- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-入侵防禦
本章節下載: 06-入侵防禦 (474.67 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 入侵防禦的優勢
○ 入侵防禦特征
○ 入侵防禦動作
○ 入侵防禦實現流程
· 配置指南
IPS(Intrusion Prevention System,入侵防禦係統)是一種可以對應用層攻擊進行檢測並防禦的安全防禦技術。入侵防禦通過分析流經設備的網絡流量來實時檢測入侵行為,並通過一定的響應動作來阻斷入侵行為,實現保護企業信息係統和網絡免遭攻擊的目的。
入侵防禦具有以下優勢:
· 深度防護:可以檢測報文應用層的內容,以及對網絡數據流進行協議分析和重組,並根據檢測結果來對報文做出相應的處理。
· 實時防護:實時檢測流經設備的網絡流量,並對入侵活動和攻擊性網絡流量進行實時攔截。
· 全方位防護:可以對多種攻擊類型提供防護措施,例如蠕蟲、病毒、木馬、僵屍網絡、間諜軟件、廣告軟件、CGI(Common Gateway Interface)攻擊、跨站腳本攻擊、注入攻擊、目錄遍曆、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執行、拒絕服務、掃描工具、後門等。
· 內外兼防:對經過設備的流量都可以進行檢測,不僅可以防止來自企業外部的攻擊,還可以防止發自企業內部的攻擊。
入侵防禦特征用來掃描網絡中的攻擊行為以及對攻擊行為采取防禦措施,設備通過將數據流與入侵防禦特征進行比較來檢測和防禦攻擊。
設備支持如下類型的入侵防禦特征:
· 預定義特征:由係統中的入侵防禦特征庫自動生成,不可進行修改和刪除。
· 自定義特征:由用戶手工配置。可以創建、修改和刪除。
· Snort特征:由Snort文件導入。可以導入和刪除。
缺省情況下,設備基於入侵防禦配置文件中指定的動作對符合此配置文件中入侵防禦特征的報文進行處理。當需要對符合某個入侵防禦特征的報文采取不同的動作時,可通過自定義設置修改特征動作。
當入侵防禦配置文件中某個特征處於非生效狀態時,可以通過自定義設置將此特征設置為生效狀態。
自定義設置的特征動作優先級高於配置文件中配置的動作優先級。
入侵防禦動作是指設備對匹配上入侵防禦特征的報文做出的處理。入侵防禦處理動作包括如下幾種類型:
· 黑名單:阻斷符合特征的報文。如果設備上同時開啟了IP黑名單過濾功能,則阻斷時間內(在安全動作中的阻斷功能中配置)來自此IP地址的所有報文將被直接丟棄;如果設備上未開啟黑名單過濾功能,報文的源IP地址仍會被添加到IP黑名單表項中,但後續來自該源IP地址的報文不會被直接丟棄。有關黑名單功能的詳細介紹請參見“攻擊防範聯機幫助”。
· 丟棄:丟棄符合特征的報文。
· 允許:允許符合特征的報文通過。
· 重置:通過發送TCP的reset報文或UDP的ICMP端口不可達報文斷開TCP或UDP連接。
· 重定向:把符合特征的報文重定向到指定的Web頁麵上。
· 使用特征的預定義動作:對符合特征的報文執行特征庫中該特征的預定義動作。
· 抓包:捕獲符合特征的報文。
· 日誌:對符合特征的報文生成日誌信息。
在設備配置了入侵防禦功能的情況下,當用戶的數據流量經過設備時,設備將進行入侵防禦處理。處理流程如圖-1所示:
入侵防禦處理的整體流程如下:
1. 如果報文與IP黑名單匹配成功,則直接丟棄該報文。
