- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-入侵防御
本章节下载: 23-入侵防御 (1.41 MB)
目 录
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,单一的防护措施已经无能为力,企业需要对网络进行多层、深层的防护来有效保证其网络安全,而入侵防御系统则是提供深层防护体系的保障。
入侵防御涉及以下概念:
· 规则模板:规则模板是一个或多个规则的集合,规则模板分为预定义规则模板、派生规则模板和自定义规则模板。
预定义规则模板由系统自动创建,其中包含的规则以及每条规则的配置(阻断、抓包等)也都由系统预先设定,规则不允许增加或删除,每条规则的配置也不允许修改。预定义规则模板包括以下四个:
¡ all:包含全部规则
¡ Web:包含HTTP相关规则
¡ Windows:包含Windows系统漏洞规则
¡ Unix:包含Unix、Linux系统漏洞规则
派生规则模板由预定义规则模板派生而来,其中包含的规则与对应的预定义规则模板相同,也是不允许增加或删除,但是可以修改每条规则的配置。派生规则模板由用户根据需要手动派生创建,派生规则模板不可以再派生。
自定义规则模板完全由用户自己定义创建,其中包含的规则以及配置都可以随意修改。
· 规则:规则除了包含有检测攻击的特征之外,还有规则严重程度、规则状态、日志、阻断、隔离、抓包,CVE、CNNVD、操作系统、发布年份、厂商,操作等。一条规则可以属于多个规则模板。
入侵防御安全引擎提供自定义规则功能,通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与、逻辑或形成多条件匹配的方式实现入侵防御。安全管理员可以使用自定义规则功能,自己写签名进行防护。自定义规则检测是基于流检测的,支持多种协议字段,其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP协议。对于字符串字段,可支持正则和非正则匹配的方式。
入侵防御的配置思路:
(1) 配置规则模板,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的规则模板,也可以自定义新的规则模板。
(2) 配置安全控制策略,在安全控制策略中配置入侵防御策略,引用已经配置的规则模板,对命中安全策略的流量做入侵防御相关的检测。
在导航栏选择“策略配置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御 规则模板界面,如图1-1所示。在该页面可以查看系统预定义的规则模板和自定义的规则模板信息。
图1-1 入侵防御模板页面
在该页面上,默认显示所有入侵防御规则模板,同时能够“新建”、“编辑”、“删除”、“派生”规则模板。
在入侵防御模板页面点击<新建>按钮,系统弹出新建规则模板对话框,如图1-2所示。入侵防御规则模板配置信息如表1-1所示。
|
参数 |
说明 |
|
名称 |
规则模板的名称,可输入1-31个字符,且不能与已创建的规则模板名称重复 |
|
描述 |
规则模板的描述信息 |
输入完名称、描述之后,点击<提交>按钮,完成规则模板的创建。
在规则模板显示页面,点击需要修改的模板后的“
”按钮,进入规则模板编辑页面,可以对描述信息进行编辑,规则模板的名称不可变更。点击需要删除的规则模板后的“
”,系统弹出确定对话框,点击<确定>即可删除规则模板。
用户可以根据已经存在的预定义规则模板,派生出相同的自定义规则模板。点击模板后面的派生图标“
”,进入规则模板对话框,如图1-3所示。
图1-3 派生IPS规则模板
输入新规则模板的名称、描述信息之后,就完成规则模板的派生。
· 派生后的规则模板不允许增加或删除,可以修改每条规则的配置。
· 派生规则模板不可以再派生。
在导航栏选择“策略配置 > 安全设置 > 入侵防御 > 模板”进入入侵防御规则模板界面,在规则模板列表中单击需要查看的规则模板名称,在右侧展开显示规则列表信息。如图1-4所示。
点击规则列表页面左侧的“
”按钮,可以返回到规则模板主页面。
点击规则列表中的子规则名称,可以查看具体规则的详细信息,如图1-5、图1-6所示。
选择需要添加规则的自定义规则模板,进入规则列表页面,点击“添加规则”按钮,弹出“添加规则”配置窗口,如图1-7所示。
勾选需要添加的规则后,点击<提交>按钮,可以将选中的规则添加到对应的规则模板中。
