- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-IPS命令
本章節下載: 03-IPS命令 (551.22 KB)
目 錄
1.1.2 action(ips signature view)
1.1.4 description(ips user-defined signature view)
1.1.5 description(ips whitelist view)
1.1.13 display ips signature library
1.1.14 display ips signature pre-defined
1.1.15 display ips signature user-defined
1.1.16 display ips signature user-defined parse-failed
1.1.17 email parameter-profile
1.1.19 global-parameter enable
1.1.25 ips signature auto-update
1.1.26 ips signature auto-update-now
1.1.27 ips signature import snort
1.1.28 ips signature remove snort
1.1.31 ips signature update-log
1.1.32 ips signature user-defined
1.1.42 severity-level(ips policy view)
1.1.43 severity-level(ips signature view)
1.1.46 signature version-baseline
1.1.48 source-address(ips user-defined signature view)
1.1.49 source-address(ips whitelist view)
1.1.51 statistics signature-hit enable
action命令用來配置篩選IPS特征的動作屬性。
undo action命令用來恢複缺省情況。
【命令】
action { block-source | drop | permit | reset } *
undo action
【缺省情況】
未配置動作屬性篩選條件。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
block-source:表示源阻斷動作,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。
drop:表示丟棄報文的動作。
permit:表示允許報文通過的動作。
reset:表示重置動作,該動作通過發送TCP的reset報文使TCP連接斷開。
【使用指導】
可通過配置動作屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可同時配置多個動作,隻要符合其中一個,具有該動作屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中配置篩選IPS特征的動作為drop和reset。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] action drop reset
action命令用來配置自定義特征的動作。
undo action命令用來恢複缺省情況。
【命令】
action { block-source | drop | permit | reset } [ capture | logging ] *
undo action
【缺省情況】
自定義特征的動作是permit。
【視圖】
自定義特征視圖
【缺省用戶角色】
network-admin
【參數】
block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。
drop: 表示丟棄報文。
permit:表示放行報文。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
logging:表示記錄日誌。
capture:表示捕獲符合特征的報文。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置自定義特征動作為丟棄。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] action drop
attack-category命令用來配置篩選IPS特征的攻擊分類屬性。
undo attack-category命令用來刪除篩選IPS特征的攻擊分類屬性。
【命令】
attack-category { category [ subcategory ] | all}
undo attack-category { category [ subcategory | all] }
【缺省情況】
未配置攻擊分類屬性篩選條件。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
category:表示設備中已有的攻擊分類名稱。
subcategory:表示設備中已有攻擊分類中的子分類名稱。若不指定本參數,則表示指定攻擊分類中的所有子分類。
all:表示設備中已有的所有攻擊分類。
【使用指導】
可通過配置攻擊分類屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可多次執行本命令,配置多個攻擊分類。隻要符合其中一個,具有該攻擊分類的特征將會被篩選出來。
【舉例】
# 在名稱為test的IPS策略中,配置篩選IPS特征的攻擊分類為Vulnerability攻擊分類中的SQLInjection分類。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] attack-category Vulnerability SQLInjection
description命令用來配置自定義特征的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置自定義特征的描述信息。
【視圖】
自定義特征視圖
【缺省用戶角色】
network-admin
【參數】
text:表示自定義特征的描述信息,為1~127個字符的字符串,不區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別自定義特征的作用,有利於後期維護。
【舉例】
# 在IPS自定義特征mysignature中,配置描述信息為mydescription。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] description mydescription
description命令用來配置IPS白名單表項的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置IPS白名單表項的描述信息。
【視圖】
IPS白名單表項視圖
【缺省用戶角色】
network-admin
【參數】
text:IPS白名單表項的描述信息,為1~255個字符的字符串,可以包含空格,不區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別IPS白名單表項的作用,有利於後期維護。
【舉例】
# 配置編號為1的IPS白名單表項描述信息為News information。
<Sysname> system-view
[Sysname] ips whitelist 1
[Sysname-ips-whitelist-1] description News information
destination-address命令配置自定義特征規則匹配的目的IP地址。
undo destination-address命令用來刪除自定義特征規則匹配的目的IP地址。
【命令】
destination-address ip ip-address
undo destination-address
【缺省情況】
未配置自定義特征規則匹配的目的IP地址。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:表示自定義特征匹配的目的IPv4地址。
【使用指導】
多次執行本命令,最後一次執行的命令行生效。
【舉例】
# 在IPS自定義特征mysignature中,配置編號為1的關鍵字類型規則,配置自定義特征規則匹配的目的IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1] destination-address ip 10.1.1.1
destination-port命令用來配置自定義特征規則匹配的目的端口。
undo destination-port命令用來恢複缺省情況。
【命令】
destination-port start-port [ to end-port]
undo destination-port
【缺省情況】
未配置自定義特征規則匹配的目的端口。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
start-port:表示目的端口的起始端口號,取值範圍為1~65535。
to end-port:指定結束目的端口號。end-port,表示目的端口的結束端口號,取值範圍為1~65535。若不指定本參數,則表示僅匹配起始端口號。
【使用指導】
本命令用於配置指定的四層傳輸協議的端口號。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置編號為1的關鍵字類型規則,配置自定義特征規則匹配的目的端口範圍為1~3550。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1] destination-port 1 to 3550
detection-integer命令用來配置數值類型自定義特征規則的檢查項。
undo detection-integer命令用來刪除數值類型自定義特征規則的檢查項。
【命令】
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
undo detection-integer
【缺省情況】
未配置數值類型自定義特征規則的檢查項。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
field-name:表示待檢測的協議字段。field-name表示待檢測的協議字段名稱,不區分大小寫,需要通過輸入“?”獲取支持的協議字段。
match-type { eq | gt | gt-eq | lt | lt-eq | nequ }:表示檢查項和待檢測數值的匹配方式。
· eq:等於。
· gt:大於。
· gt-eq:大於等於。
· lt:小於。
· lt-eq:小於等於。
· nequ:不等於。
number:表示檢查項要比較的數值,取值範圍為1~4294967295。
【使用指導】
一條規則可以配多個檢查項,檢查項之間為邏輯與的關係,匹配順序為配置順序。配置檢查項匹配的協議字段時,建議依據協議中各字段的先後順序進行配置,否則可能會影響設備的檢測結果。
【舉例】
# 在IPS自定義特征mysignature中,新建編號為1的規則,規則的四層傳輸協議為UDP、五層傳輸協議為SIP、匹配類型為數值。新建檢查項,協議字段為SIP.Content-Length、匹配方式為等於、檢測內容為50。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol UDP l5-protocol SIP pattern-type integer
[Sysname-ips-signature-mysignature-rule-1] detection-integer field SIP.Content-Length match-type eq 50
detection-keyword命令用來配置關鍵字類型自定義特征規則的檢查項。
undo detection-keyword命令用來刪除關鍵字類型自定義特征規則的檢查項。
【命令】
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
undo detection-keyword detection-id