2. 如果報文匹配了某條安全策略,且此策略的動作是允許並引用了入侵防禦配置文件,則設備將對報文進行深度內容檢測:首先,識別報文的協議,然後根據協議分析方案進行更精細的分析,並深入提取報文特征。
3. 設備將提取的報文特征與入侵防禦特征進行匹配,並對匹配成功的報文進行如下處理:
○ 如果報文同時與多個入侵防禦特征匹配成功,則根據這些動作中優先級最高的動作進行處理。動作優先級從高到低的順序為:重置 > 重定向 > 丟棄 > 允許。但是,對於黑名單、抓包和日誌三個動作隻要匹配成功的特征中存在就會執行。
○ 如果報文隻與一個入侵防禦特征匹配成功,則根據此特征中指定的動作進行處理。
4. 如果報文未與任何入侵防禦特征匹配成功,則設備直接允許報文通過。
· 配置文件變更後(包括新建、編輯和刪除),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。激活會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
· 執行“提交”操作後,界麵上會提示設置成功,但是配置文件此時可能尚未完成激活,如果此時報文經過設備,可能會出現暫時無法識別的情況。
· 入侵防禦功能需要購買並正確安裝License才能使用。License過期後,入侵防禦功能可以使用設備中已存在的特征庫繼續工作,但無法升級特征庫。關於License的詳細介紹請參見“License聯機幫助”。
· 配置入侵防禦白名單時,威脅ID、URL和IP地址請至少選擇其中一項進行配置。
· 導入Snort特征時,Snort文件的編碼格式必須為UTF-8。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
入侵防禦功能的配置思路如下圖所示:
圖-2 入侵防禦功能配置指導圖
設備上存在一個名稱為default的入侵防禦配置文件,缺省入侵防禦配置文件使用當前係統中所有缺省處於啟用狀態的入侵防禦特征,新增自定義入侵防禦特征會自動添加到缺省入侵防禦配置文件下。缺省入侵防禦配置文件中的入侵防禦特征的動作屬性和生效狀態屬性不能被修改。
管理員也可以根據實際需求創建自定義的入侵防禦配置文件。
1. 選擇“對象 > 應用安全 > 入侵防禦 > 配置文件”。
2. 在“入侵防禦配置文件”頁麵單擊<新建>按鈕,進入“新建入侵防禦配置文件”頁麵。
3. 配置入侵防禦配置文件的基本參數,具體參數如下所示:
表-1 入侵防禦配置文件基本參數
|
參數 |
說明 |
|
名稱 |
配置入侵防禦配置文件的名稱中不建議包含“< > \ / | * ? " : , ;”這些特殊字符,否則導出的入侵防禦配置文件其名稱中將用“_”替換這些特殊字符 |
|
設置動作 |
入侵防禦配置文件的動作類型包括:使用特征的預定義動作、黑名單、丟棄、允許、重置和重定向。符合此配置文件的報文將被按照此配置文件中指定的動作進行處理 |
4. 配置入侵防禦特征篩選條件,具體參數如下:
表-2 入侵防禦特征篩選條件
|
參數 |
說明 |
|
保護對象 |
通過選擇保護對象可快速選擇所需的入侵防禦特征 |
|
攻擊分類 |
通過選擇攻擊分類可快速選擇所需的入侵防禦特征 |
|
方向 |
入侵防禦特征庫中的特征分為服務端和客戶端,可通過選擇服務端和客戶端來篩選配置文件所需的入侵防禦特征 |
|
預定義動作 |
入侵防禦特征的預定義動作分為如下四種:丟棄、允許、重置、黑名單,可通過選擇不同的預定義動作來篩選配置文件所需的入侵防禦特征 |
|
嚴重級別 |
入侵防禦特征的嚴重級別分為如下四種:嚴重、高、中、低,可通過選擇不同的嚴重級別來篩選配置文件所需的入侵防禦特征 |
