 사용하여 로그 서버가 각 규칙에 대해 생성된 로그에 대해 특정 작업을 수행하도록 지시하는 다음 옵션을 구성할 수도 있습니다.

  • Set Alerts- 침입 탐지 및 방지(IDP) 정책에서 규칙에 대한 경고 옵션을 지정합니다. 규칙이 일치하면 해당 로그 레코드의 로그 뷰어의 경고 열에 경고가 표시됩니다. 보안 관리자는 경고를 사용하여 중요한 보안 이벤트를 인식하고 대응할 수 있습니다.

  • Set Severity Level- 로그 서버에서 로그 레코드를 더 잘 구성하고 표시할 수 있도록 로깅의 심각도 수준을 설정합니다. 선택한 공격 객체의 기본 심각도 설정을 사용하거나 규칙의 특정 심각도를 선택할 수 있습니다. 규칙에서 구성하는 심각도는 상속된 공격 심각도보다 우선합니다. 심각도 수준을 다음 수준으로 설정할 수 있습니다.

    • 정보 - 2

    • 경고—3

    • 미성년자—4

    • 전공—5

    • 중요—7

예: 침입 탐지 및 방지(IDP) 규칙 베이스에 규칙 삽입

이 예에서는 침입 탐지 및 방지(IDP) 규칙 베이스에 규칙을 삽입하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

개요

침입 탐지 및 방지(IDP) 규칙 일치 알고리즘은 규칙 베이스의 맨 위에서 시작하여 지정된 일치 조건과 일치하는 규칙 베이스의 모든 규칙에 대해 트래픽을 확인합니다. 규칙을 원하는 순서로 배치하여 네트워크 트래픽에 규칙이 적용되는 순서를 결정합니다. 규칙 베이스에 규칙을 추가하면 기존 규칙 목록의 끝에 배치됩니다. 규칙 베이스의 끝이 아닌 다른 위치에 규칙을 배치하려면 규칙 베이스의 원하는 위치에 규칙을 배치해야 insert 합니다. 이 예에서는 base-policy라는 정책의 IDP IPS 규칙 베이스에서 규칙 R1 앞에 규칙 R2를 배치합니다.

구성

절차

단계별 절차

규칙 베이스에 규칙을 삽입하려면 다음을 수행합니다.

  1. 규칙을 평가하려는 순서에 따라 규칙 베이스에서 규칙의 위치를 정의합니다.

  2. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security idp status .

예: 침입 탐지 및 방지(IDP) 규칙 베이스에서 규칙 비활성화 및 활성화

이 예제에서는 규칙 베이스에서 규칙을 비활성화하고 활성화하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

개요

규칙 베이스에서 및 activate 명령을 사용하여 deactivate 규칙을 비활성화하고 활성화할 수 있습니다. 명령은 deactivate 구성에서 지정된 명령문을 주석 처리합니다. 비활성화된 규칙은 명령을 실행할 commit 때 적용되지 않습니다. 이 activate 명령은 지정된 명령문을 구성에 다시 추가합니다. 활성화된 규칙은 다음에 명령을 실행할 commit 때 적용됩니다. 이 예는 base-policy라는 정책과 연결된 침입 탐지 및 방지(IDP) IPS 규칙 베이스에서 규칙 R2를 비활성화하고 재활성화하는 방법을 보여줍니다.

구성

절차

단계별 절차

규칙 베이스에서 규칙을 비활성화 및 활성화하려면:

  1. 비활성화할 규칙을 지정합니다.

  2. 규칙을 활성화합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security idp status .

침입 탐지 및 방지(IDP) 애플리케이션 수준 DDoS 규칙 기반 이해

애플리케이션 수준 DDoS 규칙 베이스는 애플리케이션 수준 DDoS(분산 서비스 거부) 공격으로부터 DNS 또는 HTTP와 같은 서버를 보호하는 데 사용되는 매개 변수를 정의합니다. 일반적인 서버 활동 요청을 기반으로 사용자 지정 응용 프로그램 메트릭을 설정하여 클라이언트를 공격 클라이언트로 간주해야 하는 시기를 결정할 수 있습니다. 그런 다음 애플리케이션 수준 DDoS 규칙 베이스를 사용하여 모니터링해야 하는 트래픽에 대한 소스 일치 조건을 정의한 다음 정의된 작업(서버 닫기, 연결 삭제, 패킷 삭제 또는 작업 없음)을 수행합니다. 또한 ip-block, ip-close, ip-notify, ip-connection-rate-limit 또는 timeout과 같은 IP 작업을 수행할 수도 있습니다. 표 4 에는 애플리케이션 수준 DDoS 규칙 기반 규칙에서 구성할 수 있는 옵션이 요약되어 있습니다.

