- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-IPS命令
本章節下載: 02-IPS命令 (313.03 KB)
目 錄
1.1.5 display ips signature user-defined parse-failed
1.1.6 display ips signature { pre-defined | user-defined }
1.1.7 display ips signature information
1.1.11 ips signature auto-update
1.1.12 ips signature auto-update-now
1.1.13 ips signature import snort
1.1.14 ips signature remove snort
action命令用來配置篩選IPS特征的動作屬性。
undo action命令用來恢複缺省情況。
【命令】
action { block-source | drop | permit | reset } *
undo action
【缺省情況】
IPS策略匹配所有動作的特征。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示源阻斷動作,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。
drop:表示丟棄報文的動作。
permit:表示允許報文通過的動作。
reset:表示重置動作,該動作通過發送TCP的reset報文使TCP連接斷開。
【使用指導】
可通過配置動作屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可同時配置多個動作,隻要符合其中一個,具有該動作屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中配置篩選IPS特征的動作為drop和reset。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] action drop reset
attack-category命令用來配置篩選IPS特征的攻擊分類屬性。
undo attack-category命令用來刪除篩選IPS特征的攻擊分類屬性。
【命令】
attack-category { category [ subcategory ] | all}
undo attack-category { category [ subcategory | all] }
【缺省情況】
IPS策略匹配所有攻擊分類的特征。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
category:表示設備中已有的攻擊分類名稱。
subcategory:表示設備中已有攻擊分類中的子分類名稱。若不指定本參數,則表示指定攻擊分類中的所有子分類。
all:表示設備中已有的所有攻擊分類。
【使用指導】
可通過配置攻擊分類屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可多次執行本命令,配置多個攻擊分類。隻要符合其中一個,具有該攻擊分類的特征將會被篩選出來。
【舉例】
# 在名稱為test的IPS策略中,配置篩選IPS特征的攻擊分類為Vulnerability攻擊分類中的SQL-Injection子分類。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] attack-category Vulnerability SQL-Injection
display ips policy命令用來顯示IPS策略信息。
【命令】
display ips policy policy-name
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:表示IPS策略名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 顯示IPS策略aa的策略信息。
<Sysname> display ips policy aa
Total signatures :474 failed:0
Pre-defined signatures:474 failed:0
User-defined signatures:0 failed:0
Flag:
B: Block-source D: Drop P: Permit Rs: Reset Rd: Redirect C: Capture L: L
ogging
Pre: predefined User: user-defined
Type RuleID Target SubTarget Severity Category Status Action
Pre 1 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 2 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 3 Browser Browser/Interne High Vulnerabili Enable RsCL
Pre 4 OfficeSoftw OfficeSoftware/ High Vulnerabili Enable RsL
Pre 5 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 6 OperationSy OperationSystem High Vulnerabili Disable PL
Pre 7 Browser Browser/Interne High Vulnerabili Disable PL
Pre 8 Application ApplicationSoft High Vulnerabili Enable RsL
Pre 9 Application ApplicationSoft High Vulnerabili Enable RsL
Pre 10 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 11 Browser Browser/Interne High Vulnerabili Enable RsL
Pre 12 OfficeSoftw OfficeSoftware/ Critical Vulnerabili Disable RsL
Pre 13 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 14 Application ApplicationSoft High Vulnerabili Enable RsL
Pre 15 Browser Browser/Interne High Vulnerabili Enable RsL
Pre 16 OperationSy OperationSystem Critical Vulnerabili Enable RsL
