NGFW管理手册IPS配置.pdf
- 文档编号:3437530
- 上传时间:2023-05-05
- 格式:PDF
- 页数:41
- 大小:401.63KB
NGFW管理手册IPS配置.pdf
《NGFW管理手册IPS配置.pdf》由会员分享,可在线阅读,更多相关《NGFW管理手册IPS配置.pdf(41页珍藏版)》请在冰点文库上搜索。
IPS配置配置天融信TOPSEC北京市海淀区上地东路1号华控大厦100085电话:
+8610-82776666传真:
+8610-82776677服务热线:
+8610-8008105119http:
/版权声明版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印2009天融信公司商标声明商标声明本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC天融信公司信息反馈信息反馈http:
/IPS配置服务热线:
8008105119i1入侵防御入侵防御.21.1攻击检测规则.21.2入侵防御策略.51.3自定义规则.61.4防火墙联动.81.5设置协议资源.101.6IPS日志.112自定义规则使用说明自定义规则使用说明.132.1负载检测类规则选项.132.2非负载检查类规则选项.162.3IP.212.4TCP.232.5HTTP.242.6DNS.282.7FTP.312.8POP3.332.9SMTP.342.10QQ.352.11MSN.362.12IMAP.37目目录录IPS配置服务热线:
800810511921入侵防御入侵防御天融信入侵防御设备是基于模式匹配和异常检测技术对网络数据进行在线数据解析和攻击检测的网络安全解决方案。
它通过对数据包进行规则匹配,对异常的数据包进行主动防御,从而保护网络的安全。
同时,天融信入侵防御设备可以实现与天融信防火墙的联动,对用户内部网络提供了全面、高效的安全保护。
本章内容主要包括:
?
攻击检测规则:
介绍如何设置攻击检测规则。
?
入侵防御策略:
介绍如何设置入侵防御策略。
?
自定义规则:
介绍如何自定义攻击检测规则。
?
防火墙联动:
介绍如何实现与天融信防火墙的联动。
?
IPS日志:
介绍IPS日志的设置与操作。
?
协议:
介绍一些常用的服务及其对应端口。
1.1攻击检测规则攻击检测规则网络卫士入侵防御系统默认将入侵防御系统规则库中的规则分为高、中、低三类风险事件;对于匹配到系统规则的事件定义了是否丢弃和是否记录报文两种动作方式。
管理员可以根据具体的需求选择系统规则集中的规则和处理方式配置攻击检测规则。
具体操作步骤如下:
1)选择入侵防御入侵防御攻击检测规则攻击检测规则,如下图所示。
2)点击“添加”添加攻击检测规则,如下图所示。
定义规则集名称,点击“确定”。
IPS配置服务热线:
800810511933)新添加的规则集就会出现在攻击检测规则列表中,如下图所示。
网络卫士入侵防御系统提供了一个攻击检测规则模板,默认将所有系统规则添加到新建攻击检测规则中,其中对中、低风险事件执行“警告”和“关闭记录报文”的操作;对高风险事件执行“丢弃”和“关闭记录报文”的操作。
4)点击“修改”在系统模板的基础上配置攻击检测规则集,如下图所示。
IPS配置服务热线:
80081051194在搜索栏内输入关键字,然后点击“搜索”可以在规则库中查询相关的规则;点击页面右上角“规则帮助”可以查看系统规则库中所有规则的详细信息。
5)点击某类事件左侧的蓝标,编辑该类事件中的规则,如下图所示。
IPS配置服务热线:
80081051195管理员可以将不需要的规则通过反选剔除,并为选中的规则配置处理动作;点击规则编号可以查看该规则的详细信息;点击右上角的“默认动作”恢复系统默认设置。
说明说明?
动作操作释义如下:
警告,系统对匹配到规则的报文放行且记录日志;丢弃,系统对匹配到规则的报文丢弃且记录日志;记录报文,系统对匹配到规则的报文记录其详细内容。
6)点击“确定”完成攻击检测规则的设置。
7)点击攻击检测规则对应“删除”图标可以删除未被引用未被引用的规则;点击“清空”可以清除所有未被引用未被引用的规则。
说明说明?