표 4: 애플리케이션 수준 DDoS 규칙 기반 구성 요소

학기

정의

Match condition

디바이스에서 공격을 모니터링할 네트워크 트래픽을 지정합니다.

Action

모니터링되는 트래픽이 애플리케이션 수준 DDoS 규칙에 지정된 애플리케이션-디도스(DDoS) 공격 객체와 일치할 때 침입 탐지 및 방지(IDP)가 수행할 작업을 지정합니다.

IP Action

소스 주소를 암묵적으로 차단하여 합법적인 트래픽을 허용하면서 향후 침입으로부터 네트워크를 보호할 수 있습니다. 애플리케이션 수준 DDoS에서 ip-block, ip-close, ip-notify 및 ip-connection-rate-limit IP 작업 옵션 중 하나를 구성할 수 있습니다.

침입 탐지 및 방지(IDP) IPS 규칙 기반 이해

침입 방지 시스템(IPS) 규칙 베이스는 공격 객체를 사용하여 알려진 공격과 알려지지 않은 공격을 탐지함으로써 공격으로부터 네트워크를 보호합니다. 스테이트풀 시그니처 및 프로토콜 이상을 기반으로 공격을 탐지합니다. 표 5 에는 IPS-rulebase 규칙에서 구성할 수 있는 옵션이 요약되어 있습니다.

표 5: IPS Rulebase 구성 요소

학기

정의

Match condition

디바이스에서 공격을 모니터링할 네트워크 트래픽 유형을 지정합니다. 일치 조건에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오.

Attack objects/groups

모니터링되는 네트워크 트래픽에서 디바이스가 일치시킬 공격을 지정합니다. 각 공격은 알려진 공격 패턴을 나타내는 공격 객체로 정의됩니다. 공격 객체에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오.

Terminal flag

터미널 규칙을 지정합니다. 터미널 규칙이 일치하면 디바이스는 세션에 대한 규칙 일치를 중지합니다. 터미널 규칙에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 터미널 규칙 이해를 참조하십시오.

Action

모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 시스템이 취할 조치를 지정합니다. 공격이 여러 규칙 작업을 트리거하는 경우 해당 규칙 중 가장 심각한 작업이 실행됩니다. 작업에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오.

IP Action

합법적인 트래픽을 허용하면서 향후 침입으로부터 네트워크를 보호할 수 있습니다. IPS 규칙 베이스에서 다음 IP 작업 옵션(알림, 삭제 또는 닫기) 중 하나를 구성할 수 있습니다. IP 작업에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오.

Notification

작업이 수행될 때 정보가 기록되는 방법을 정의합니다. 공격을 기록하고, 공격 정보가 포함된 로그 레코드를 만들고, 로그 서버로 정보를 전송하도록 선택할 수 있습니다. 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오.

예: 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙 정의

이 예에서는 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙을 정의하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

메모:

사전 정의된 공격과 함께 침입 탐지 및 방지(IDP) 사용자 지정 정책을 사용하려면 디바이스에 서명 데이터베이스를 다운로드해야 합니다.

자세한 내용은 예: IDP 서명 데이터베이스 수동 업데이트를 참조하십시오.

개요

각 규칙은 일치 조건, 객체, 작업 및 알림으로 구성됩니다. 침입 탐지 및 방지(IDP) 규칙을 정의할 때 소스 영역, 대상 영역, 소스 IP 주소, 대상 IP 주소 및 대상 IP 주소에서 지원하는 애플리케이션 레이어 프로토콜과 같은 특성을 사용하여 IDP가 공격에 대해 모니터링할 네트워크 트래픽 유형을 지정해야 합니다. 규칙은 rulebase에 정의되며 rulebase는 정책과 연결됩니다.

이 예에서는 base-policy라는 정책을 생성하고, 이 정책에 대한 규칙 베이스를 지정한 다음, 이 규칙 베이스에 규칙 R1을 추가하는 방법을 설명합니다. 이 예에서 규칙 R1은 다음과 같습니다.

  • 이전에 구성된 영역에서 라는 untrust이전에 구성된 다른 영역으로 호출 trust 된 모든 트래픽을 포함하도록 일치 조건을 지정합니다. 일치 조건에는 사전 정의된 공격 그룹인 Critical - TELNET도 포함됩니다. 일치 조건 default 의 애플리케이션 설정은 공격 객체에 구성된 모든 애플리케이션과 일치합니다.

  • 규칙 R1의 기준과 일치하는 모든 트래픽에 대한 연결을 끊는 작업을 지정합니다.