Pre 17 Browser Browser/Interne High Vulnerabili Enable RsL
Pre 18 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 19 OfficeSoftw OfficeSoftware/ Critical Vulnerabili Disable RsL
Pre 20 OfficeSoftw OfficeSoftware/ Critical Vulnerabili Enable RsL
Pre 21 Application ApplicationSoft Critical Vulnerabili Enable RsL
Pre 23 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 24 Browser Browser/Interne High Vulnerabili Disable PL
Pre 25 NetworkDevi NetworkDevice/D High Vulnerabili Enable PL
Pre 26 Browser Browser/Interne High Vulnerabili Enable RsL
---- More ----
表1-1 display ips policy命令顯示信息描述表
|
字段 |
描述 |
|
Total signatures |
IPS特征總數 |
|
Pre-defined signatures |
預定義IPS特征數目 |
|
User-defined signatures |
用戶自定義IPS特征數目 |
|
Type |
IPS特征的類型,包括如下取值: · Pre:表示預定義特征 · User:表示自定義特征 |
|
RuleID |
IPS特征編號 |
|
Target |
攻擊對象 |
|
SubTarget |
攻擊子對象 |
|
Severity |
IPS特征的攻擊嚴重程度屬性,從低到高分為四級:Low、Medium、High、Critical |
|
Category |
IPS特征的攻擊類別名稱 |
|
Status |
IPS特征的狀態,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特征未生效 |
|
Action |
對報文的處理動作,包括如下取值: · Block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單 · Drop:表示丟棄符合特征的報文 · Permit:表示允許符合特征的報文通過 · Reset:表示發送TCP的reset報文或UDP的ICMP端口不可達報文使TCP或UDP連接斷開 · Redirect:表示重定向符合特征的報文 · Capture:表示捕獲符合特征的報文 · Logging:表示對符合特征的報文生成日誌 |
【相關命令】
· ips policy
display ips signature命令用來顯示IPS特征信息。
【命令】
display ips signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
pre-defined:顯示預定義IPS特征。
user-defined:顯示自定義IPS特征。
direction { any | to-client | to-server }:顯示符合指定方向屬性的IPS特征。如果未指定此參數,則顯示所有方向上的IPS特征。
· to-server:表示一個會話的客戶端到服務器的方向。
· to-client:表示一個會話的服務器到客戶端的方向。
· any:表示一個會話的兩個方向。
category category-name:顯示符合指定攻擊類別屬性的IPS特征,category-name是攻擊類型的名稱。如果未指定此參數,則顯示所有攻擊類型的IPS特征。
fidelity { high | low | medium }:顯示符合指定可信度屬性的IPS特征。如果未指定此參數,則顯示所有可信度的IPS特征。可信度是指此IPS特征識別攻擊行為準確度,且從低到高分為如下三個級別:
· low:可信度比較低。
· medium:可信度中等。
· high:可信度比較高。
protocol { icmp | ip | tcp | udp }:顯示符合指定協議屬性的IPS特征,協議ICMP、IP、TCP和UDP協議。如果未指定此參數,則顯示所有協議的IPS特征。
severity { critical | high | low | medium }:顯示符合指定攻擊嚴重程度屬性的IPS特征。如果未指定此參數,則顯示所有攻擊嚴重程度的IPS特征。攻擊嚴重程度是指匹配此IPS特征的網絡攻擊造成的危害的嚴重程度,且從低到高分為四個級別:
· low:攻擊嚴重程度比較低。
· medium:攻擊嚴重程度中等。
· high:攻擊嚴重程度比較高。
· critical:攻擊嚴重程度非常高。
【使用指導】
若不指定任何參數,則顯示所有IPS特征。
【舉例】
# 顯示可信度為中等的所有TCP協議的預定義IPS特征。
<Sysname> display ips signature pre-defined protocol tcp fidelity medium
Pre-defined signatures:465 failed:0
Flag:
Pre: predefined User: user-defined
Type Sig-ID Direction Severity Fidelity Category Protocol
Pre 1 To-server High Medium Vulnerability TCP
Pre 2 To-server High Medium Vulnerability TCP
Pre 3 To-client High Medium Vulnerability TCP
Pre 4 To-client High Medium Vulnerability TCP
Pre 5 To-client High Medium Vulnerability TCP
Pre 6 To-client High Medium Vulnerability TCP
Pre 7 To-client High Medium Vulnerability TCP
Pre 8 To-client High Medium Vulnerability TCP
Pre 10 To-server High Medium Vulnerability TCP
Pre 11 To-client High Medium Vulnerability TCP
Pre 12 To-client Critical Medium Vulnerability TCP
Pre 13 To-client High Medium Vulnerability TCP
Pre 14 To-server High Medium Vulnerability TCP
Pre 15 To-client High Medium Vulnerability TCP