对于已经被入侵防御策略引用的攻击检测规则,如果在引用之后又对其进行了修改,则需要点击“规则生效”按钮使修改之后的配置生效。
1.2入侵防御策略入侵防御策略在网络卫士入侵防御系统中,访问控制规则可以通过引用入侵防御策略对满足“源”、“目的”的报文进行规则匹配,对匹配到规则的报文进行相应动作的处理。
关于访问控制规则的设置具体请参见管理手册基础配置。
入侵防御策略设置操作如下:
1)选择入侵防御入侵防御入侵防御策略入侵防御策略,如下图所示。
IPS配置服务热线:
800810511962)点击“添加”添加一条新的入侵防御策略,如下图所示。
设置IPS策略名称,选择已经设置好的攻击检测规则,并勾选是否启用该该规则。
点击“确定”完成设置,新添加的IPS策略会出现在策略表中,如下图所示。
3)点击IPS策略对应的“修改”图标可以重新编辑该策略;点击“删除”图标可以删除未被引用未被引用的IPS策略;点击“状态”图标可以对IPS策略的状态(启用/禁用)进行切换。
1.3自定义规则自定义规则针对不同的攻击行为,网络卫士入侵防御系统需要不同的过滤规则对传输的数据包进行检测匹配,为了确保准确性,这些规则的定义非常广泛。
除了系统自带的规则库,网络卫士入侵防御系统也允许用户根据特定的需要自行定义规则。
设置好的自定义规则会自动添加到系统规则库,供用户在设置攻击检测规则时引用,关于攻击检测规则的配置操作请参见1.1攻击检测规则。
具体操作如下:
1)选择入侵防御入侵防御自定义规则自定义规则,显示已添加的自定义规则,如下图所示。
IPS配置服务热线:
800810511972)点击“添加”可添加自定义规则,如下图所示。
界面中的参数说明如下表所示。
参数说明编号规则编号,不能重复。
输入0表示系统自动为其分配编号;若用户自行输入,其输入值必须为大于等于95000的整数。
协议指该自定义规则匹配的协议类型。
可选值为:
ICMP、TCP、UDP。
源端口源端口或端口范围。
输入格式如下:
多个端口号以“,”隔开,如(1,2,3);端口范围以“:
”表示,如(1:
100);(!
10)表示10以外的所有端口;可输入“any”表示支持所有端口。
目标端口目标端口或端口范围。
输入格式如下:
多个端口号以“,”隔开,如(1,2,3);端口范围以“:
”表示,如(1:
100);(!
10)表示10以外的所有端口;可输入“any”表示支持所有端口。
内容设置规则内容,关于内容格式的具体说明参见1错误!
表格结果无效。
错误!
表格结果无效。
IPS配置服务热线:
80081051198参数说明备注自定义规则备注信息,备注信息长度不大于200个字节。
点击“确定”按钮完成自定义规则的添加,然后点击“规则生效”按钮实现对新添规则的启用。
3)对已经添加的自定义规则,可以点击“修改”图标对其进行修改;也可以点击“删除”图标对未被引用未被引用的自定义规则进行删除;管理员也可以点击“清空”一次性删除列表中所有未被引用未被引用的自定义规则。
1.4防火墙联动防火墙联动天融信入侵防御设备提供了防火墙联动功能,从而实现了由IDS功能进行监听(入侵防御设备将履行IDS设备的监听功能),由联动防火墙进行阻断的有效安全策略。
要实现防火墙联动功能,需要进行以下几方面的设置:
1)在天融信入侵防御设备中设置IDS监听接口。
具体设置请参见管理手册基础配置中的接口设置部分内容。
2)在网络卫士防火墙中设置IDS联动。
关于如何在网络卫士防火墙中设置IDS联动具体请参考网络卫士防火墙配置手册。
3)在天融信入侵防御设备中设置防火墙联动,具体设置步骤参见下面的内容。
设置防火墙联动的具体操作步骤如下:
?
防火墙联动配置1)选择入侵防御入侵防御防火墙联动防火墙联动,如下图所示。
2)点击“添加”,添加要联动的防火墙,如下图所示。
IPS配置服务热线:
80081051199界面的参数说明如下表所示。
参数说明防火墙地址输入要联动的防火墙IP地址。
共享密钥天融信入侵防御设备与联动防火墙协商设定的密码,两者在设定时保持一致即可。
输入防火墙地址及共享密钥,点击“确定”完成防火墙的添加。
2)对已经添加的防火墙,可以点击“修改”图标对其进行修改;也可以点击“删除”图标删对其进行删除。
管理员也可以点击“清空”一次性删除列表中所有的防火墙。
?
阻塞时间设置对于需要防火墙阻断的进程,用户可以自行设置对其进行阻断的时间,即阻塞时间。
如下图所示。
界面的参数说明如下表所示。
参数说明阻塞时间需要阻断进程的时间。
设定范围为-136000000秒,其中-1表示永远;0表示不阻断。
输入需要阻塞的时间,点击“设置阻塞时间”使设置生效。
?