  • 공격 로깅을 사용하도록 설정하고 경고 플래그가 공격 로그에 추가되도록 지정합니다.

  • 심각도 수준을 로 critical지정합니다.

규칙을 정의한 후 기본 정책을 디바이스의 활성 정책으로 지정합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙을 정의하려면:

  1. 의미 있는 이름을 할당하여 정책을 만듭니다.

  2. 규칙 베이스를 정책과 연결합니다.

  3. 규칙 베이스에 규칙을 추가합니다.

  4. 규칙에 대한 일치 기준을 정의합니다.

  5. 공격을 일치 기준으로 정의합니다.

  6. 규칙에 대한 작업을 지정합니다.

  7. 규칙에 대한 알림 및 로깅 옵션을 지정합니다.

  8. 규칙의 심각도 수준을 설정합니다.

  9. 정책을 활성화합니다.

결과

구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

구성 확인

목적

침입 탐지 및 방지(IDP) IPS 규칙 베이스 구성에 대한 규칙이 올바른지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp status .

침입 탐지 및 방지(IDP) 면제 규칙 베이스 이해

면제 규칙 베이스는 IPS(침입 방지 시스템) 규칙 베이스와 함께 작동하여 불필요한 알람이 생성되는 것을 방지합니다. 이 규칙 베이스에서 알려진 오탐을 제외하거나 IPS 규칙과 일치하는 특정 소스, 대상 또는 소스/대상 쌍을 제외하도록 규칙을 구성합니다. 트래픽이 IPS 규칙 베이스의 규칙과 일치하는 경우, 시스템은 지정된 작업을 수행하기 전에 트래픽을 예외 규칙 베이스와 일치시키려고 시도합니다. 면제 규칙 베이스에 신중하게 작성된 규칙은 IPS 규칙 베이스에서 생성되는 오탐 수를 크게 줄일 수 있습니다.

다음 조건에서 면제 규칙 베이스를 구성합니다.

  • 침입 탐지 및 방지(IDP) 규칙이 오탐 또는 관련 없는 로그 레코드를 생성하는 하나 이상의 공격 객체를 포함하는 공격 객체 그룹을 사용하는 경우.

  • 특정 소스, 대상 또는 소스/대상 쌍을 IDP 규칙과 일치하지 않도록 제외하려는 경우. 이렇게 하면 IDP가 불필요한 경보를 생성하는 것을 방지할 수 있습니다.

메모:

면제 규칙 베이스를 구성하기 전에 IPS 규칙 베이스를 구성해야 합니다.

표 6 에는 exempt-rulebase 규칙에서 구성할 수 있는 옵션이 요약되어 있습니다.

표 6: 면제된 규칙 기반 옵션

학기

정의

Match condition

IPS 규칙 베이스에서와 동일한 방식으로 디바이스가 공격에 대해 모니터링할 네트워크 트래픽 유형을 지정합니다. 그러나 면제 규칙 베이스에서는 응용 프로그램을 구성할 수 없습니다. 항상 로 설정되어 있습니다 any.

Attack objects/groups

모니터링되는 네트워크 트래픽에서 디바이스가 일치시킬 공격 객체를 not 지정합니다.

예: 침입 탐지 및 방지(IDP) 면제 규칙 베이스에 대한 규칙 정의

이 예에서는 면제 침입 탐지 및 방지(IDP) 규칙 베이스에 대한 규칙을 정의하는 방법을 보여줍니다.

요구 사항

시작하기 전에 IDP IPS 규칙 베이스에서 규칙을 생성합니다. 예: 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙 정의를 참조하십시오.

개요

면제 규칙을 만들 때 다음을 지정해야 합니다.

  • 제외하려는 트래픽의 소스 및 대상입니다. 소스 또는 대상을 로 Any 설정하여 소스에서 시작되거나 대상으로 전송되는 네트워크 트래픽을 제외할 수 있습니다. 또는 source-except destination-except 지정된 소스 또는 대상 주소를 제외한 모든 소스 또는 대상을 지정할 수도 있습니다.

    메모:

    이제 이(가) 일 때 from-zonesource-except 주소를 지정할 source-address 수 있습니다any. 마찬가지로 이(가any) 인 경우 to-zonedestination-except 주소를 지정할 destination-address 수 있습니다.

  • IDP가 지정된 소스/대상 주소에 대해 면제하려는 공격입니다. 예외 규칙에 하나 이상의 공격 객체를 포함해야 합니다.