【缺省情況】
未配置關鍵字類型自定義特征規則的檢查項。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
detection-id:表示檢查項的ID,取值範圍為1~10。
field field-name:表示待檢測的協議字段。field-name表示協議字段名稱,不區分大小寫。需要通過輸入“?”獲取支持的協議字段。
match-type { exclude | include }:表示檢查項和關鍵字的匹配方式。
· include:包含。
· exclude:不包含。
hex hex-string:表示用來匹配的十六進製字符內容,hex-string表示匹配內容,為8~254個字符的字符串,且必須輸入偶數個字符,輸入參數必須在兩個豎杠“|”之間,僅支持輸入“0-9、A-F、a-f”,區分大小寫,例如|1234f5b6|。
regex regex-pattern:表示用來匹配的正則表達式,為3~255個字符的字符串,區分大小寫,隻能以字母、數字、下劃線開頭,不能以特殊符號開頭,支持特殊字符配置,且必須包含連續的3個非通配符。
text text-string:表示用來匹配的文本內容,為3~255個字符的字符串,不區分大小寫。
offset offset-value:表示檢查項的偏移量,從協議字段起始位置開始偏移的長度。取值範圍為1~65535,單位為字節。若不配置該參數,則表示從協議字段的起始位置開始對檢查項進行檢測。
depth depth-value:表示檢查項的檢測深度,從檢查項的起始位置開始,檢測的長度。取值範圍為3~65535,單位為字節。若不配置該參數,則表示檢查項對整個協議字段進行檢測。
relative-offset relative-offset-value:表示當前檢查項與上一個檢查項之間的相對偏移量,取值範圍為-32767~-1,1~32767,單位為字節。從上一個檢查項的檢測結束位置開始偏移。如果取值為正數,則表示向後偏移;如果取值為負數,則表示向前偏移。
relative-depth relative-depth-value:表示檢查項的檢測深度,從檢測的起始位置開始檢測的長度,取值範圍為3~65535,單位為字節。
【使用指導】
本命令僅在配置觸發檢查項之後才可配置。
一條規則可以配多個檢查項,檢查項之間為邏輯與的關係,匹配順序為配置順序。
檢查項僅檢測指定協議字段範圍內的數據,可使用偏移量、檢測深度和相對偏移量、相對檢測深度兩組參數中的任意一組精確定位檢測的起始和終止位置。
配置檢查項匹配的協議字段時,建議依據HTTP協議中各協議字段順序進行配置,否則可能會影響設備的檢測結果。
【舉例】
# 在IPS自定義特征mysignature中,新建編號為1的規則,規則的四層傳輸協議為tcp、五層傳輸協議為HTTP、匹配類型為關鍵字類型。新建配置編號為1的檢查項,協議字段為http.host、匹配方式為包含、檢測內容為文本abc、偏移量為10字節、檢測深度為50字節。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1] detection-keyword 1 field http.host match-type include text abc offset 10 depth 50
【相關命令】
· trigger
direction命令用來配置自定義特征的檢測方向。
undo direction命令用來恢複缺省情況。
【命令】
direction { any | to-client | to-server }
undo direction
【缺省情況】
自定義特征的檢測方向是any。
【視圖】
自定義特征視圖
【缺省用戶角色】
network-admin
【參數】
any:表示發往服務器和客戶端的兩個方向。
to-client:表示發往客戶端的方向。
to-server:表示發往服務器的方向。
【使用指導】
不支持通過多次執行本命令修改自定義特征的檢測方向,如需修改檢測方向,請先執行undo direction命令。執行undo命令後,將刪除該特征下的所有規則。
【舉例】
# 在IPS自定義特征mysignature中,配置自定義特征的檢測方向為發往客戶端的方向。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] direction to-client
display ips policy命令用來顯示IPS策略信息。
【命令】
display ips policy policy-name
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:表示IPS策略名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 顯示IPS策略aa的策略信息。
<Sysname> display ips policy aa
Total signatures :10929 failed:0
Pre-defined signatures:10925 failed:0
Snort signatures :0 failed:0
User-config signatures:0 failed:0
Flag:
B: Block-Source D: Drop P: Permit Rs: Reset Rd: Redirect C: Capture L: L
ogging
Pre: predefined Snort: Snort User: user-config
Type RuleID Target SubTarget Severity Direction Category
SubCategory Status Action
Pre 1 OperationSystem LinuxUnix High Server Vulnerability
RemoteCodeExecu Enable RsL
Pre 2 OperationSystem LinuxUnix High Server Vulnerability
MemoryCorruptio Enable RsL
Pre 4 OfficeSoftware MicrosoftOffice High Any Vulnerability
Overflow Enable RsL
Pre 5 OfficeSoftware MicrosoftOffice High Any Vulnerability
MemoryCorruptio Enable RsL
Pre 6 Browser InternetExplore High Any Vulnerability
MemoryCorruptio Enable RsL
Pre 7 Browser InternetExplore High Any Vulnerability
MemoryCorruptio Enable RsL
Pre 8 ApplicationSoft MediaPlayer High Any Vulnerability
RemoteCodeExecu Enable RsL
Pre 9 ApplicationSoft Security High Server Vulnerability
Overflow Enable DL
Pre 10 Browser InternetExplore High Server Vulnerability
InsecureLibrary Enable RsL
Pre 11 Browser InternetExplore High Any InformationDis
c SensitiveInfo Enable RsL
Pre 12 OfficeSoftware MicrosoftOffice Critical Any Vulnerability
RemoteCodeExecu Enable RsL
Pre 13 OfficeSoftware MicrosoftOffice High Any Vulnerability
MemoryCorruptio Enable RsL
Pre 14 ApplicationSoft IM High Server Vulnerability
InsecureLibrary Enable RsL
Pre 15 Browser InternetExplore High Any Vulnerability
RemoteCodeExecu Enable RsL
---- More ----
表1-1 display ips policy命令顯示信息描述表
|
字段 |
描述 |
|
Total signatures |
IPS特征總數 |
|
Pre-defined signatures |
預定義IPS特征數目 |
|
User-config signatures |
用戶手工配置的自定義特征數目 |
|
Snort signatures |
用戶自定義Snort特征數目 |
|
Type |
IPS特征的類型,包括如下取值: · Pre:表示預定義特征 · User:手工配置的自定義特征 · Snort:從Snort文件中導入的Snort特征 |
|
RuleID |
IPS特征編號 |
|
Target |
攻擊對象 |
|
SubTarget |
攻擊子對象 |
|
Severity |
IPS特征的攻擊嚴重程度屬性,從低到高分為四級:Low、Medium、High、Critical |
|
Direction |
IPS特征的匹配方向,包括如下取值: · Any:表示從服務器到客戶端方向和從客戶端到服務器方向上的對象 · Client:表示從服務器到客戶端方向上的對象 · Server:表示從客戶端到服務器方向上的對象 |
|
Category |
IPS特征的攻擊類別名稱 |
|
Subcategory |
IPS特征的攻擊分類中的子分類名稱 |
|
Status |
IPS特征的狀態,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特征未生效 |
|
Action |
對報文的處理動作,包括如下取值: · Block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單 · Drop:表示丟棄符合特征的報文 · Permit:表示允許符合特征的報文通過 · Reset:表示發送TCP的reset報文或UDP的ICMP端口不可達報文使TCP或UDP連接斷開 · Redirect:表示重定向符合特征的報文 · Capture:表示捕獲符合特征的報文 · Logging:表示對符合特征的報文生成日誌 |
【相關命令】
· ips policy
display ips signature命令用來顯示IPS特征簡要信息。
【命令】
display ips signature [ pre-defined | user-defined { snort | user-config } ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
pre-defined:顯示預定義IPS特征。
user-defined:顯示自定義IPS特征。
snort:表示從Snort文件導入的自定義特征。
user-config:表示用戶手工配置的自定義特征。
direction { any | to-client | to-server }:顯示符合指定方向屬性的IPS特征。如果未指定此參數,則顯示所有方向上的IPS特征。
· to-server:表示一個會話的客戶端到服務器的方向。
· to-client:表示一個會話的服務器到客戶端的方向。
· any:表示一個會話的兩個方向。
category category-name:顯示符合指定攻擊類別屬性的IPS特征,category-name是攻擊類型的名稱,可通過輸入“?”獲取支持的攻擊類型名稱。如果未指定此參數,則顯示所有攻擊類型的IPS特征。
fidelity { high | low | medium }:顯示符合指定可信度屬性的IPS特征。如果未指定此參數,則顯示所有可信度的IPS特征。可信度是指此IPS特征識別攻擊行為準確度,且從低到高分為如下三個級別:
· low:可信度比較低。
· medium:可信度中等。
· high:可信度比較高。
protocol { icmp | ip | tcp | udp }:顯示符合指定協議屬性的IPS特征,協議ICMP、IP、TCP和UDP協議。如果未指定此參數,則顯示所有協議的IPS特征。