Pre 16 To-client Critical Medium Vulnerability TCP
Pre 17 To-client High Medium Vulnerability TCP
Pre 18 To-client High Medium Vulnerability TCP
---- More ----
# 顯示攻擊嚴重程度為比較高的所有UDP協議的IPS特征。
<Sysname> display ips signature severity high protocol udp
Total signatures :7 failed:0
Pre-defined signatures:7 failed:0
User-defined signatures:0 failed:0
Flag:
Pre: predefined User: user-defined
Type Sig-ID Direction Severity Fidelity Category Protocol
Pre 9 To-server High Medium Vulnerability UDP
Pre 45 To-server High Medium Vulnerability UDP
Pre 187 Any High Medium Vulnerability UDP
Pre 196 Any High Medium Vulnerability UDP
Pre 223 To-server High Medium Vulnerability UDP
Pre 234 To-client High Medium Vulnerability UDP
Pre 338 To-client High Medium Vulnerability UDP
表1-2 display ips signature命令顯示信息描述表
|
字段 |
描述 |
|
Total signatures |
IPS特征總數 |
|
failed |
Snort規則導入特征庫失敗和特征庫加載失敗的特征總數 |
|
Pre-defined count |
預定義IPS特征數目 |
|
User-defined count |
自定義IPS特征數目 |
|
Type |
IPS特征的類型,包括如下取值: · Pre:表示預定義特征 · User:表示自定義特征 |
|
Sig-ID |
IPS特征的編號 |
|
Direction |
IPS特征的方向屬性,包括如下取值: · any:表示一個會話的兩個方向 · To-server:一個會話的客戶端到服務器方向 · To-client:一個會話的服務器到客戶端方向 |
|
Severity |
IPS特征的攻擊嚴重程度屬性,嚴重程度從低到高分為四個級別:Low、Medium、High、Critical |
|
Fidelity |
IPS特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Category |
IPS特征的攻擊類別名稱 |
|
Protocol |
IPS特征的協議屬性 |
display ips signature user-defined parse-failed命令用來顯示IPS自定義特征解析失敗的信息。
【命令】
display ips signature user-defined parse-failed
【視圖】
任意視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
此命令用於查看IPS自定義特征解析失敗的原因以及修改建議。
【舉例】
# 顯示IPS自定義特征解析失敗的信息。
<Sysname> display ips signature user-defined parse-failed
LineNo SID Information
1 None Error: Invalid actions.
Tip: Only actions {alert|drop|pass|reject|sdrop|log} are supported
2 1010082 Error: Invalid signature ID.
Tip: The signature ID must be in the range of 1 to 536870912
3 1010083 Error: Invalid protocol.
Tip: Only protocols {tcp|udp|icmp|ip} are supported
4 1010084 Error: Invalid direction.
Tip: Only directions {'<>'|'->'} are supported
表1-3 display ips signature user-defined parse-failed命令顯示信息描述表
|
字段 |
描述 |
|
LineNo |
Snort規則文件中的行號 |
|
SID |
自定義特征的編號 |
|
Information |
自定義特征解析失敗的信息,包括如下取值: · Error:表示自定義特征解析失敗的原因 · Tip:表示Snort規則文件內容的修改建議 |
【相關命令】
· ips signature import snort
display ips signature { pre-defined | user-defined }命令用來顯示IPS特征的詳細信息。
【命令】
display ips signature { pre-defined | user-defined } signature-id
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
pre-defined:顯示預定義IPS特征的詳細信息。
user-defined:顯示自定義IPS特征的詳細信息。
signature-id:指定IPS特征的編號,其中,預定義IPS特征的取值範圍為1~536870911;自定義IPS特征的取值範圍為536870913~1073741823。
【舉例】
# 顯示編號為1的預定義IPS特征的詳細信息。
<Sysname> display ips signature pre-defined 1
Type : Pre-defined
Signature ID: 1
Status : Enabled
Action : Reset & Logging
Name : GNU_Bash_CVE-2014-6271_Remote_Code_Execution_Vulnerability
Protocol : TCP
Severity : High
Fidelity : Medium
Direction : To-server
Category : Vulnerability
Reference : CVE-2014-6271;
Description : GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka \"ShellShock.\" NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.