点击规则后面的“
”按钮,可以删除已添加的规则。
只有自定义的规则模板可以添加、删除规则,预定义规则模板及派生后的规则模板不允许添加、删除规则。
对于自定义的规则模板或者派生的规则模板,可以修改规则是否启用、是否记录日志,及阻断、隔离、抓包等配置。
(1) 在导航栏选择“策略配置 > 安全设置 > 入侵防御 > 模板”进入入侵防御规则模板界面,单击选择自定义规则模板,展开显示规则列表,如图1-8所示。
(2) 选择要编辑的规则,点击编辑“
”按钮,弹出规则列表的编辑界面,如图1-9所示,各个配置项含义如表1-2所示。
表1-2 编辑规则配置项含义描述表
|
参数 |
说明 |
|
启用 |
开启或关闭该事件 |
|
日志 |
是否记录日志及日志级别,可以配置为: · 不记录 · 告警 · 警告 · 通知 · 信息 |
|
阻断 |
是否阻断,如果配置为阻断,则匹配到规则后对数据报文或流进行丢弃处理 |
|
隔离 |
是否隔离,如果配置为隔离,则匹配到规则后进行隔离处理,即将报文的源地址加入黑名单,隔离时间到期后解除隔离 |
|
抓包 |
是否抓包,如果配置为抓包,则匹配到规则后进行抓包处理,在IPS日志页面可以下载抓包文件进行查看 |
(3) 点击<提交>按钮,完成规则配置的编辑。
只能对自定义规则模板及派生规则模板中的规则配置进行编辑,系统预定义规则中的内容无法编辑。
可以根据规则ID、名称、CVE、CNNVD对规则模板中的规则进行查询,也可以点击“高级查询”,进入高级查询页面,选择攻击类型、严重程度、日志、动作、操作系统等查询条件进行查询。
安全策略通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与和逻辑或形成多条件匹配的方式实现入侵防御。
在导航栏中选择“策略配置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御规则模板界面,点击模板名称后选择“协议异常检测”页签,如图1-11所示。
入侵防御协议异常检查说明如表1-9所示。
表1-3 入侵防御异常检查描述表
|
标题项 |
说明 |
|
HTTP协议 |
针对HTTP协议字段进行检测,支持url长度检测、请求头长度检测、目录长度检测、host字段检测、version字段检测,并提供配置选项 |
|
DNS协议 |
检测协议响应类型异常,支持域名长度检测、域名字符检测 |
|
SMTP协议 |
根据配置检测命令参数长度,并提供手动配置与默认配置 |
|
POP3协议 |
检测协议的文本最大长度,支持文本行长度检测、附件文件名长度检测,并提供手动配置与默认配置 |
|
FTP协议 |
检测协议的命令行最大长度,支持命令行长度检测,命令参数长度检测,并提供手动配置与默认配置 |
在导航栏中选择“策略配置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御规则模板界面,点击模板名称选择“协议异常检测”页签,进入HTTP协议配置页面,如图1-12所示。
图1-12 HTTP协议异常检查界面
HTTP协议检查说明,如表1-4所示。
表1-4 HTTP异常检查描述表
|
标题项 |
说明 |
|
启用 |
协议异常检测总开关 |
|
url长度检测 |
· 启用:勾选表示启用 · url长度:启用url长度检测 · 抓包:开启抓包 · url长度:url长度范围为64-4096 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
请求头长度检测 |
· 启用:勾选表示启用 · 抓包:开启抓包 · 请求头长度:请求头长度范围为64-4096 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
目录长度检测 |
· 启用:勾选表示启用 · 抓包:开启抓包 · 目录长度:目录长度范围为8-512 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
host字段检测 |
· 启用:勾选表示启用 · 抓包:开启抓包 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
version字段检测 |
· 启用:勾选表示启用 · 抓包:开启抓包 · 动作:允许/拒绝 · 日志:日志级别配置 |