이 예는 침입 탐지 및 방지(IDP) 정책이 내부 네트워크에서 공격 FTP:USER:ROOT에 대해 오탐을 생성하는 것을 보여줍니다. 소스 IP가 내부 네트워크에서 온 경우 이 공격에 대한 공격 탐지를 제외하도록 규칙을 구성합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

면제 침입 탐지 및 방지(IDP) 규칙 베이스에 대한 규칙을 정의하려면:

  1. 규칙 베이스를 정의하고 제외할 IDP IPS 규칙 베이스를 지정합니다.

  2. 면제 규칙 베이스를 정책 및 영역과 연결하고 규칙 베이스에 규칙을 추가합니다.

  3. 규칙 베이스의 소스 및 대상 주소를 지정합니다.

  4. 공격 탐지에서 제외할 공격을 지정합니다.

  5. 정책을 활성화합니다.

결과

구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

구성 확인

목적

정의된 규칙이 침입 탐지 및 방지(IDP) 규칙 베이스 구성에서 제외되었는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp status .

침입 탐지 및 방지(IDP) 터미널 규칙 이해

침입 탐지 및 방지(IDP) 규칙 일치 알고리즘은 규칙 베이스의 맨 위에서 시작하여 소스, 대상 및 서비스와 일치하는 규칙 베이스의 모든 규칙에 대해 트래픽을 확인합니다. 그러나 규칙을 터미널로 구성할 수 있습니다. 터미널 규칙은 이 알고리즘의 예외입니다. 소스, 대상, 영역 및 애플리케이션에 대한 터미널 규칙에서 일치 항목이 발견되면 IDP는 동일한 소스, 대상 및 애플리케이션에 대한 후속 규칙을 계속 확인하지 않습니다. 트래픽이 일치 규칙의 공격 객체와 일치하는지 여부는 중요하지 않습니다.

다음과 같은 목적으로 터미널 규칙을 사용할 수 있습니다.

  • 동일한 소스 및 대상에 대해 서로 다른 공격에 대해 서로 다른 작업을 설정합니다.

  • 알려진 신뢰할 수 있는 소스에서 발생하는 트래픽을 무시합니다. 일반적으로 작업은 이러한 유형의 터미널 규칙에 대한 것입니다 None .

  • 특정 공격 집합에만 취약한 서버로 전송되는 트래픽을 무시합니다. 일반적으로 작업은 이러한 유형의 터미널 규칙에 대한 것입니다 Drop Connection .

터미널 규칙을 정의할 때는 주의해야 합니다. 부적절한 터미널 규칙은 네트워크를 공격에 노출시킬 수 있습니다. 트래픽이 터미널 규칙의 공격 객체와 일치하지 않더라도 터미널 규칙의 소스, 목적지 및 애플리케이션과 일치하는 트래픽은 후속 규칙과 비교되지 않습니다. 하나의 특정 공격 객체 집합에 대해 특정 유형의 트래픽을 검사하려는 경우에만 터미널 규칙을 사용합니다. 출발지와 대상 모두에 사용하는 any 터미널 규칙에 특히 주의하십시오. 터미널 규칙은 동일한 트래픽과 일치하는 다른 규칙보다 먼저 규칙 베이스의 맨 위에 나타나야 합니다.

예: 규칙 베이스에서 터미널 규칙 설정

이 예에서는 터미널 규칙을 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에:

개요

기본적으로 침입 탐지 및 방지(IDP) 규칙 베이스의 규칙은 터미널이 아니므로 침입 탐지 및 방지(IDP)가 규칙 기반의 모든 규칙을 검사하고 모든 일치 항목을 실행합니다. 규칙을 터미널로 지정할 수 있습니다. 즉, IDP가 터미널 규칙에 지정된 소스, 대상 및 서비스에 대한 일치를 발견하면 해당 연결에 대한 후속 규칙을 검사하지 않습니다.

이 예에서는 터미널 규칙을 구성하는 방법을 보여 줍니다. 트래픽의 소스 IP가 회사의 알려진 신뢰할 수 있는 네트워크에서 비롯된 경우 일치 알고리즘을 종료하도록 규칙 R2를 정의합니다. 이 규칙이 일치하면 IDP는 신뢰할 수 있는 네트워크의 트래픽을 무시하고 세션에서 악성 데이터를 모니터링하지 않습니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

터미널 규칙 구성 방법:

  1. 침입 탐지 및 방지(IDP) 정책을 생성합니다.

  2. 규칙을 정의하고 일치 기준을 설정합니다.

  3. 규칙에 대한 터미널 플래그를 설정합니다.

  4. 공격 탐지에서 제외할 공격을 지정합니다.

  5. 규칙에 대한 작업을 지정합니다.