表1-4 display ips signature { pre-defined | user-defined }命令顯示信息描述表
|
字段 |
描述 |
|
Type |
IPS特征的類型,包括如下取值: · Pre:表示預定義特征 · User:表示自定義特征 |
|
Signature ID |
IPS特征的編號 |
|
Status |
IPS特征的狀態,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特未生效 |
|
Action |
對報文的處理動作,包括如下取值: · Block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單 · Drop:表示丟棄符合特征的報文 · Permit:表示允許符合特征的報文通過 · Reset:表示發送TCP的reset報文或UDP的ICMP端口不可達報文使TCP或UDP連接斷開 · Capture:表示捕獲符合特征的報文 · Logging:表示對符合特征的報文生成日誌 |
|
Name |
IPS特征的名稱 |
|
Protocol |
IPS特征的協議屬性 |
|
Severity |
IPS特征的攻擊嚴重程度屬性,嚴重程度從低到高分為四個級別:Low、Medium、High、Critical |
|
Fidelity |
IPS特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Direction |
IPS特征的方向屬性,包括如下取值: · any:表示一個會話的兩個方向 · To-server:一個會話的客戶端到服務器方向 · To-client:一個會話的服務器到客戶端方向 |
|
Category |
IPS特征的攻擊類別名稱 |
|
Reference |
IPS特征的參考信息 |
|
Description |
IPS特征的描述信息 |
display ips signature information命令用來顯示IPS特征庫信息。
【命令】
display ips signature information
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示IPS特征庫信息。
<Sysname> display ips signature information
IPS signature library information:
Type SigVersion ReleaseTime Size
Current 1.02 Fri Sep 13 09:05:35 2014 71594
Last - - -
Factory 1.00 Fri Sep 11 09:05:35 2014 71394
表1-5 display ips signature information命令顯示信息描述表
|
字段 |
描述 |
|
Type |
IPS特征庫版本,包括如下取值: · Current:表示當前版本 · Last:表示上一版本 · Factory:表示出廠版本 |
|
SigVersion |
IPS特征庫版本號 |
|
ReleaseTime |
IPS特征庫發布時間 |
|
Size |
IPS特征庫文件大小,單位是Bytes |
ips apply policy命令用來在DPI應用profile中引用IPS策略。
undo ips apply policy命令用來刪除引用的IPS策略。
【命令】
ips apply policy policy-name mode { alert | protect }
undo ips apply policy
【缺省情況】
DPI應用profile中沒有引用IPS策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示IPS策略名稱,為1~63個字符的字符串,不區分大小寫。
mode:表示IPS策略的模式。
alert:告警模式,表示報文匹配上該IPS策略中的特征後,僅可以生成日誌或捕獲報文,但其他動作均不能生效。
protect:保護模式,表示報文匹配上該IPS策略中的特征後,設備按照特征的動作對該報文進行處理。
【使用指導】
一個DPI應用profile視圖下隻能引用一個IPS策略。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為sec的DPI應用profile下引用IPS策略ips1,且配置IPS模式為保護模式。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] ips apply policy ips1 mode protect
【相關命令】
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· ips policy
ips { block-source | capture | email | logging | redirect } parameter-profile命令用來配置IPS引用應用層檢查引擎動作參數profile。
undo ips { block-source | capture | email | logging | redirect } parameter-profile命令用來取消IPS引用的應用層檢查引擎動作參數profile。
【命令】
ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name
undo ips { block-source | capture | email | logging | redirect } parameter-profile
【缺省情況】
IPS未引用應用層檢查引擎動作參數profile,使用各參數的缺省值。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示設置IPS源阻斷動作的參數。
capture:表示設置IPS捕獲動作的參數。
email:表示設置IPS郵件動作的參數。
logging:表示設置IPS日誌動作的參數。
redirect:表示設置IPS重定向動作的參數。
parameter-profile parameter-name:指定IPS動作引用的應用層檢測引擎動作參數profile。parameter-name表示動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
每類IPS動作的具體執行參數由應用層檢測引擎動作參數profile來定義,該profile的具體配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
如果IPS引用的應用層檢測引擎動作參數profile不存在或沒有引用,則使用係統各類動作參數的缺省值。
【舉例】
# 創建名稱為ips1的應用層檢測引擎源阻斷動作參數profile,配置其阻斷源IP地址的時長為1111秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile ips1
[Sysname-inspect-block-source-ips1] block-period 1111
[Sysname-inspect-block-source-ips1] quit
# 配置IPS引用名稱為ips1的應用層檢查引擎源阻斷動作參數profile。
[Sysname] ips block-source parameter-profile ips1