在导航栏中选择“策略配置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御规则模板界面,点击模板名称选择“协议异常检测”页签,进入DNS协议配置页面,如图1-13所示。
图1-13 DNS协议异常检查界面
DNS协议异常检查说明如表1-5所示。
表1-5 DNS异常检查描述表
|
标题项 |
说明 |
|
启用 |
勾选启用DNS协议检查 |
|
域名长度检测 |
· 启用:勾选表示启用 · 抓包:开启抓包 · 域名长度:域名长度范围为1-1024 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
域名字符检测 |
· 启动:勾选表示启用 · 抓包:开启抓包 · 动作:允许/拒绝 · 日志:日志级别配置 |
在导航栏中选择“策略配置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御规则模板界面,点击模板名称选择“协议异常检测”页签,进入SMTP协议配置页面,如图1-14所示。
图1-14 SMTP协议异常检查界面
SMTP协议检查说明,如图1-6所示。
表1-6 SMTP异常检查描述表
|
标题项 |
说明 |
|
启用 |
勾选启用SMTP协议检查 |
|
文本长度检测 |
· 启动:勾选表示启用 · 抓包:开启抓包 · 文本行长度:文本行长度范围为64-2048 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
附件文件名长度检测 |
· 启动:勾选表示启用 · 抓包:开启抓包 · 附件文件名长度:附件文件名长度范围为1-512 · 动作:允许/拒绝 · 日志:日志级别配置 |
在导航栏中选择“策略配置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御规则模板界面,点击模板名称选择“协议异常检测”页签,进入POP3协议配置页面,如图1-15所示。
图1-15 POP3协议异常检查界面
POP3协议检查说明,如下表所示。
表1-7 POP3异常检查描述表
|
标题项 |
说明 |
|
启用 |
勾选启用POP3协议检查 |
|
文本长度检测 |
· 启动:勾选表示启动 · 抓包:开启抓包 · 文本行长度:文本行长度范围为64-2048 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
附件文件名长度检测 |
· 启动:勾选表示启用 · 抓包:开启抓包 · 附件文件名长度:附件文件名长度范围为1-512 · 动作:允许/拒绝 · 日志:日志级别配置 |
在导航栏中选择“策略配置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御规则模板界面,点击模板名称选择协议异常检测”页签,进入FTP协议配置页面,如图1-16所示。
图1-16 FTP协议异常检查界面
FTP协议异常检查说明如表1-8所示。
表1-8 FTP异常检查描述表
|
标题项 |
说明 |
|
启用 |
勾选启用FTP协议检查 |
|
命令行长度检测 |
· 启用:勾选表示启用 · 抓包:开启抓包 · 命令行长度:命令行长度范围为2-128 · 动作:允许/拒绝 · 日志:日志级别配置 |
|
命令参数长度检测 |
· 启用:勾选表示启用 · 抓包:开启抓包 · 命令参数长度:命令参数长度范围为2-1024 · 动作:允许/拒绝 · 日志:日志级别配置 |
安全策略通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与和逻辑或形成多条件匹配的方式实现入侵防御。
在导航栏中选择“策略配置 > 安全设置 > 入侵防御 > 规则库”,进入入侵防御规则库界面,可以查看规则库的规则信息,包括系统预定义规则及用户自定义规则信息,如图1-17所示。
在入侵防御规则库页面,点击<添加自定义规则>按钮,进入入侵防御自定义规则配置页面,如图1-18所示。
入侵防御自定义规则详细配置说明如表1-9所示。
|
标题项 |
说明 |
|
名称 |
自定义规则的名称 |
|
严重程度 |
规则的严重程度,分为:低、中、高、紧急,根据规则的严重程度确定日志的级别 |
|
方向 |
规则检测的方向:双向检测、向客户端、向服务端 |
|
协议字段 |
每个协议字段可以包含8个协议匹配条件,每个匹配条件间为逻辑或 每条自定义规则可以包含8个协议字段,协议字段之间为逻辑与 匹配时先匹配每个字段的匹配条件或进行协议字间匹配,即先或后与 表达式为 (..&&..)||(..&&..) |