결과

구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

구성 확인

목적

터미널 규칙이 올바르게 구성되었는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp status .

침입 탐지 및 방지(IDP) 정책의 DSCP 규칙 이해

DSCP(Differentiated Services Code Point)는 IP 패킷 헤더에 정의된 6비트 필드에 인코딩된 정수 값입니다. CoS(class-of-service) 구분을 적용하는 데 사용됩니다. CoS를 사용하면 기본 패킷 전달 동작을 무시하고 특정 트래픽 흐름에 서비스 수준을 할당할 수 있습니다.

침입 탐지 및 방지(IDP) 정책 규칙에서 DSCP 값을 작업으로 구성할 수 있습니다. 먼저 침입 탐지 및 방지(IDP) 정책에서 일치 조건을 정의하여 트래픽을 정의한 다음 DiffServ 마킹 작업을 이와 연결합니다. DSCP 값을 기반으로 행동 집계 분류자는 트래픽이 수신하는 전달 처리를 결정하는 트래픽에 대한 포워딩 클래스와 손실 우선순위를 설정합니다.

침입 탐지 및 방지(IDP) 정책 규칙과 일치하는 모든 패킷의 IP 헤더에는 일치하는 정책에 지정된 DSCP 값으로 재작성된 CoS 필드가 있습니다. 트래픽이 DSCP 값이 다른 여러 규칙과 일치하는 경우, 일치하는 첫 번째 침입 탐지 및 방지(IDP) 규칙이 적용되고 이 침입 탐지 및 방지(IDP) 규칙이 해당 세션의 모든 트래픽에 적용됩니다.

예: 침입 탐지 및 방지(IDP) 정책에서 DSCP 규칙 구성

이 예에서는 침입 탐지 및 방지(IDP) 정책에서 DSCP 값을 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에:

  • 네트워크 인터페이스 구성

  • 보안 정책에서 침입 탐지 및 방지(IDP) 애플리케이션 서비스 활성화

  • 보안 영역 생성

  • 규칙 정의

개요

침입 탐지 및 방지(IDP) 정책에서 DSCP 값을 구성하면 네트워크의 다양한 트래픽 유형에 대해 CoS 값(따라서 다양한 수준의 신뢰성)을 연결하는 방법이 제공됩니다.

이 예제에서는 policy1이라는 정책을 만들고, 이 정책에 대한 규칙 베이스를 지정한 다음, 이 규칙 베이스에 규칙 R1을 추가하는 방법을 보여줍니다. 이 예에서 규칙 R1은 다음과 같습니다.

  • 이전에 구성된 영역(trust)에서 이전에 구성된 다른 영역(untrust)으로의 트래픽을 포함하도록 일치 조건을 지정합니다. 일치 조건에는 HTTP - Critical이라는 사전 정의된 공격 그룹도 포함됩니다. 일치 조건의 애플리케이션 설정은 기본값으로 지정되며 공격 객체에 구성된 모든 애플리케이션과 일치합니다.

  • 규칙 R1의 기준과 일치하는 모든 트래픽에 대해 DSCP 값 50을 사용하여 IP 헤더의 CoS 필드를 다시 쓰는 작업을 지정합니다.

    메모:

    명령을 show security idp attack attack-list recursive predefined-group "HTTP - Critical" 사용하여 사전 정의된 그룹 "HTTP - Critical"에 포함된 항목의 세부 정보를 확인합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

침입 탐지 및 방지(IDP) 정책에서 DSCP 값을 구성하려면 다음을 수행합니다.

  1. 의미 있는 이름을 할당하여 정책을 만듭니다.

  2. 규칙 베이스를 정책과 연결합니다.

  3. 규칙 베이스에 규칙을 추가합니다.

  4. 규칙에 대한 일치 기준을 정의합니다.

  5. 규칙에 대한 작업을 지정합니다.

  6. 필요한 경우 규칙에 대한 알림 또는 로깅 옵션을 계속 지정합니다.

  7. 정책을 활성화합니다.

결과

구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

구성 확인

목적

DSCP 값이 침입 탐지 및 방지(IDP) 정책에 구성되었는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp status .

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

석방
묘사
18.2R1
이전에 침입 탐지 및 방지(IDP) 서명 업데이트는 필터에서 9개의 태그만 지원했습니다. 7개의 태그는 범주, 방향, 오탐, 성능, 제품, 권장, 서비스, 심각도 및 공급업체입니다. 침입 탐지 및 방지(IDP) 서명 업데이트는 이제 기존 9개의 태그 외에도 보다 정교한 동적 그룹을 생성하기 위해 필터 아래에 4개의 새로운 추가 태그를 지원합니다.