【相關命令】
· inspect block-source parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect capture parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect logging parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect email parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
ips policy命令用來創建IPS策略,並進入IPS策略視圖。如果指定的IPS策略已經存在,則直接進入IPS策略視圖。
undo ips policy命令用來刪除指定的IPS策略。
【命令】
ips policy policy-name
undo ips policy policy-name
【缺省情況】
存在一個缺省IPS策略,名稱為default。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示IPS策略名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
設備上存在一個名稱為default的缺省IPS策略,缺省IPS策略和自定義IPS策略都使用當前係統中的所有IPS特征,新增IPS特征會自動添加到所有策略下。但是缺省IPS策略中的IPS特征的動作屬性和生效狀態屬性不能被修改。
【舉例】
# 創建一個名稱為ips1的IPS策略,並進入IPS策略視圖。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1]
ips signature auto-update命令用來開啟定期自動在線升級IPS特征庫功能,並進入自動升級配置視圖。
undo ips signature auto-update命令用來關閉定期自動在線升級IPS特征庫功能。
【命令】
ips signature auto-update
undo ips signature auto-update
【缺省情況】
定期自動在線升級IPS特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
如果設備可以訪問H3C官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的IPS特征庫進行升級。
【舉例】
# 開啟定期自動在線升級IPS特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate]
【相關命令】
· update schedule
ips signature auto-update-now命令用來立即自動在線升級IPS特征庫。
【命令】
ips signature auto-update-now
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行此命令後,將立即自動升級設備上的IPS特征庫,且會備份當前的IPS特征庫文件。此命令的生效與否,與是否開啟了定期自動升級IPS特征庫功能無關。
當管理員發現H3C官方網站上的特征庫服務專區中的IPS特征庫有更新時,可以選擇立即自動在線升級方式來及時升級IPS特征庫版本。
【舉例】
# 立即自動在線升級IPS特征庫版本。
<Sysname> system-view
[Sysname] ips signature auto-update-now
ips signature import snort命令用來導入自定義IPS特征。
【命令】
ips signature import snort file-path
【缺省情況】
不存在自定義IPS特征。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
file-path:自定義IPS特征庫文件的URL,為1~255個字符的字符串。
【使用指導】
當需要的IPS特征在設備當前IPS特征庫中不存在時,可通過編輯Snort格式的IPS特征文件,並將其導入設備中來生成所需的IPS特征。導入的IPS特征文件內容會自動覆蓋係統中所有的自定義IPS特征。可通過display ips signature user-defined命令查看導入的IPS特征信息。
管理員可以采用如下幾種方式導入自定義IPS特征庫文件。
· 本地方式:使用本地保存的自定義IPS特征庫文件導入。
· FTP/TFTP方式:通過FTP或TFTP方式下載遠程服務器上保存的自定義IPS特征庫文件,並導入到係統中。
參數file-path的取值與自定義IPS特征庫文件導入的操作方式有關。采用本地方式時參數file-path取值請參見表1-6;采用FTP/TFTP方式時參數file-path取值請參見表1-7。
|
導入方式 |
參數file-path取值 |
說明 |
|
自定義IPS特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
自定義IPS特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至自定義IPS特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
自定義IPS特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至自定義IPS特征庫文件所在存儲介質的根目錄下,再指定自定義IPS特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-7 采用FTP/TFTP方式時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
自定義IPS特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
自定義IPS特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
編輯Snort格式的IPS特征文件需要注意的是:
Snort文件需要遵循Snort公司的語法。
Snort規則的SID取值範圍為1~536870911,若超出此範圍,則規則無效。
如需增加Snort規則,則新增規則的SID不能與設備上舊Snort文件中任何規則的SID相同。
編輯Snort規則時,必須配置msg字段,否則IPS係統日誌中威脅名稱字段是空的。
當用戶自定義Snort規則中的應用無法被識別時,報文無法成功匹配該規則。
【相關命令】
· display ips signature user-defined
· ips signature remove snort
【舉例】
# 采用TFTP方式,將自定義Snort格式的IPS特征庫文件導入設備生成自定義IPS特征,自定義Snort格式的IPS特征庫文件的遠程路徑為tftp://192.168.0.1/snort.rules。
<Sysname> system-view
[Sysname] ips signature import snort tftp://192.168.0.1/snort.rules
ips signature remove snort命令用來刪除導入的所有自定義IPS特征。
【命令】
ips signature remove snort