在入侵防御自定义规则显示页面,点击<添加自定义规则>按钮,可以进入自定义规则配置页面,可以选择多种协议以及协议字段,配置字段详细信息如表1-10所示
|
协议类型 |
协议字段 |
配置方式 |
|
IP |
协议 |
· 等于 · 不等于 |
|
负载长度 |
· 等于 · 大于 · 小于 |
|
|
负载 |
包含 |
|
|
源地址 |
· 等于 · 大于 · 小于 |
|
|
目的地址 |
· 等于 · 大于 · 小于 |
|
|
UDP |
源端口号 |
· 等于 · 不等于 · 大于 |
|
目的端口号 |
· 等于 · 不等于 · 大于 |
|
|
负载长度 |
· 等于 · 大于 · 小于 |
|
|
负载 |
包含 |
|
|
TCP |
源端口号 |
· 等于 · 不等于 · 大于 |
|
目的端口号 |
· 等于 · 不等于 · 大于 |
|
|
负载长度 |
· 等于 · 大于 · 小于 |
|
|
负载 |
包含 |
|
|
ICMP |
类型 |
· 等于 · 不等于 · 大于 |
|
代码 |
· 等于 · 不等于 · 大于 |
|
|
负载长度 |
· 等于 · 大于 · 小于 |
|
|
负载 |
· 包含 · 正则匹配 |
|
|
HTTP |
方法内容 |
· 等于 · 不等于 |
|
URL内容 |
· 包含 · 正则匹配 |
|
|
HOST内容 |
· 包含 · 正则匹配 |
|
|
Cookie内容 |
· 包含 · 正则匹配 |
|
|
Header内容 |
· 包含 · 正则匹配 |
|
|
User-Agent内容 |
· 包含 · 正则匹配 |
|
|
方法长度 |
· 等于 · 大于 · 小于 |
|
|
版本长度 |
· 等于 · 大于 · 小于 |
|
|
URL长度 |
· 等于 · 大于 · 小于 |
|
|
HOST长度 |
· 等于 · 大于 · 小于 |
|
|
Cookie长度 |
· 等于 · 大于 · 小于 |
|
|
Header长度 |
· 等于 · 大于 · 小于 |
|
|
User-Agent长度 |
· 等于 · 大于 · 小于 |
|
|
X-Forward-For |
· 等于 · 不等于 |
|
|
Response Header内容 |
· 包含 · 正则匹配 |
|
|
Response Header长度 |
· 等于 · 大于 · 小于 |
|
|
Referer内容 |
· 包含 · 正则匹配 |
|
|
Referer长度 |
· 等于 · 大于 · 小于 |
|
|
Content-Type内容 |
· 包含 · 正则匹配 |
|
|
Content-Type长度 |
· 等于 · 大于 · 小于 |
|
|
Raw-Url内容 |
· 包含 · 正则匹配 |
|
|
Raw-Url长度 |
· 等于 · 大于 · 小于 |
|
|
Stat-Code内容 |
· 包含 · 正则匹配 |
|
|
FTP |
命令内容 FTP标准命令如:STOR,RETR,MLSD |
· 包含 · 正则匹配 |
|
命令参数内容 如:RETR <文件名> |
· 包含 · 正则匹配 |
|
|
命令长度 |
· 等于 · 大于 · 小于 |
|
|
命令参数长度 |
· 等于 · 大于 · 小于 |
|
|
POP3 |
命令内容 POP3命令如:user |
· 包含 · 正则匹配 |
|
命令参数内容 |
· 包含 · 正则匹配 |
|
|
命令长度 |
· 等于 · 大于 · 小于 |
|
|
命令参数长度 |
· 等于 · 大于 · 小于 |
|
|
SMTP |
命令内容 SMTP命令如:mail |
· 包含 · 正则匹配 |
|
命令参数内容 |
· 包含 · 正则匹配 |
|
|
命令长度 |
· 等于 · 大于 · 小于 |
|
|
命令参数长度 |
· 等于 · 大于 · 小于 |
如需使入侵防御规则生效,必须在相应的安全策略上启用入侵防御策略。
在导航栏选择“策略配置 > 控制策略”进入控制策略界面,新建或者编辑一条已经存在的策略。点击控制策略配置页面的“入侵防御”标签页,进入入侵防御配置界面,如图1-19所示。各个配置项含义如表1-11所示。
|
参数 |
说明 |
|
规则模板 |
选择入侵防御使用的规则模板名称 |
|
防护模式 |