severity { critical | high | low | medium }:顯示符合指定嚴重級別屬性的IPS特征。如果未指定此參數,則顯示所有嚴重級別的IPS特征。嚴重級別是指匹配此IPS特征的網絡攻擊造成危害的嚴重程度,且從低到高分為四個級別:
· low:攻擊嚴重程度比較低。
· medium:攻擊嚴重程度中等。
· high:攻擊嚴重程度比較高。
· critical:攻擊嚴重程度非常高。
【使用指導】
若不指定任何參數,則顯示所有IPS特征。
【舉例】
# 顯示可信度為中等的所有TCP協議的預定義IPS特征。
<Sysname> display ips signature pre-defined protocol tcp fidelity medium
Pre-defined signatures:465 failed:0
Flag:
Pre: predefined User: user-config Snort: Snort
Type Sig-ID Direction Severity Fidelity Category Protocol Sig-Name
Pre 1 To-server High Medium Vulnerability TCP -
Pre 2 To-server High Medium Vulnerability TCP -
Pre 3 To-client High Medium Vulnerability TCP -
Pre 4 To-client High Medium Vulnerability TCP -
Pre 5 To-client High Medium Vulnerability TCP -
Pre 6 To-client High Medium Vulnerability TCP -
Pre 7 To-client High Medium Vulnerability TCP -
Pre 8 To-client High Medium Vulnerability TCP -
Pre 10 To-server High Medium Vulnerability TCP -
Pre 11 To-client High Medium Vulnerability TCP -
Pre 12 To-client Critical Medium Vulnerability TCP -
Pre 13 To-client High Medium Vulnerability TCP -
Pre 14 To-server High Medium Vulnerability TCP -
Pre 15 To-client High Medium Vulnerability TCP -
Pre 16 To-client Critical Medium Vulnerability TCP -
Pre 17 To-client High Medium Vulnerability TCP -
Pre 18 To-client High Medium Vulnerability TCP -
---- More ----
# 顯示攻擊嚴重程度為比較高的所有UDP協議的IPS特征。
<Sysname> display ips signature severity high protocol udp
Total signatures :7 failed:0
Pre-defined signatures total:7 failed:0
User-config signatures total:0 failed:0
snort signatures total:1 failed:1
Flag:
Pre: predefined User: user-defined Snort: Snort
Type Sig-ID Direction Severity Fidelity Category Protocol Sig-Name
Pre 9 To-server High Medium Vulnerability UDP -
Pre 45 To-server High Medium Vulnerability UDP -
Pre 187 Any High Medium Vulnerability UDP -
Pre 196 Any High Medium Vulnerability UDP -
Pre 223 To-server High Medium Vulnerability UDP -
Pre 234 To-client High Medium Vulnerability UDP -
Pre 338 To-client High Medium Vulnerability UDP -
---- More ----
表1-2 display ips signature命令顯示信息描述表
|
字段 |
描述 |
|
Total signatures |
IPS特征總數 |
|
failed |
Snort規則導入特征庫失敗和特征庫加載失敗的特征總數 |
|
Pre-defined signatures total |
預定義IPS特征數目 |
|
User-config signatures total |
用戶手工配置的自定義特征數目 |
|
Snort signatures total |
Snort文件導入的Snort特征數目 |
|
Type |
IPS特征的類型,包括如下取值: · Pre:表示預定義特征 · User:表示用戶手工配置的自定義特征 · Snort:表示從Snort文件中導入的Snort特征 |
|
Sig-ID |
IPS特征的編號 |
|
Direction |
IPS特征的方向屬性,包括如下取值: · any:表示一個會話的兩個方向 · To-server:一個會話的客戶端到服務器方向 · To-client:一個會話的服務器到客戶端方向 |
|
Severity |
IPS特征的攻擊嚴重程度屬性,嚴重程度從低到高分為四個級別:Low、Medium、High、Critical |
|
Fidelity |
IPS特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Category |
IPS特征的攻擊類別名稱 |
|
Protocol |
IPS特征的協議屬性 |
|
Sig-Name |
IPS特征的名稱 |
display ips signature library命令用來顯示IPS特征庫信息。
【命令】
display ips signature library
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示IPS特征庫信息。
<Sysname> display ips signature library
IPS signature library information:
Type SigVersion ReleaseTime Size
Current 1.02 Fri Sep 13 09:05:35 2014 71594
Last - - -
Factory 1.00 Fri Sep 11 09:05:35 2014 71394
表1-3 display ips signature library命令顯示信息描述表
|
字段 |
描述 |
|
Type |
IPS特征庫版本,包括如下取值: · Current:表示當前版本 · Last:表示上一版本 · Factory:表示出廠版本 |
|
SigVersion |
IPS特征庫版本號 |
|
ReleaseTime |
IPS特征庫發布時間 |
|
Size |
IPS特征庫文件大小,單位是Bytes |
display ips signature pre-defined命令用來顯示IPS預定義特征的詳細信息。
【命令】
display ips signature pre-defined signature-id
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
signature-id:指定IPS特征的編號,取值範圍為1~536870911。
【舉例】
# 顯示編號為1的預定義IPS特征的詳細信息。
<Sysname> display ips signature pre-defined 1
Type : Pre-defined
Signature ID: 1
Status : Enabled
Action : Reset & Logging
Name : GNU_Bash_CVE-2014-6271_Remote_Code_Execution_Vulnerability
Protocol : TCP
Severity : High
Fidelity : Medium
Direction : To-server
Category : Vulnerability
Reference : CVE-2014-6271;
Description : GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka \"ShellShock.\" NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.
表1-4 display ips signature pre-defined命令顯示信息描述表
|
字段 |
描述 |
|
Type |
IPS特征的類型,包括如下取值: · Pre:表示預定義特征 · User:表示自定義特征 |
|
Signature ID |
IPS特征的編號 |
|
Status |
IPS特征的狀態,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特未生效 |
|
Action |
對報文的處理動作,包括如下取值: · Block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單 · Drop:表示丟棄符合特征的報文 · Permit:表示允許符合特征的報文通過 · Reset:表示發送TCP的reset報文或UDP的ICMP端口不可達報文使TCP或UDP連接斷開 · Capture:表示捕獲符合特征的報文 · Logging:表示對符合特征的報文生成日誌 |
|
Name |
IPS特征的名稱 |
|
Protocol |
IPS特征的協議屬性 |
|
Severity |
IPS特征的攻擊嚴重程度屬性,嚴重程度從低到高分為四個級別:Low、Medium、High、Critical |
|
Fidelity |
IPS特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Direction |
IPS特征的方向屬性,包括如下取值: · Any:表示一個會話的兩個方向 · To-server:一個會話的客戶端到服務器方向 · To-client:一個會話的服務器到客戶端方向 |
|
Category |
IPS特征的攻擊類別名稱 |
|
Reference |
IPS特征的參考信息 |
|
Description |
IPS特征的描述信息 |
display ips signature user-defined命令用來顯示IPS自定義特征的詳細信息。
【命令】
display ips signature user-defined { snort | user-config } signature-id
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
snort:表示從Snort文件導入的自定義特征。
user-config:表示用戶手工配置的自定義特征。
signature-id:表示IPS自定義特征的ID,其中,Snort特征的取值範圍為536870913~1073741823;用戶手工配置的自定義特征的取值範圍為1073741840~1342177264。
【舉例】
# 顯示編號為536870914的snort自定義特征的詳細信息。
<Sysname> display ips signature user-defined snort 536870914
Type : Snort
Signature ID: 536870914
Status : Enabled
Action : drop
Name : Snort name
Protocol : TCP
Severity : High
Fidelity : Medium
Direction : To-server
Category : Vulnerability
Reference : CVE-2014-6271;
Description : Some description.