|
預定義狀態 |
入侵防禦特征的預定義狀態分為使能和未使能兩種狀態,可通過選擇不同的預定義狀態來篩選配置文件所需的入侵防禦特征 |
若不配置任何一項篩選條件(保持缺省情況),則此配置文件中將會包含所有入侵防禦特征。
5. 單擊<篩選結果>按鈕,在生效特征和未生效特征列表中可以查看特征篩選結果。
6. 如需修改生效特征列表/未生效特征列表中特征的狀態、動作或將特征移入、移出生效特征列表/未生效特征列表,可單擊<自定義設置>按鈕,進入自定義設置界麵進行修改,單擊<確定>按鈕,完成修改。
7. 單擊<高級配置>按鈕,進入高級配置界麵,具體配置參數如下:
表-3 高級設置參數
|
參數 |
說明 |
|
開啟策略匹配統計 |
開啟此功能,可以統計報文命中入侵防禦配置文件的次數 |
|
日誌參數 |
通過設置日誌參數,可為特征的日誌動作提供執行參數。可選擇配置日誌參數的方式,包括: · 使用自定義參數:直接配置日誌參數 · 使用全局參數:可在“係統 > 日誌設置 > 威脅日誌 > 入侵防禦日誌“區域下查看或修改全局參數 |
|
日誌輸出類型 |
選擇使用自定義參數後,可直接配置日誌的輸出方向,包括: · 輸出到係統日誌 · 輸出到郵件 可同時選擇兩種輸出類型 |
|
特征庫基線版本號 |
配置基線版本號可幫助用戶快速篩選出基線版本與當前版本之間有差異的特征,IPS配置文件將使用基線版本的特征與報文進行匹配,而不必回滾至基線版本的特征庫 配置本功能後,所有在基線版本之上新增的特征將處於非生效狀態,即不能用於匹配報文。如果希望將其中某個非生效狀態的特征調整為生效狀態,需要進行如下操作: a. 如果待調整特征的版本號高於基線版本號,需要先將基線版本號調整為特征的版本號;否則,直接執行下一步操作 b. 選中待調整的特征,單擊<自定義設置>按鈕,進入自定義設置頁麵,配置狀態為生效 |
|
郵件服務器 |
當選擇輸出郵件後,需要配置郵件服務器,可通過新建郵件服務器或者引用已有郵件服務器進行配置 已有郵件服務器可到“係統 > 日誌設置 > 郵件服務器“頁麵查看或修改 |
|
郵件輸出條件 特征最低嚴重級別 |
設備支持根據特征的嚴重級別對輸出的郵件進行限製 當特征的嚴重級別高於或等於配置的最低嚴重級別時才可以輸出郵件 |
8. 單擊<確定>按鈕,新建入侵防禦配置文件成功,且會在“入侵防禦配置文件”頁麵中顯示。
9. 在安全策略的內容安全配置中引用此入侵防禦配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”。
10. 新建配置文件後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
11. 如需導出入侵防禦配置文件所篩選的特征,可在“入侵防禦配置文件”頁麵導出特征一列中單擊<導出>按鈕,將以csv表格形式導出特征庫中的所有特征,並在表格生效特征一列中用“是”標識屬於該入侵防禦配置文件的特征。
當需要的特征在設備當前特征庫中不存在時,可通過編輯Snort格式的入侵防禦特征文件,並將其導入設備中來生成所需的入侵防禦特征。導入Snort特征後將刪除原有的全部Snort特征。
需要注意的是,Snort文件需要遵循Snort公司的語法。
導入Snort特征的配置步驟如下:
1. 選擇“對象 > 應用安全 > 入侵防禦 > 特征”。
2. 在“入侵防禦特征”頁麵單擊<導入Snort特征>按鈕,進入“導入Snort特征”頁麵。
3. 選擇指定的Snort文件,單擊<導入>按鈕,導入並解析Snort特征。