联动状态用户可以在“联动状态”处查看当前联动的防火墙的IP地址及运行状态,如下图所示。
IPS配置服务热线:
800810511910点击“状态”按钮可以刷新联动状态信息。
1.5协议协议网络卫士防火墙根据固定端口来识别服务,系统中预先定义了一些常用的服务端口,用户可以根据实际情况修改端口,但不能删除。
设置服务端口的具体操作步骤如下:
1)选择入侵防御入侵防御协议协议,窗口中会显示系统中所有预定义的服务,如下图所示。
2)用户可以点击“修改”图标对服务端口进行修改,如下图所示。
IPS配置服务热线:
800810511911页面中各参数的含义如下表所示。
参数说明名称系统定义的服务端口的名称,用户不可修改。
端口端口号或端口范围,可修改。
端口号的输入格式如下:
多个端口号以“,”隔开,如(1,2,3);端口范围以“:
”表示,如(1:
100);(!
10)表示10以外的所有端口;可输入“any”表示支持所有端口。
输入新的端口号,点击“确定”即可。
3)选择页面上方的“重置”按钮,可以将全部的服务端口还原为默认设置。
1.6IPS日志日志网络卫士入侵防御系统中根据硬件设备性能可以缓存部分日志信息,方便用户对系统日志进行查看,并及时跟踪网络卫士入侵防御系统的工作状态;用户可以通过IPS日志,从而了解当前网络受到攻击的具体状况。
IPS日志列出了所有受攻击的事件及其详细信息,包括:
时间、级别、事件号、次数、协议、源、目的、动作和事件描述。
1)查看IPS日志选择日志与报警日志与报警日志查看日志查看,进入“IPS日志”页面,如下图所示。
IPS配置服务热线:
800810511912详细事件根据事件级别的不同显示为不同的颜色:
红色表示级别为高;紫色表示级别为中;蓝色表示级别为低。
2)查询IPS日志用户通过选择类型,然后在关键字一栏输入关键字即可查询用户关心的详细事件,其中选择的类型包括:
时间、级别、事件号、次数、协议、源、目的、动作以及事件描述。
如在类型栏选择“次数”,在关键字一栏输入“24”,显示查询结果如下。
3)刷新详细事件点击“刷新”,界面中显示系统当前最新的IPS日志及其相关信息,最多显示2048条。
IPS配置服务热线:
8008105119132自定义规则使用说明自定义规则使用说明用户添加或修改自定义规则时,页面上包含6个参数,分别是编号、协议、源端口、目标端口、内容、备注。
其使用说明如下1)编号每一条规则都有一个独立的编号,相当于这条规则的id,所以不允许重复。
系统本身自带的规则也有编号。
用户自定义规则时,需要为规则指定一个编号。
指定的编号需是大于95000的整数。
如果指定0,则由系统为这条规则自动分配一个编号。
2)协议和端口协议和端口的选择可以有效提高规则的针对性。
协议目前支持3种,分别是TCP、UDP、ICMP。
请根据要检测的数据,选择对应的协议类型。
端口分为源端口和目的端口。
它们就对应着数据包中的这两个端口。
对规则进行匹配检测时,首先会判断这里的端口。
端口可以填写any,也可以写具体端口。
any代表任何端口。
例如要检测任何端口发出的,发往80端口的http包,那么前面的协议处选择TCP,源端口写any,目的端口写80。
3)备注备注是允许用户写一些描述信息,这样一旦规则匹配触发时,记录的日志和屏幕上显示的提示中,就会包含用户在这里写的备注,可以方便地知道是什么规则被触发了。
例如用户配置了一条规则,不允许IP包的负载超过1000字节,那么可以在备注处写:
IPdataistoobig.。
然后一旦有负载超过1000字节的IP包触发这条规则,这个备注信息就会被记录。
通过查看这个备注,可以知道是这条规则被触发。
4)内容内容部分比较重要,这里有大量规则选项可以使用,每种选项都有自己的使用方法和特殊的功能。
规则完成的作用主要靠这些选项实现。
下面分别介绍规则选项的使用。
2.1负载检测类规则选项负载检测类规则选项1.content格式:
content:
!
string;content规则选项是非常重要的一个规则选项,使用频率很高。
根据用户对content给定的内容检查数据包的负载。
这个选项后的内容区分大小写,所以在书写的时候要严格。
它支持文本和十六进制数据,且可以自由混合。
IPS配置服务热线:
800810511914其中第一个!