表1-5 display ips signature user-defined snort命令顯示信息描述表
|
字段 |
描述 |
|
Type |
特征的類型,取值為Snort,表示從Snort文件導入的自定義特征 |
|
Signature ID |
特征的編號 |
|
Status |
特征的狀態,取值包括: · Enabled:表示生效狀態 · Disabled:表示失效狀態 |
|
Action |
報文與特征匹配成功後對該報文執行的動作,取值包括: · Permit:允許報文通過 · Drop:丟棄報文 · Reset:表示通過發送TCP的reset報文從而使TCP或UDP連接斷開 · Block-source:阻斷報文 · Logging:生成報文日誌 · Capture:捕獲報文 |
|
Name |
特征的名稱 |
|
Protocol |
特征匹配的協議 |
|
Severity |
特征的嚴重程度,從低到高分為四級:Low、Medium、High、Critical |
|
Fidelity |
IPS特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Direction |
特征匹配的方向,取值包括: · Any:雙向 · To-client:服務器到客戶端的方向 · To-server:客戶端到服務器的方向 |
|
Category |
特征的攻擊分類 |
|
Reference |
特征的相關信息 |
|
Description |
特征的描述信息 |
# 顯示編號為1073741840的用戶手工配置的自定義特征的詳細信息。
<Sysname> display ips signature user-defined user-config 1073741840
Type: User-config
Signature ID: 1073741840
Signature name: lkx
Status: Enable
Action: Permit
Severity: Low
Fidelity: High
Direction: Any
Rulelogic: And
Total rule: 1
Rule ID: 1
L4-protocol: TCP
L5-protocol: HTTP
Match-type: keyword
Destination-address: 1.1.1.1
Destination-port: 50-60
Trigger entry:
Field: HTTP.Accept
Value: 12ljlj
Detection entry list:
Entry ID Field Match-type Content-type Content
1 HTTP.Accept exclude text ljljl
---- More --
表1-6 display ips signature user-defined user-config命令顯示信息描述表
|
字段 |
描述 |
|
Type |
特征的類型,取值為User-config,表示用戶手工配置的自定義特征 |
|
Signature ID |
特征的編號 |
|
Signature name |
特征的名字 |
|
Status |
特征的狀態,取值包括: · Enabled:表示生效狀態 · Disabled:表示失效狀態 |
|
Action |
報文與特征匹配成功後對該報文執行的動作,取值包括: · Permit:允許報文通過 · Drop:丟棄報文 · Reset:表示通過發送TCP的reset報文從而使TCP或UDP連接斷開 · Block-source:阻斷報文 · Logging:生成報文日誌 · Capture:捕獲報文 |
|
Severity |
特征的嚴重程度,從低到高分為四級:Low、Medium、High、Critical |
|
Fidelity |
特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Direction |
特征匹配的方向,取值包括: · Any:雙向 · To-client:服務器到客戶端的方向 · To-server:客戶端到服務器的方向 |
|
Rulelogic |
特征下規則間的邏輯關係 |
|
Description |
特征的描述信息 |
|
Total rule |
特征下的規則數量 |
|
Rule ID |
特征下的規則編號 |
|
L4-protocol |
特征匹配的四層傳輸協議 |
|
L5-protocol |
特征匹配的五層傳輸協議 |
|
Match type |
特征匹配內容的類型,取值包括: · Keyword:關鍵字類型 · Integer:數值類型 |
|
Source address |
特征匹配的源IP地址 |
|
Source port |
特征匹配的源端口 |
|
Destination address |
特征匹配的目的IP地址 |
|
Destination port |
特征匹配的目的端口 |
|
Trigger entry |
特征的觸發檢查項 |
|
Field |
特征規則觸發檢查項檢測的協議字段 |
|
Value |
特征規則觸發檢查項檢測的內容 |
|
Offset |
特征規則觸發檢查項的絕對偏移量 |
|
Depth |
特征規則觸發檢查項的檢測深度 |
|
Detection entry list |
特征規則的檢查項列表 |
|
Entry ID |
特征規則的檢查項編號 |
|
Field |
特征規則檢查項的協議字段 |
|
Match type |
特征規則檢查項的匹配方式 |
|
Content-type |
特征規則檢查項的檢測內容的類型,取值包括: · hex:表示十六進製字符 · regex:表示正則表達式 · text:表示文本 |
|
Content |
特征規則檢查項的檢查內容 |
display ips signature user-defined parse-failed命令用來顯示IPS自定義特征解析失敗的信息。
【命令】
display ips signature user-defined parse-failed
【視圖】
任意視圖
【缺省用戶角色】
network-admin
【舉例】
# 顯示IPS自定義特征解析失敗的信息。
<Sysname> display ips signature user-defined parse-failed
LineNo SID Information
1 None Error: Invalid actions.
Tip: Only actions {alert|drop|pass|reject|sdrop|log} are supported
2 1010082 Error: Invalid signature ID.
Tip: The signature ID must be in the range of 1 to 536870912
3 1010083 Error: Invalid protocol.
Tip: Only protocols {tcp|udp|icmp|ip} are supported
4 1010084 Error: Invalid direction.
Tip: Only directions {'<>'|'->'} are supported
表1-7 display ips signature user-defined parse-failed命令顯示信息描述表
|
字段 |
描述 |
|
LineNo |
Snort規則文件中的行號 |
|
SID |
自定義特征的編號 |
|
Information |
自定義特征解析失敗的信息,包括如下取值: · Error:表示自定義特征解析失敗的原因 · Tip:表示Snort規則文件內容的修改建議 |
【相關命令】
· ips signature import snort
email parameter-profile命令用來引用郵件動作參數profile。
undo email parameter-profile命令用來取消引用郵件動作參數profile。
【命令】
email parameter-profile parameter-profile-name
undo email parameter-profile
【缺省情況】
未引用郵件動作參數profile。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
parameter-profile-name:表示郵件動作參數profile名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
本命令僅在去使能全局動作參數後生效(即執行undo global-parameter enable命令)。
配置日誌輸出方式為郵件後(即配置log email命令),需要配置本命令為郵件動作提供執行參數。
本命令引用的郵件動作參數profile由應用層檢測引擎動作參數profile提供。有關應用層檢測引擎動作參數profile的具體配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS策略policy1中引用名為email1的郵件動作參數profile。
<Sysname> system-view
[Sysname] ips policy policy1
[Sysname-ips-policy-policy1] email parameter-profile email1
【相關命令】
· log
email severity-level命令用來配置允許以郵件方式輸出日誌的最低嚴重級別。
undo email severity-level命令用來恢複缺省情況。
【命令】
email severity-level { critical | high | low | medium }
undo email severity-level
【缺省情況】
允許以郵件方式輸出日誌的最低嚴重級別為low。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
critical:表示嚴重級別最高。
high:表示嚴重級別高。
low:表示嚴重級別低。
medium:表示嚴重級別一般。
【使用指導】
本功能用於將IPS特征的嚴重級別作為過濾條件,僅當報文命中的IPS特征的嚴重級別不低於本功能配置的最低嚴重級別時,設備才會將生成的日誌以郵件方式發送。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中,配置允許以郵件方式輸出日誌的最低嚴重級別為high。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] email severity-level high
global-parameter enable命令用來使能全局動作參數。
undo global-parameter enable命令用來去使能全局動作參數。
【命令】
global-parameter enable
undo global-parameter enable
【缺省情況】
全局動作參數處於使能狀態。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【使用指導】
IPS動作中,源阻斷、捕獲和日誌僅在配置參數後生效,參數可通過如下方式配置:
· 配置全局動作參數:通過在係統視圖下配置IPS引用應用層檢測引擎動作參數profile實現,該方式配置的動作參數對所有IPS策略均生效。
· 配置策略動作參數:直接在各個IPS策略視圖下單獨配置各動作的執行參數。目前僅支持配置日誌動作參數。
如果IPS策略視圖下既配置了全局動作參數,又配置了策略動作參數,則以全局動作參數為準。
如果需要使策略動作參數生效,則必須保證全局動作參數處於未使能狀態。
建議在完成全局動作參數的配置之後,再使能全局動作參數。
【舉例】
# 在名稱為policy1的IPS策略中使用全局動作參數。
<Sysname> system-view
[Sysname] ips policy policy1
[Sysname-ips-policy-policy1] global-parameter enable
【相關命令】
· email parameter-profile
· ips parameter-profile
· log
http-method命令用來配置自定義特征規則匹配的HTTP報文請求方法。
undo http-method命令刪除自定義特征規則匹配的HTTP報文的請求方法。
【命令】
http-method method-name
undo http-method
【缺省情況】
未配置自定義特征規則匹配的HTTP報文的請求方法。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
method-name:HTTP報文的請求方法,不區分大小寫,如:GET、POST等。需要通過輸入“?”獲取支持的請求方法。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置編號為1的關鍵字類型規則,配置自定義特征規則匹配的HTTP報文的請求方法為GET。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] direction to-server