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 刪除導入的所有自定義IPS特征。
<Sysname> system-view
[Sysname] ips signature remove snort
【相關命令】
· ips signature import snort
ips signature rollback命令用來回滾IPS特征庫。
【命令】
ips signature rollback { factory | last }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
factory:表示IPS特征庫的出廠版本。
last:表示IPS特征庫的上一版本。
【使用指導】
IPS特征庫回滾是指將當前的IPS特征庫版本回滾到指定的版本。如果管理員發現設備當前IPS特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前IPS特征庫版本進行回滾。目前支持將設備中的IPS過濾特征庫版本回滾到出廠版本和上一版本。
IPS特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前IPS特征庫是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
【舉例】
# 配置IPS特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] ips signature rollback last
ips signature update命令用來手動離線升級IPS特征庫。
【命令】
ips signature update [ override-current ] file-path
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
override-current:表示覆蓋當前版本的特征庫文件。如果不指定本參數,則表示當前特征庫在升級之後作為備份特征庫保存在設備上。
file-path:指定特征庫文件的路徑,為1~255個字符的字符串。
【使用指導】
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級IPS特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的IPS特征庫版本。特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的IPS特征庫版本。
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-8;FTP/TFTP升級時參數file-path取值請參見表1-9。
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-9 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
【舉例】
# 配置手動離線升級IPS特征庫,且采用TFTP方式,IPS特征庫文件的遠程路徑為tftp://192.168.0.10/ips-1.0.2-en.dat。
<Sysname> system-view
[Sysname] ips signature update tftp://192.168.0.10/ips-1.0.2-en.dat
# 配置手動離線升級IPS特征庫,且采用FTP方式,IPS特征庫文件的遠程路徑為ftp://192.168.0.10/ips-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] ips signature update ftp://user%3A123:user%40abc%[email protected]/ips-1.0.2-en.dat
# 配置手動離線升級IPS特征庫,且采用本地方式,IPS特征庫文件的本地路徑為cfa0:/ips-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手動離線升級IPS特征庫,且采用本地方式,IPS特征庫文件的本地路徑為cfa0:/dpi/ips-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手動離線升級IPS特征庫,且采用本地方式,IPS特征庫文件的本地路徑為cfb0:/dpi/ips-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] ips signature update dpi/ips-1.0.23-en.dat
object-dir命令用來配置篩選IPS特征的方向屬性。
undo object-dir命令用來恢複缺省情況。
【命令】
object-dir { client | server } *
undo object-dir
【缺省情況】
IPS策略匹配所有方向上的對象。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client:表示從服務器到客戶端方向上的對象。
server:表示從客戶端到服務器方向上的對象。
【使用指導】
可通過配置方向屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可同時配置多個方向,隻要符合其中一個,具有該方向屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中僅保護從服務器到客戶端方向上的對象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] object-dir client
override-current命令用來配置定期自動在線升級IPS特征庫時覆蓋當前的特征文件。
undo override-current命令用來恢複缺省情況。
【命令】
override-current
undo override-current
【缺省情況】
定期自動在線升級IPS特征庫時不會覆蓋當前的特征庫文件,而是同時將當前的特征庫文件備份為上一版本。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
可以通過開啟此功能解決升級IPS特征庫時設備內存不足的問題。在設備剩餘內存充裕的情況下,不建議配置該功能,因為IPS特征庫升級時,如果沒有備份當前特征庫文件,則不能回滾到上一版本。
配置此功能後定期自動在線升級IPS特征庫時不會將當前的特征庫文件備份為上一版本。
【舉例】
# 配置定期自動在線升級IPS特征庫時覆蓋當前的特征文件。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] override-current
【相關命令】
· ips signature auto-update
protect-target命令用來配置篩選IPS特征的保護對象屬性。
undo protect-target命令用來刪除篩選IPS特征的保護對象屬性。
【命令】
protect-target { target [ subtarget ] | all }
undo protect-target { target [ subtarget ] | all }
【缺省情況】
IPS策略匹配所有保護對象的特征。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