刪除Snort特征的配置步驟如下:
1. 選擇“對象 > 應用安全 > 入侵防禦 > 特征”。
2. 在“入侵防禦特征”頁麵,單擊<刪除特征>按鈕,選擇刪除全部Snort特征。可刪除所有Snort特征。
當需要的特征在設備當前特征庫中不存在時,用戶可通過手工配置的方式新建自定義特征。
自定義特征包括屬性和規則。
一個自定義特征下可配置多條規則,規則間包含如下規則邏輯:
· 邏輯與:表示報文需要匹配該自定義特征的所有規則才認為與該特征匹配成功。
· 邏輯或:表示報文匹配到該自定義特征的任何一條規則即認為與該特征匹配成功。
自定義特征規則下支持配置規則的匹配條件(包括源/目的IPv4地址、源/目的端口、請求方法等)、檢查項和檢查項觸發條件。
自定義特征規則包括如下類型:
· 關鍵字類型:配置關鍵字類型規則時,需要配置檢查項和檢查項觸發條件。隻有匹配檢查項觸發條件後才會繼續匹配檢查項。僅當所有檢查項都匹配成功,才表示該規則成功匹配。
· 數值類型:配置數值類型規則時,可以配置檢查項,隻有所有檢查項都匹配成功,才表示規則成功匹配。
新建自定義特征的配置步驟如下:
1. 選擇“對象 > 應用安全 > 入侵防禦 > 特征”。
2. 在“入侵防禦特征”頁麵,單擊<新建自定義特征>按鈕,進入“新建自定義特征”頁麵。
3. 在“基本配置”區域可配置自定義特征的屬性,具體配置內容如下:
表-4 配置自定義特征屬性
|
參數 |
說明 |
|
名稱 |
自定義特征的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別自定義特征的作用,有利於後期維護 |
|
嚴重級別 |
可根據具有該特征報文對網絡攻擊造成危害的嚴重程度配置不同的嚴重級別。嚴重級別分為如下四種:嚴重、高、中、低 |
|
方向 |
可根據具有該特征報文的傳輸方向進行配置,包括服務端和客戶端 |
|
動作 |
對具有該特征的報文執行的動作。動作類型包括:黑名單、丟棄、允許和重置 |
|
日誌 |
開啟日誌功能後,設備將對與入侵防禦特征匹配成功的報文生成日誌信息 |
|
抓包 |
開啟抓包功能後,設備會將捕獲到的報文保存在本地並輸出到指定的路徑,有關捕獲參數的詳細配置,請參見“安全動作聯機幫助” |
4. 在“規則”區域可配置自定義特征規則。一個自定義特征下可配置多條規則,用戶需要先配置規則邏輯,包括邏輯或和邏輯與。
5. 單擊<新建>按鈕,進入新建規則頁麵,具體配置內容如下:
表-5 新建自定義特征規則
|
參數 |
說明 |
|
ID |
自定義特征規則的ID |
|
應用層協議 |
自定義特征匹配的應用層協議 |
|
傳輸層協議 |
自定義特征匹配的傳輸層協議 |
|
匹配類型 |
表示自定義特征的類型,包括關鍵字類型和數值類型 |
|
請求方法 |
HTTP報文的請求方法,如:GET、POST等 |
|
源IPv4地址 |
自定義特征匹配的源IPv4地址 |
|
源端口 |
自定義特征匹配的源端口 |
|
目的IPv4地址 |
自定義特征匹配的目的IPv4地址 |
|
目的端口 |
自定義特征匹配的目的端口 |
6. 在“檢查項觸發條件”區域配置檢查項的觸發條件,僅當自定義特征規則為關鍵字類型時需要配置。具體配置內容如下:
表-6 新建檢查項觸發條件
|
參數 |
說明 |
|
協議字段 |
檢查項觸發條件檢測的協議字段 |
|
匹配模式 |
檢查項觸發條件檢測內容的匹配模式,包括文本方式和十六進製方式 |
|
匹配內容 |
檢查項觸發條件檢測的內容 |
|
檢測深度 |
檢查項觸發條件的檢測深度,從起始檢測位置開始,檢測數據的長度 |