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1] http-method get
ips apply policy命令用來在DPI應用profile中引用IPS策略。
undo ips apply policy命令用來刪除引用的IPS策略。
【命令】
ips apply policy policy-name mode { alert | protect }
undo ips apply policy
【缺省情況】
DPI應用profile中未引用IPS策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:表示IPS策略名稱,為1~63個字符的字符串,不區分大小寫。
mode:表示IPS策略的模式。
alert:告警模式,表示報文匹配上該IPS策略中的特征後,僅可以生成日誌或捕獲報文,但其他動作均不能生效。
protect:保護模式,表示報文匹配上該IPS策略中的特征後,設備按照特征的動作對該報文進行處理。
【使用指導】
IPS策略僅在被DPI應用profile引用後生效。一個DPI應用profile視圖下隻能引用一個IPS策略。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為sec的DPI應用profile下引用IPS策略ips1,且配置IPS模式為保護模式。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] ips apply policy ips1 mode protect
【相關命令】
· app-profile(安全命令參考/應用層檢測引擎)
· ips policy
ips capture-cache命令用來配置IPS捕獲報文時緩存的報文數量。
undo ips capture-cache命令用來恢複缺省情況。
【命令】
ips capture-cache number
undo ips capture-cache
【缺省情況】
緩存的報文數量為1,即僅緩存命中報文。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
number:表示緩存的報文數量,取值範圍為1~10。當number取值為1時,設備僅緩存命中報文。
【使用指導】
當IPS捕獲報文時,會緩存命中報文及其前後的報文,方便用戶分析威脅信息。當報文緩存結束後,設備會將所有緩存報文寫入IPS捕獲文件中。
僅當設備上正確安裝了硬盤或U盤後,用戶才可以到Web界麵的“威脅日誌”頁麵中下載捕獲文件。
【舉例】
# 配置IPS捕獲報文時緩存的報文數量為5。
<Sysname> system-view
[Sysname] ips capture-cache 5
【相關命令】
· inspect capture parameter-profile(安全命令參考/應用層檢測引擎)
· signature override
· signature override all
ips { block-source | capture | email | logging | redirect } parameter-profile命令用來配置IPS動作引用應用層檢測引擎動作參數profile。
undo ips { block-source | capture | email | logging | redirect } parameter-profile命令用來取消配置IPS動作引用應用層檢測引擎動作參數profile。
【命令】
ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name
undo ips { block-source | capture | email | logging | redirect } parameter-profile
【缺省情況】
IPS動作未引用應用層檢測引擎動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
block-source:表示設置IPS源阻斷動作的參數。
capture:表示設置IPS捕獲動作的參數。
email:表示設置IPS郵件動作的參數。
logging:表示設置IPS日誌動作的參數。
redirect:表示設置IPS重定向動作的參數。
parameter-profile parameter-name:指定IPS動作引用的應用層檢測引擎動作參數profile。parameter-name表示動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
每類IPS動作的具體執行參數由應用層檢測引擎動作參數profile來定義,可通過引用各動作參數proflle為IPS動作提供執行參數。有關應用層檢測引擎動作參數proflle的具體配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
如果IPS動作沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。
【舉例】
# 創建名稱為ips1的應用層檢測引擎源阻斷動作參數profile,配置其阻斷源IP地址的時長為1111秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile ips1
[Sysname-inspect-block-source-ips1] block-period 1111
[Sysname-inspect-block-source-ips1] quit
# 配置IPS源阻斷動作引用名稱為ips1的應用層檢測引擎源阻斷動作參數profile。
[Sysname] ips block-source parameter-profile ips1
【相關命令】
· inspect block-source parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect capture parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect logging parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect email parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
ips policy命令用來創建IPS策略,並進入IPS策略視圖。如果指定的IPS策略已經存在,則直接進入IPS策略視圖。
undo ips policy命令用來刪除指定的IPS策略。
【命令】
ips policy policy-name
undo ips policy policy-name
【缺省情況】
存在IPS策略,名稱為default。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:表示IPS策略名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
設備上存在一個名稱為default的缺省IPS策略,缺省IPS策略和自定義IPS策略都使用當前係統中的所有IPS特征,新增IPS特征會自動添加到所有策略下。但是缺省IPS策略中的IPS特征的動作屬性和生效狀態屬性不能被修改。
【舉例】
# 創建一個名稱為ips1的IPS策略,並進入IPS策略視圖。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1]
ips signature auto-update命令用來開啟定期自動在線升級IPS特征庫功能,並進入自動升級配置視圖。
undo ips signature auto-update命令用來關閉定期自動在線升級IPS特征庫功能。
【命令】
ips signature auto-update
undo ips signature auto-update
【缺省情況】
定期自動在線升級IPS特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
如果設備可以訪問H3C官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的IPS特征庫進行升級。
【舉例】
# 開啟定期自動在線升級IPS特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate]
【相關命令】
· update schedule
ips signature auto-update-now命令用來立即自動在線升級IPS特征庫。
【命令】
ips signature auto-update-now
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
執行此命令後,將立即自動升級設備上的IPS特征庫,且會備份當前的IPS特征庫文件。此命令的生效與否,與是否開啟了定期自動升級IPS特征庫功能無關。
當管理員發現H3C官方網站上的特征庫服務專區中的IPS特征庫有更新時,可以選擇立即自動在線升級方式來及時升級IPS特征庫版本。
【舉例】
# 立即自動在線升級IPS特征庫版本。
<Sysname> system-view
[Sysname] ips signature auto-update-now
ips signature import snort命令用來導入Snort特征。
【命令】
ips signature import snort file-path
【缺省情況】
不存在Snort特征。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
file-path:Snort格式特征庫文件的URL,為1~255個字符的字符串。
【使用指導】
當需要的IPS特征在設備當前IPS特征庫中不存在時,可通過編輯Snort格式的IPS特征文件,並將其導入設備中來生成所需的IPS特征。導入的IPS特征文件內容會自動覆蓋係統中所有的自定義IPS特征。可通過display ips signature user-defined命令查看導入的IPS特征信息。
管理員可以采用如下幾種方式導入Snort特征庫文件。
· 本地方式:使用本地保存的Snort特征庫文件導入。
· FTP/TFTP方式:通過FTP或TFTP方式下載遠程服務器上保存的Snort特征庫文件,並導入到係統中。
參數file-path的取值與Snort特征庫文件導入的操作方式有關。采用本地方式時參數file-path取值請參見表1-8;采用FTP/TFTP方式時參數file-path取值請參見表1-9。
表1-8 采用本地方式時參數file-path取值說明表
|
導入方式 |
參數file-path取值 |
說明 |
|
Snort特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
Snort特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至Snort特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
Snort特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至Snort特征庫文件所在存儲介質的根目錄下,再指定Snort特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-9 采用FTP/TFTP方式時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
Snort特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
Snort特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
編輯Snort格式的IPS特征文件需要注意的是:
Snort文件需要遵循Snort公司的語法。
Snort規則的SID取值範圍為1~536870911,若超出此範圍,則規則無效。
如需增加Snort規則,則新增規則的SID不能與設備上舊Snort文件中任何規則的SID相同。
編輯Snort規則時,必須配置msg字段,否則IPS係統日誌中威脅名稱字段是空的。
當用戶自定義Snort規則中的應用無法被識別時,報文無法成功匹配該規則。
【舉例】
# 采用TFTP方式,將自定義Snort格式的IPS特征庫文件導入設備生成自定義IPS特征,自定義Snort格式的IPS特征庫文件的遠程路徑為tftp://192.168.0.1/snort.rules。
<Sysname> system-view
[Sysname] ips signature import snort tftp://192.168.0.1/snort.rules
【相關命令】
· display ips signature user-defined