target:表示保護對象分類名稱。
subtarget:表示保護對象分類中的子對象名稱。若不指定本參數,則表示保護某對象分類中的所有子對象。
all:表示所有保護對象。
【使用指導】
可通過配置保護對象屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可多次執行本命令,配置多個保護對象。隻要符合其中一個,具有該保護對象屬性的特征將會被篩選出來。
【舉例】
# 在名稱為test的IPS策略中,配置篩選IPS特征的保護對象為WebServer中WebLogic子對象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] protected-target WebServer WebLogic
severity-level命令用來配置篩選IPS特征的嚴重級別屬性。
undo severity-level命令用來恢複缺省情況。
【命令】
severity-level { critical | high | low | medium } *
undo severity-level
【缺省情況】
IPS策略匹配所有嚴重級別的特征。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
critical:表示嚴重級別最高。
high:表示嚴重級別高。
low:表示嚴重級別低。
medium:表示嚴重級別一般。
【使用指導】
可通過配置嚴重級別屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可同時配置多個嚴重級別,隻要符合其中一個,具有該嚴重級別屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中,配置篩選IPS特征的嚴重級別為critical和medium。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] severity-level critical medium
signature override命令用來修改IPS策略中指定特征的動作和狀態。
undo signature override命令用來恢複IPS策略中指定特征屬性中的動作和狀態。
【命令】
signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }
undo signature override { pre-defined | user-defined } signature-id
【缺省情況】
預定義IPS特征使用係統預定義的狀態和動作,自定義IPS特征的動作和狀態在管理員導入的特征庫文件中定義。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
pre-defined:表示預定義的IPS特征。
user-defined:表示自定義的IPS特征。
signature-id:IPS特征的編號,取值範圍為1~4294967295。
disable:表示禁用此IPS特征。在某些網絡環境中,如果一些IPS特征暫時不會被用到,而且又不想將其從IPS策略中刪除時,可以使用disable參數來禁用這些規則。
enable:表示啟用此IPS特征。
block-source:表示源阻斷,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
capture:表示捕獲報文。
logging:表示生成報文日誌。
【使用指導】
缺省情況下,IPS策略將使用當前設備上所有處於生效狀態的IPS特征與報文進行匹配,並對匹配成功的報文執行IPS特征屬性中的動作。管理員可以根據實際網絡需求,修改IPS策略中指定特征的動作和狀態。如果報文與該IPS特征匹配成功,則對報文執行該特征的動作。
缺省IPS策略中的IPS特征的動作和生效狀態不能被修改。當IPS策略中的IPS特征被禁用後,此IPS特征對用戶報文不生效。
在同一個IPS策略視圖中對同一IPS特征多次執行此命令,最後一次執行的命令生效。
【舉例】
# 在名稱為ips1的IPS策略中,配置編號為2的預定義IPS特征的狀態為開啟,動作為丟棄和捕獲報文,並生成日誌信息。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging
【相關命令】
· blacklist enable (security zone view)(安全命令參考/攻擊檢測與防範)
· blacklist global enable(安全命令參考/攻擊檢測與防範)
· ips parameter-profile
· ips policy
· signature override all
signature override all命令用來配置IPS策略中所有特征的統一動作。
undo signature override all命令用來恢複缺省情況。
【命令】
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
undo signature override all
【缺省情況】
IPS策略執行特征屬性中的動作。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示源阻斷,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
capture:表示捕獲報文。
logging:表示生成報文日誌。
【使用指導】
如果在IPS策略中為所有特征配置了統一動作,則設備將根據該動作對與此策略中特征匹配成功的報文進行處理。否則,設備將根據特征屬性中的動作對報文進行處理。
如果在IPS策略中修改了指定特征的動作,則無論IPS策略是否為所有特征配置了動作,設備都將根據修改後的特征的動作對與報文進行處理。
【舉例】
# 配置名稱為text的IPS策略中所有特征的統一動作為丟棄,並生成日誌信息和捕獲報文。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] signature override all drop logging capture
【相關命令】
· blacklist enable (security zone view)(安全命令參考/攻擊檢測與防範)
· blacklist global enable(安全命令參考/攻擊檢測與防範)
· ips parameter-profile
· signature override
update schedule命令用來配置定期自動在線升級IPS特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情況】
設備在每天01:00:00至03:00:00之間自動在線升級IPS特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
daily:表示自動升級周期為每天。
weekly:表示以一周為周期,在指定的一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置IPS特征庫的定期自動在線升級時間為每周一20:30:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相關命令】
· ips signature auto-update
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