可选。
带有这个符号的意思是不包含后面数据内容的包被命中。
所有要匹配的数据内容要写在引号之中。
如果是使用十六进制表示数据,则这些十六进制要包含在一对管道符|的中间。
例如,要匹配的内容是以abc开头,然后是两个十六进制为FF的字符,然后是def,那么规则选项就可以写为:
content:
abc|FFFF|def;规则选项都是类似这样,先写选项关键字,然后冒号,然后是内容,最后要有分号。
在内容中如果要包含分号,则必须使用转义字符。
例如要匹配的内容是abc;那么它的规则选项就要写为:
content:
abc;2.nocase格式:
nocase;nocase表示匹配的内容不区分大小写。
通常都是跟在content选项后配合使用。
例如要匹配一个不区分大小的abc,那么规则选项就可以写为:
content:
abc;nocase;3.depth格式:
depth:
number;这个规则选项也是配合content使用,它用来限定检查的最大深度或者说最大范围。
比如可以明确要检查的部分只会出现在包的前20个字节内,那么设定这个规则选项就可以不必浪费时间去继续检查20个字节后的内容。
则规则选项就可以写为:
content:
abc;depth:
20;4.offset格式:
offset:
number;这个选项是配合content使用的,它表示匹配内容的偏移量,例如知道一种包的特性是前3个字节不定,但是从第四个字节处开始是abc,那么规则选项就可以写为:
content:
abc;offset:
3;5.distance格式:
distance:
number;这个规则选项是配合content使用,它表示现在要匹配的内容与前一个内容间隔的字节数。
例如要检查的内容是abc开头,然后3个字节内容不定,然后是def,那么要表示这种情况,规则选项就可以写为:
content:
abc;content:
def;distance:
3;6.within格式:
within:
number;IPS配置服务热线:
800810511915这个选项和distance类似,区别是它表示最多间隔多少个字节。
例如要检查的内容是abc开头,后面必定有def,中间间隔的字节数不定,但最多10个字节,那么规则选项就可以写为:
content:
abc;content:
def;within:
10;7.rawbytes格式:
rawbytes;这个选项是配合content使用,检测的是没有经过IPS预处理器解析过的原始数据。
有一些攻击是利用字符的替换以逃过检查,为了处理这种情况,IPS的预处理器都是将收到的包进行解析加工,对于替换掉的字符都替换回去,这样保证攻击特征被检测到。
但是有时并不清楚特征数据被替换后是什么,那么就通过这个选项直接写原始数据包中的匹配内容。
例如要匹配的原始数据的十六进制值分别是FF和F1,那么规则选项就可以写为:
content:
|FFF1|;rawbytes;8.http_client_body格式:
http_client_body;这个选项配合content使用,表示检查的内容是http客户端发出的请求中的内容。
例如要匹配客户端访问http服务器时发出请求中包含的内容abc,那么规则选项就可以写为:
content:
abc;http_client_body;9.http_uri格式:
http_uri;这个选项配合content使用,表示检查的内容是http客户端请求的uri内容。
例如要匹配uri中包含的内容abc,那么规则选项就可以写为:
content:
abc;http_uri;10.uricontent格式:
uricontent:
string;这个选项和前面使用http_uri配合content的作用是一样的。
只不过这个选项更加方便一点,可以直接写。
上面的例子中要匹配uri中包含的内容abc,那么规则选项就可以写为:
uricontent:
abc;11.urilen格式:
urilen:
numbernumber;这个选项指定uri的长度,其中第一种形式,表示uri长度小于或者大于某个值。
例如要设定uri长度小于20,则规则选项就写为:
urilen:
20;大于的情况类似。
而第二种形式,两个数字之间使用小于大于连续书写,表示uri长度介于两者之间,例如要设定uri长度大于5小于20,则规则选项可以写为:
IPS配置服务热线:
800810511916urilen:
520;12.pcre格式:
pcre:
!
/regex/ismxAEGRUB;这个选项是让用户可以使用兼容perl的正则表达式。
关于正则表达式的语法,需要使用者较为熟悉。
第一个!
可选,使用的话,就是不匹配后面的内容。
引号后双斜线之间的regex就是代表正则表达式,而后面的方括号中都是选项。
i选项,表示内容不区分大小写。
s选项,表示使用.字符时,代表的字符里面包含新行。
m选项,默认情况下,字符串是被看作一个很多字符排列的长行。
当正则表达式中使用或者$符号时,表示的是这个字符串的开头与结尾。
而如果使用了m选项,则对于新行也会对和$进行处理。
x选项,忽略匹配内容中的空格。
A选项,匹配内容必须是在开头部分,相当于符号。
E选项,默认情况下,如果字符串的最后一个字符是新行的换行符,那么使用$符号的时候也会去匹配这个换行符前的最后内容。
如果使用了E选项,则$符号就严格匹配整个字符串的结尾部分。
G选项,使用G选项可以取消数字匹配符的效果,但如果跟在问号?