· ips signature remove snort
ips signature remove snort命令用來刪除導入的所有Snort特征。
【命令】
ips signature remove snort
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 刪除導入的所有Snort特征。
<Sysname> system-view
[Sysname] ips signature remove snort
【相關命令】
· ips signature import snort
ips signature rollback命令用來回滾IPS特征庫。
【命令】
ips signature rollback { factory | last }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
factory:表示IPS特征庫的出廠版本。
last:表示IPS特征庫的上一版本。
【使用指導】
IPS特征庫回滾是指將當前的IPS特征庫版本回滾到指定的版本。如果管理員發現設備當前IPS特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前IPS特征庫版本進行回滾。目前支持將設備中的IPS過濾特征庫版本回滾到出廠版本和上一版本。
IPS特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前IPS特征庫是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
【舉例】
# 配置IPS特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] ips signature rollback last
ips signature update命令用來手動離線升級IPS特征庫。
【命令】
ips signature update [ override-current ] file-path
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
override-current:表示覆蓋當前版本的特征庫文件。如果不指定本參數,則表示當前特征庫在升級之後作為備份特征庫保存在設備上。
file-path:指定特征庫文件的路徑,為1~255個字符的字符串。
【使用指導】
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級IPS特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的IPS特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的IPS特征庫版本。
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-10;FTP/TFTP升級時參數file-path取值請參見表1-11。
表1-10 本地升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-11 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“網絡互通配置指導”中的“域名解析”。
【舉例】
# 配置手動離線升級IPS特征庫,且采用TFTP方式,IPS特征庫文件的遠程路徑為tftp://192.168.0.10/ips-1.0.2-en.dat。
<Sysname> system-view
[Sysname] ips signature update tftp://192.168.0.10/ips-1.0.2-en.dat
# 配置手動離線升級IPS特征庫,且采用FTP方式,IPS特征庫文件的遠程路徑為ftp://192.168.0.10/ips-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] ips signature update ftp://user%3A123:user%40abc%[email protected]/ips-1.0.2-en.dat
# 配置手動離線升級IPS特征庫,且采用本地方式,IPS特征庫文件的本地路徑為cfa0:/ips-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system-view
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手動離線升級IPS特征庫,且采用本地方式,IPS特征庫文件的本地路徑為cfa0:/dpi/ips-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手動離線升級IPS特征庫,且采用本地方式,IPS特征庫文件的本地路徑為cfb0:/dpi/ips-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] ips signature update dpi/ips-1.0.23-en.dat
ips signature update-log send-time命令用來開啟IPS特征庫更新日誌記錄功能並配置每日發送日誌的時間。
undo ips signature update-log send-time命令用來關閉IPS特征庫更新日誌記錄功能。
【命令】
ips signature update-log send-time time
undo ips signature update-log send-time
【缺省情況】
不發送IPS特征庫更新日誌。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time:表示日誌的發送時間,格式為hh:mm,取值範圍為00:00~23:59。
【使用指導】
配置本命令後,當IPS特征庫升級或回滾成功時,設備將記錄特征庫變更的時間,並在每日按照配置的時間發送日誌。
目前,僅支持快速輸出IPS特征庫更新日誌,配置本命令後,還需要配置IPS快速輸出日誌時使用國家電網格式(即配置customlog format dpi ips sgcc命令)並允許設備向指定的日誌主機發送IPS模塊的日誌(即配置customlog host命令)。有關快速日誌輸出功能的詳細介紹,請參見“網絡管理和監控命令參考”中的“快速日誌輸出”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 開啟IPS特征庫更新日誌記錄功能並配置日誌的發送時間為每天的12點12分。
<Sysname> system-view
[Sysname] ips signature update-log send-time 12:12
ips signature user-defined命令用來創建IPS自定義特征,並進入IPS自定義特征視圖。如果指定的IPS自定義特征已經存在,則直接進入IPS自定義特征視圖。
undo ips signature user-defined命令用來刪除IPS自定義特征。
【命令】
ips signature user-defined name signature-name
undo ips signature user-defined { all | name signature-name }
【缺省情況】
未配置IPS自定義特征。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
signature-name:表示IPS自定義特征的名稱,為1~63個字符的字符串,不區分大小寫。
all:表示所有IPS自定義特征。
【使用指導】
多次執行本命令,可配置多個IPS自定義特征。
刪除自定義特征後,將刪除該特征下的所有配置。
本命令創建的IPS自定義特征為用戶手工配置的IPS自定義特征,與Snort文件導入的Snort特征無關。
【舉例】
# 創建名為mysignature的IPS自定義特征。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature]
【相關命令】
· display ips signature user-defined user-config
ips whitelist命令用來創建並進入IPS白名單表項視圖。如果指定的IPS白名單表項視圖已存在,則直接進入IPS白名單表項視圖。
undo ips whitelist命令用來刪除指定的IPS白名單表項。
【命令】
ips whitelist entry-id
undo ips whitelist entry-id
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
entry-id:表示IPS白名單ID,取值範圍為1~2048。
【使用指導】
當發現IPS日誌存在誤報的情況時,可在指定的IPS白名單表項視圖下,將日誌中提取到的IPS特征ID或URL加入IPS白名單。設備對匹配白名單的報文放行,可以減少誤報。
【舉例】
# 創建並進入編號為1的IPS白名單表項視圖。
<Sysname> system-view
[Sysname] ips whitelist 1
[Sysname-ips-whitelist-1]
【相關命令】
· ips whitelist activate
ips whitelist activate命令用來激活IPS白名單配置。
【命令】
ips whitelist activate
【缺省情況】
IPS白名單被創建、修改和刪除時不生效。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當創建、修改和刪除含有URL的IPS白名單後,需要執行本命令使其生效。
【舉例】
# 激活IPS白名單配置。
<Sysname> system-view
[Sysname] ips whitelist activate
【相關命令】
· url
ips whitelist enable命令用來開啟IPS白名單功能。
undo ips whitelist enable用來關閉IPS白名單功能。
【命令】
ips whitelist enable
undo ips whitelist enable
【缺省情況】
IPS白名單功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當發現IPS日誌存在誤報的情況時,可通過開啟白名單功能,將誤報的IPS特征信息加入白名單。設備將放行匹配白名單的報文,降低誤報率。
【舉例】
# 開啟IPS白名單功能。
<Sysname> system-view
[Sysname] ips whitelist enable
log命令用來配置IPS日誌的輸出方式。
undo log命令用來恢複缺省情況。
【命令】
log { email | syslog }
undo log { email | syslog }
【缺省情況】
IPS日誌輸出方式為syslog。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
email:表示將IPS日誌以郵件的方式發送到指定的收件人郵箱。
syslog:表示將IPS日誌輸出到信息中心。
【使用指導】
本命令僅在去使能全局動作參數後生效(即執行undo global-parameter enable命令)。
配置日誌輸出方式為郵件時,可通過引用郵件動作參數profile為郵件動作提供執行參數。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS策略policy1中配置IPS日誌的輸出方式為email。
<Sysname> system-view
[Sysname] ips policy policy1
[Sysname-ips-policy-policy1] log email
【相關命令】
· email parameter-profile
· global-parameter enable
object-dir命令用來配置篩選IPS特征的方向屬性。
undo object-dir命令用來恢複缺省情況。
【命令】
object-dir { client | server } *
undo object-dir
【缺省情況】
未配置方向屬性篩選條件。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
client:表示從服務器到客戶端方向上的對象。
server:表示從客戶端到服務器方向上的對象。
【使用指導】
可通過配置方向屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可同時配置多個方向,隻要符合其中一個,具有該方向屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中僅保護從服務器到客戶端方向上的對象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] object-dir client
override-current命令用來配置定期自動在線升級IPS特征庫時覆蓋當前的特征文件。