|
偏移量 |
檢查項觸發條件的偏移量,從協議字段開始,偏移指定長度,作為檢查項觸發條件的起始檢測位置 |
7. 單擊<確定>按鈕,完成檢查項觸發條件的配置。
8. 在“檢查項”區域配置自定義特征規則的檢查項,具體配置內容如下:
表-7 新建檢查項
|
參數 |
說明 |
|
ID |
檢查項的ID |
|
協議字段 |
檢查項檢測的協議字段 |
|
操作符 |
表示檢查項和檢測內容的匹配方式,不同類型的自定義特征規則支持的操作符不同,取值包括: · 關鍵字類型規則的操作符包括:包含和不包含 · 數值類型規則的操作符包括:大於、小於、等於、不等於、大於等於和小於等於 |
|
匹配模式 |
檢查項檢測內容的匹配模式,包括文本、正則表達式和十六進製 |
|
匹配內容 |
檢查項檢測的內容 |
|
偏移量 |
檢查項的偏移量,從協議字段開始,偏移指定長度,作為檢查項的檢測起始位置 |
|
檢測深度 |
檢查項的檢測深度,從檢查項檢測的起始位置開始,檢測數據的長度 |
|
相對偏移量 |
表示當前檢查項與上一個檢查項之間的相對偏移量,從上一個檢查項的結束位置開始偏移的長度 |
|
相對檢測深度 |
表示當前檢查項的檢測深度 |
9. 單擊<確定>按鈕,完成檢查項的配置。
10. 單擊<確定>按鈕,完成自定義特征規則的配置。
11. 單擊<確定>按鈕,完成自定義特征的配置。
12. 單擊<提交>按鈕,使新建的自定義特征生效。
刪除自定義特征的配置步驟如下:
選擇“對象 > 應用安全 > 入侵防禦 > 特征”。在“入侵防禦特征”頁麵,選擇需要刪除的自定義特征,單擊<刪除特征>按鈕,選擇刪除選中的自定義特征。
選擇“對象 > 應用安全 > 入侵防禦 > 特征”,在“入侵防禦特征”頁麵可導出當前設備上入侵防禦特征庫中的所有特征。單擊<導出所有特征>按鈕,將以csv表格的形式導出特征庫中所有特征。
當發現入侵防禦日誌中存在誤報的情況時,可通過開啟白名單功能,將誤報日誌中提取到的威脅ID(入侵防禦特征ID)、URL或IP地址加入白名單。設備對匹配白名單的報文放行,可以減少誤報。
配置白名單功能後,設備會對白名單的命中情況進行統計,用戶可在白名單界麵中查看統計信息。
1. 選擇“對象 > 應用安全 > 入侵防禦 > 白名單”。
2. 在“白名單”頁麵單擊<新建>按鈕,進入“新建白名單”頁麵。
3. 新建白名單,具體配置內容如下:
表-8 配置白名單
|
參數 |
說明 |
|
編號 |
白名單的編號 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別白名單的作用,有利於後期維護 |
|
威脅ID |
從誤報的日誌中提取到的入侵防禦特征ID |
|
URL |
從誤報的日誌中提取到的URL URL由報文頭域和報文首行組成,例如:111.15.93.166/wnm/get.j 新增、修改、刪除URL都需要單擊<激活>按鈕,使配置生效 |
|
匹配模式 |
URL的匹配方式,取值包括: · 精確匹配:報文中URL必須和配置的URL完全一致才能匹配成功 · 子串匹配:報文中攜帶的URL隻要包含配置的URL即可匹配成功 |
|
IP地址類型 |
IP地址類型,取值包括IPv4和IPv6 |
|
IP地址 |
從誤報的日誌中提取到的IP地址 |
4. 單擊<確定>按鈕,完成白名單的創建。
5. 單擊<開啟白名單功能>按鈕,啟用白名單功能。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