后面则又恢复匹配效果。
例如使用*表示匹配任意多个字符,如果使用了G选项,则其匹配效果就无效了。
如果在一个较为复杂的表达式中,有的匹配符要求无效,有的匹配符要求有效,则要在希望有效的匹配符前使用问号?
。
R选项,匹配内容相对于上一个检查的内容开始。
作用类似于前面介绍过的distance:
0;U选项,匹配uri的内容,作用类似前面的uricontentP选项,匹配客户端发出的http请求的内容,作用类似前面的http_client_bodyB选项,不使用解码过的缓存内容,作用类似前面的rawbytes这里的R、U、P、B四个选项并不是pcre标准选项,它们的功能被做了修改,以方便IPS的使用。
例如要匹配的内容是a开头,中间字符不定,b结尾,且a和b有可能是大写,那么规则选项就可以写为:
pcre:
/a*b$/i;关于正则表达式的语法,这里不介绍了,用户如果需要可以查找相关资料。
2.2非负载检查类规则选项非负载检查类规则选项1.ttlIPS配置服务热线:
800810511917格式:
ttl:
number-=number;这个选项用来指定数据包的ttl,可以是大于、小于、等于一个数,也可以给定一个范围。
例如要ttl值小于3,那么规则选项就可以写为:
ttl:
3;如果要ttl值介于3到5之间,那么规则选项可以写为:
ttl:
3-5;2.tos格式:
tos:
!
number;这个选项用来指定IP包的tos,例如指定IP包的tos不为4,那么规则选项就可以写为:
tos:
!
4;3.id格式:
id:
number;这个选项用来指定IP包的id,例如指定IP包的id为31337,那么规则选项就可以写为:
id:
31337;4.ipopts格式:
ipopts:
rr|eol|nop|ts|sec|esec|lsrr|ssrr|satid|any;如果IP包带有选项内容,那么这个选项可以指定IP包的选项类型。
这些缩写代表的意义:
rr-RecordRouteeol-Endoflistnop-NoOpts-TimeStampsec-IPSecurityesec-IPExtendedSecuritylsrr-LooseSourceRoutingssrr-StrictSourceRoutingsatid-Streamidentifierany带有任何IP选项例如IP包带有LooseSourceRouting类型的选项,那么规则选项就可以写为:
ipopts:
lsrr;5.fragbits格式:
fragbits:
MDR+*!
;这个选项用来指定IP包的分片标志,在IP包里有三个分片标志位,对应着这里的M、D、R三个字符。
M表示组分片位MF,D表示不可分片DF,R是保留位。
后面的三个辅IPS配置服务热线:
800810511918助符号的含义为,+表示指定标志位被设置,*表示指定标志位中任何一个被设置,!
表示没有设置指定位。
例如IP包的MF位或者DF位被设置了就匹配,那么规则选项就可以写为:
fragbits:
MD*;再比如设置了R位,其他位不管,那么规则选项可以写为:
fragbits:
R+;6.dsize格式:
dsize:
numbernumber;这个选项用来指定数据包负载的大小。
可以指定确定的大小,也可以指定大于小于一个值,也可以给定一个范围。
例如负载小于500,那么规则选项就可以写为:
dsize:
500;再比如负载介于200到500之间,那么规则选项可以写为:
dsize:
200500;7.frags格式:
flags:
!
|*|+,;这个选项用来指定TCP包的几个标志位。
前面的三个可选符号和前面IP包fragbits的含义相同,后面逗号分隔的部分可选,使用的含义是忽略后面的标志位。
各个字母代表的标志位分别是:
F-FINS-SYNR-RSTP-PSHA-ACKU-URG1保留位12保留位20没有TCP的标志位被设置了例如要求SYN位和FIN位被设置了,而两个保留位忽略不管,则规则选项就可以写为:
flags:
SF,12;8.flow格式:
flow:
(established|stateless),(to_client|to_server|from_client|from_server),(no_stream|only_stream);这个选项用来指定一些与tcp流重组相关的内容。
选项值的含义如下:
to_client表示包的方向是发向客户端的to_server表示包的方向是发向服务器的IPS配置服务热线:
800810511919from_client表示包的方向是从客户端发出的from_server表示包的发向是从服务器发出的established表示
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NGFW 管理 手册 IPS 配置