undo override-current命令用來恢複缺省情況。
【命令】
override-current
undo override-current
【缺省情況】
定期自動在線升級IPS特征庫時不會覆蓋當前的特征庫文件,而是同時將當前的特征庫文件備份為上一版本。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
【使用指導】
可以通過開啟此功能解決升級IPS特征庫時設備內存不足的問題。在設備剩餘內存充裕的情況下,不建議配置該功能,因為IPS特征庫升級時,如果沒有備份當前特征庫文件,則不能回滾到上一版本。
配置此功能後定期自動在線升級IPS特征庫時不會將當前的特征庫文件備份為上一版本。
【舉例】
# 配置定期自動在線升級IPS特征庫時覆蓋當前的特征文件。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] override-current
【相關命令】
· ips signature auto-update
protect-target命令用來配置篩選IPS特征的保護對象屬性。
undo protect-target命令用來刪除篩選IPS特征的保護對象屬性。
【命令】
protect-target { target [ subtarget ] | all }
undo protect-target { target [ subtarget ] | all }
【缺省情況】
未配置保護對象屬性篩選條件。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
target:表示保護對象分類名稱。
subtarget:表示保護對象分類中的子對象名稱。若不指定本參數,則表示保護某對象分類中的所有子對象。
all:表示所有保護對象。
【使用指導】
可通過配置保護對象屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可多次執行本命令,配置多個保護對象。隻要符合其中一個,具有該保護對象屬性的特征將會被篩選出來。
【舉例】
# 在名稱為test的IPS策略中,配置篩選IPS特征的保護對象為WebServer中WebLogic子對象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] protect-target WebServer WebLogic
rule命令用來創建IPS自定義特征規則,並進入IPS自定義特征規則視圖。如果指定的IPS自定義特征規則已經存在,則直接進入IPS自定義特征規則視圖。
undo rule命令用來刪除IPS自定義特征規則。
【命令】
rule rule-id l4-protocol l4-protocol-name l5-protocol l5-protocol-name pattern-type { keyword | integer }
undo rule { rule-id | all }
【缺省情況】
未配置自定義特征規則。
【視圖】
自定義特征視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:表示自定義特征規則的ID,取值範圍為1~8。
l4-protocol l4-protocol-name:表示自定義特征匹配的四層傳輸協議,l4-protocol-name表示四層傳輸協議的名稱。需要通過輸入“?”獲取支持的四層傳輸協議。
l5-protocol l5-protocol-name:表示自定義特征匹配的五層傳輸協議,l5-protocol-name表示五層傳輸協議的名稱。需要通過輸入“?”獲取支持的五層傳輸協議。
pattern-type:表示自定義特征匹配內容的類型。
keyword:表示自定義特征的匹配內容為關鍵字類型。
integer:表示自定義特征的匹配內容為數值類型。
all:表示所有IPS自定義特征規則。
【使用指導】
一個自定義特征下可以配置多個規則作為特征的匹配條件,規則間可以配置邏輯關係(即通過rule-logic命令配置)。
不支持通過多次執行本命令修改同一ID的自定義特征規則的匹配類型、四層協議或五層協議,如需修改,請先執行undo rule命令。
【舉例】
# 創建編號為1的IPS自定義特征規則,並配置自定特征匹配的四層協議為TCP、五層協議為HTTP、匹配內容為關鍵字類型。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1]
rule-logic命令用來配置自定義特征下規則間的邏輯關係。
undo rule-logic命令用來恢複缺省情況。
【命令】
rule-logic { and | or }
undo rule-logic
【缺省情況】
自定義特征下規則間的邏輯關係為or。
【視圖】
自定義特征視圖
【缺省用戶角色】
network-admin
【參數】
and:表示邏輯與關係。
or:表示邏輯或關係。
【使用指導】
如果規則間是邏輯與的關係,報文需要匹配該自定義特征的所有規則才結束匹配過程;如果規則間是邏輯或的關係,一旦報文與某條規則匹配成功就結束此匹配過程。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置IPS自定義特征下規則間為邏輯與的關係。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule-logic and
severity-level命令用來配置篩選IPS特征的嚴重級別屬性。
undo severity-level命令用來恢複缺省情況。
【命令】
severity-level { critical | high | low | medium } *
undo severity-level
【缺省情況】
未配置嚴重級別屬性篩選條件。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
critical:表示嚴重級別最高。
high:表示嚴重級別高。
low:表示嚴重級別低。
medium:表示嚴重級別一般。
【使用指導】
嚴重級別是指匹配此IPS特征的網絡攻擊造成危害的嚴重程度。可通過配置嚴重級別屬性篩選出具有該屬性的特征,IPS策略將使用篩選出的特征與報文進行匹配。可同時配置多個嚴重級別,隻要符合其中一個,具有該嚴重級別屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中,配置篩選IPS特征的嚴重級別為critical和medium。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] severity-level critical medium
severity命令用來配置自定義特征的嚴重級別。
undo severity命令用來恢複缺省情況。
【命令】
severity-level { critical | high | low | medium }
undo severity-level
【缺省情況】
自定義特征的嚴重級別是low。
【視圖】
自定義特征視圖
【缺省用戶角色】
network-admin
【參數】
critical:表示自定義特征的嚴重級別為嚴重
high:表示自定義特征的嚴重級別為高。
low:表示自定義特征的嚴重級別為低。
medium:表示自定義特征的嚴重級別為中。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置IPS自定義特征嚴重級別為中。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] severity medium
signature override命令用來修改IPS策略中指定特征的動作和狀態。
undo signature override命令用來恢複IPS策略中指定特征屬性中的動作和狀態。
【命令】
signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }
undo signature override { pre-defined | user-defined } signature-id
【缺省情況】
預定義IPS特征使用係統預定義的狀態和動作,自定義IPS特征的動作和狀態在管理員導入的特征庫文件中定義。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
pre-defined:表示預定義的IPS特征。
user-defined:表示自定義的IPS特征。
signature-id:IPS特征的編號,預定義特征取值範圍為1~536870911;自定義特征取值範圍為536870913~1073741823。
disable:表示禁用此IPS特征。在某些網絡環境中,如果一些IPS特征暫時不會被用到,而且又不想將其從IPS策略中刪除時,可以使用disable參數來禁用這些規則。
enable:表示啟用此IPS特征。
block-source:表示源阻斷,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
capture:表示捕獲報文。
logging:表示生成報文日誌。
【使用指導】
本命令僅用於修改自定義IPS策略中特征的動作和狀態,缺省IPS策略中特征的動作和狀態不能被修改。
在同一個IPS策略視圖中對同一IPS特征多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為ips1的IPS策略中,配置編號為2的預定義IPS特征的狀態為開啟,動作為丟棄和捕獲報文,並生成日誌信息。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging
【相關命令】
· blacklist global enable(安全命令參考/攻擊檢測與防範)
· ips parameter-profile
· ips policy
· signature override all
signature override all命令用來配置IPS策略中所有特征的統一動作。
undo signature override all命令用來恢複缺省情況。
【命令】
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
undo signature override all
【缺省情況】
IPS策略執行特征屬性中的動作。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
block-source:表示源阻斷,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
capture:表示捕獲報文。
logging:表示生成報文日誌。
【使用指導】
如果在IPS策略中為所有特征配置了統一動作,則設備將根據該動作對與此策略中特征匹配成功的報文進行處理。否則,設備將根據特征屬性中的動作對報文進行處理。
如果在IPS策略中修改了指定特征的動作,則無論IPS策略是否為所有特征配置了統一的動作,設備都將根據修改後的動作對報文進行處理。
【舉例】
# 配置名稱為text的IPS策略中所有特征的統一動作為丟棄,並生成日誌信息和捕獲報文。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] signature override all drop logging capture
【相關命令】
· blacklist global enable(安全命令參考/攻擊檢測與防範)
· ips parameter-profile
· signature override
signature version-baseline命令用來配置IPS特征庫版本基線。
undo signature version-baseline命令用來恢複缺省情況。
【命令】
signature version-baseline version-number
undo signature version-baseline
【缺省情況】
未配置IPS特征庫版本基線。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
version-number:表示特征庫版本號。可通過display ips signature library命令查看當前版本和上一版本的特征庫版本號。如需查看曆史特征庫版本號,請到官網特征庫服務專區查詢。
【使用指導】
當管理員升級IPS特征庫後,希望將某個版本之後新增的特征篩選出來,置為非生效狀態(即不用於匹配報文)時,可通過本功能將該版本設置為基線版本,IPS策略會將所有在基線版本之上新增的特征設置為非生效狀態,僅使用基線版本的特征與報文進行匹配。
本功能可幫助用戶快速篩選出基線版本與當前版本之間有差異的特征,IPS策略將使用基線版本的特征與報文進行匹配,而不必回滾至基線版本的特征庫。
配置本功能後,如果希望將某個非生效狀態的特征調整為生效狀態、且其它特征狀態保持不變時,需要進行如下操作:
(1) 再次執行本命令,將基線版本調整至該特征所屬的特征庫版本。
(2) 在設備的Web界麵上,查看其它非生效狀態的特征ID。
(3) 執行signature override命令,將仍然需要保持非生效狀態的特征禁用。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test的IPS策略中配置特征庫版本基線為1.0.88。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] signature version-baseline 1.0.88
【相關命令】
· display ips signature library
signature-id命令用來向IPS白名單表項中添加特征ID。
undo signature-id命令用來恢複缺省情況。
【命令】
signature-id sig-id
undo signature-id
【缺省情況】
IPS白名單表項中不存在特征ID。
【視圖】
IPS白名單表項視圖
【缺省用戶角色】
network-admin
【參數】
sig-id:表示IPS特征ID,取值範圍為1~4294967294。
【使用指導】
當發現IPS日誌存在誤報的情況時,可以通過本配置將日誌中提取到的IPS特征ID加入指定編號的IPS白名單。設備對匹配白名單的報文放行,可以減少誤報。
如果IPS白名單表項中同時存在特征ID和URL,則報文需要同時匹配二者才認為成功匹配到IPS白名單表項。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在編號為1的IPS白名單表項中,添加特征ID為936。
<Sysname> system-view
[Sysname] ips whitelist 1
[Sysname-ips-whitelist-1] signature-id 936
【相關命令】
· source-address(ips whitelist view)
· url
source-address命令用來配置自定義特征規則匹配的源IP地址。
undo source-address命令用來恢複缺省情況。
【命令】
source-address ip ip-address
undo source-address
【缺省情況】
未配置自定義特征規則匹配的源IP地址。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:表示自定義特征匹配的源IPv4地址。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置編號為1的關鍵字類型規則,配置自定義特征規則匹配的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1] source-address ip 10.1.1.1
source-address命令用來向IPS白名單表項中添加源IP地址。
undo source-address命令用來恢複缺省情況。
【命令】
source-address { ip ipv4-address | ipv6 ipv6-address }
undo source-address
【缺省情況】
IPS白名單表項中不存在源IP地址。
【視圖】
IPS白名單表項視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:表示IPv4地址。
ipv6 ipv6-address:表示IPv6地址。
【使用指導】
當發現IPS日誌存在誤報的情況時,可以將日誌中提取到的源IP地址加入IPS白名單。設備對匹配白名單的報文放行,可以減少誤報。
當白名單表項中同時存在特征ID、URL和源IP地址中的兩者或以上時,需要同時匹配才認為匹配成功。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 向編號為1的IPS白名單表項中添加源IP地址為192.168.0.1。
<Sysname> system-view
[Sysname] ips whitelist 1
[Sysname-ips-whitelist-1] source-address ip 192.168.0.1
【相關命令】
· signature-id
· url
source-port命令用來配置自定義特征規則匹配的源端口。
undo source-port命令用來恢複缺省情況。
【命令】
source-port start-port [ to end-port ]
undo source-port
【缺省情況】
未配置自定義特征規則匹配的源端口。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
start-port:表示源端口的起始端口號,取值範圍為1~65535。
to end-port:指定結束源端口號。end-port表示源端口的結束端口號,取值範圍為1~65535。若不指定本參數,則表示僅匹配起始端口號。
【使用指導】
本命令用於配置指定的四層傳輸協議的端口號。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置編號為1的關鍵字類型規則,配置自定義特征規則匹配的源端口為1~3550。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1] source-port 1 to 3550
statistics signature-hit enable命令用來開啟IPS特征命中統計功能。
undo statistics signature-hit enable命令用來關閉IPS特征命中統計功能。
【命令】
statistics signature-hit enable
undo statistics signature-hit enable
【缺省情況】
IPS特征命中統計功能處於關閉狀態。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟本功能後,設備將對IPS策略中每個特征被命中的次數進行獨立統計,用戶可在Web界麵查看統計數據。
【舉例】
# 在名為policy的IPS策略下開啟特征命中統計功能。
<Sysname> system-view
[Sysname] ips policy policy
[Sysname-ips-policy-policy] statistics signature-hit enable
status命令用來配置篩選IPS特征的推薦狀態屬性。
undo status命令用來恢複缺省情況。
【命令】
status { disabled | enabled } *
undo status
【缺省情況】
IPS策略匹配所有缺省推薦和不推薦使用的特征。
【視圖】
IPS策略視圖
【缺省用戶角色】
network-admin
【參數】
disabled:表示缺省不推薦使用該特征。
enabled:表示缺省推薦使用該特征。
【使用指導】
特征的推薦狀態屬性用於標識特征庫中缺省是否推薦使用該特征匹配報文。
特征庫缺省將僅適用於特殊場景、不具備普遍性的特征標識為不推薦使用;將適用場景比較廣泛、具備普遍性的特征標識為推薦使用。用戶可通過配置推薦狀態屬性,篩選出所需特征,IPS策略將使用篩選出的特征與報文進行匹配。
當同時配置兩個推薦狀態屬性時,隻要符合其中一個,具有該屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名為policy的IPS策略下,篩選推薦狀態屬性為enabled的IPS特征。
<Sysname> system-view
[Sysname] ips policy policy
[Sysname-ips-policy-policy] status enabled
trigger命令用來配置自定義特征規則的觸發檢查項。
undo trigger命令用來刪除自定義特征規則的觸發檢查項。
【命令】
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
undo trigger
【缺省情況】
未配置自定義特征規則的觸發檢查項。
【視圖】
IPS自定義特征規則視圖
【缺省用戶角色】
network-admin
【參數】
field-name:表示協議字段名稱,不區分大小寫。需要通過輸入“?”獲取支持的協議字段。
include:表示觸發檢查項與檢測內容的匹配方式是包含。
hex hex-string:表示觸發檢查項匹配的十六進製字符內容,hex-string表示匹配內容,為8~254個字符的字符串,且必須輸入偶數個字符,輸入參數必須在兩個豎杠“|”之間,僅支持輸入“0-9、A-F、a-f”,區分大小寫,例如|1234f5b6|。
text text-string:表示觸發檢查項匹配的字符串內容,text-string表示匹配內容,為3~255個字符的字符串,不區分大小寫。
offset offset-value:表示觸發檢查項的偏移量,從協議字段的起始位置開偏移的長度始。取值範圍為1~65535,單位為字節。若不配置該參數,則表示觸發檢查項從協議字段的起始位置開始檢測。
depth depth-value:表示觸發檢查項的檢測深度,從觸發檢查項檢測的起始位置開始,檢測的長度,取值範圍為3~65535,單位為字節。若不配置該參數,則表示觸發檢查項檢測整個協議字段。
【使用指導】
隻有自定義特征規則的匹配類型為關鍵字的情況下才需要配置觸發檢查項,觸發檢查項是同一規則下檢查項的觸發條件。如果一條規則的觸發檢查項匹配失敗,則該規則匹配失敗,不會再對該規則下的檢查項進行檢測。
對於關鍵字類型的自定義特征規則,在配置檢查項之前,必須先配置觸發檢查項。
刪除觸發檢查項後,將一並刪除所有的檢查項。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在IPS自定義特征mysignature中,配置編號為1的關鍵字類型規則,配置觸發檢查項的協議檢測字段為http.host、匹配字符串為abc、偏移量為10、檢測深度為50。
<Sysname> system-view
[Sysname] ips signature user-defined name mysignature
[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword
[Sysname-ips-signature-mysignature-rule-1] trigger field http.host include text abc offset 10 depth 50
update schedule命令用來配置定期自動在線升級IPS特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情況】
設備在每天01:00:00至03:00:00之間自動在線升級IPS特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
【參數】
daily:表示自動升級周期為每天。
weekly:表示以一周為周期,在指定的一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置IPS特征庫的定期自動在線升級時間為每周一20:30:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相關命令】
· ips signature auto-update
url命令用來向IPS白名單表項添加URL。
undo url命令用來恢複缺省情況。
【命令】
url match-type { accurate | substring } url-text
undo url
【缺省情況】
IPS白名單表項不存在URL。
【視圖】
IPS白名單表項視圖
【缺省用戶角色】
network-admin
【參數】
match-type:表示URL的匹配方式。
accurate:表示精確匹配,即報文中URL必須和配置的URL完全一致才能匹配成功。
substring:表示模糊匹配,即報文中攜帶的URL隻要包含配置的URL即可匹配成功。
url-text:表示IPS攻擊報文中攜帶的URL,為3~460個字符的字符串,不區分大小寫。
【使用指導】
當發現IPS日誌存在誤報的情況時,可以將日誌中提取到的URL加入指定的IPS白名單。設備對匹配白名單的報文放行,可以減少誤報。
如果指定的IPS白名單表項同時存在特征ID和URL,則報文需要同時匹配二者才認為成功匹配到IPS白名單。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在編號為1的IPS白名單表項,添加URL為baidu.com,匹配方式為精確匹配。
<Sysname> system-view
[Sysname] ips whitelist 1
[Sysname-ips-whitelist-1] url match-type accurate baidu.com
【相關命令】
· ips whitelist activate
· signature-id
· source-address(ips whitelist view)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