是否启用防护模式 只有启用防护模式且模板下的规则或协议异常检查配置为阻断,匹配到策略后才会阻断流量 |
IPS入侵日志支持聚合,系统可将符合聚合规则(协议ID相同、特征规则ID相同)的日志信息进行聚合,从而减少日志数量,避免日志服务器接受冗余的日志信息。系统仅支持聚合由IPS功能所产生的日志信息。聚合的前提条件是特征规则ID、应用必须相同,然后根据聚合方式进行聚合。
该功能默认为关闭状态。
在导航栏选择“数据中心 > 日志中心 > 安全日志 > 入侵日志”,点击“日志聚合”标签页,进入日志聚合配置界面。点击下拉框选择日志聚合的聚合方式,如图1-19所示。各个配置项含义如表1-11所示。
图1-20 入侵防御日志聚合
表1-12 入侵防御日志聚合方式配置项含义描述表
|
聚合方式 |
说明 |
|
不聚合 |
默认不聚合 |
|
按照规则聚合 |
一段时间之内相同规则ID、相同应用的事件只会产生一条日志 |
|
按源IP聚合 |
一段时间之内相同源IP、相同规则ID、相同应用的事件只会产生一条日志 |
|
按目的IP聚合 |
一段时间之内相同目的IP、相同规则ID、相同应用的事件只会产生一条日志 |
|
按源目IP聚合 |
一段时间之内相同源IP、相同目的IP、相同规则ID、相同应用的事件只会产生一条日志 |
在导航栏选择“数据中心 > 日志中心 > 安全日志 > 入侵日志”,点击“告警规则”标签页,进入告警规则配置界面。点击<新建>按钮,进入告警规则配置页面,如图1-21所示。
表1-13 入侵防御告警规则配置项含义描述表
|
参数 |
说明 |
|
规则名称 |
告警规则名称,可输入1-31个字符,不支持中文 |
|
源地址 |
源地址对象支持子网、范围、主机地址三种 |
|
目的地址 |
目的地址对象支持子网、范围、主机地址三种 |
|
代理地址 |
代理地址对象:支持子网、范围、主机地址三种 |
|
源端口 |
范围为:0-65535,0代表任意端口 |
|
目的端口 |
范围为:0-65535,0代表任意端口 |
|
级别 |
全部、告警、严重、警告、通知、信息 |
|
动作 |
全部、允许、拒绝、丢弃、丢弃会话、阻断源地址 |
|
事件类型 |
可选择的事件类型包括:全部、其它、间谍软件、木马外联、webshell、web序列化、sql注入、目录遍历、缓冲区溢出、挖坑、蠕虫/病毒、信息泄露、拒绝服务、Web攻击、木马/后门、任意代码执行、用户提取、自定义规则、协议异常检测 |
|
发送频率 |
时间范围:60~86400秒 攻击条数阈值的建议值为30~99999999条 |
|
外发设置 |
· 启用syslog:勾选表示启用,支持对日志服务器进行设置 · 启用邮件:勾选表述启用,支持对邮件服务器进行设置 |
|
告警邮件 |
填写告警邮件的收件地址,多个邮箱以回车分割,最多支持输入32个,单个长度1~63 |
如图1-22所示,服务器通过Internet提供web和FTP服务,在设备上启用入侵防御功能来保护Web和FTP服务器。同时通过自定义规则来禁止使用除210以外的端口访问ftp服务器,且不允许上传文件和新建目录,为了减少日志量,按照规则进行日志聚合。
· 配置模板,决定需要对哪些规则做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的模板,也可以自定义新的模板。
· 配置控制策略,在控制策略中配置入侵防御,引用已经配置的模板,对命中控制策略的流量做入侵防御相关的检测。
· 入侵防御策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。
· 是否启用防护模式,只有启用防护模式且模板下的规则或协议异常检查配置为阻断,匹配到策略后才会阻断流量。
在导航栏选择“策略配置 > 安全设置 > 入侵防御 > 规则库”,进入入侵防御自定义规则配置页面。禁止使用除210以外的端口访问FTP服务器,且不允许上传文件和新建目录,如图1-23所示。
在导航栏选择“策略设置 > 安全设置 > 入侵防御 > 模板”,进入入侵防御模板页面,新建模板并添加规则,如图1-24所示。
在导航栏选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-25所示,新建策略并在“入侵防御”标签页中启用功能、选择模板“test”,完成后点击<提交>按钮。
在导航栏选择“数据中心 > 日志中心 > 安全日志 > 入侵日志”,点击“日志聚合”标签页,进入日志聚合配置页面,选择聚合方式点击提交,如图1-25所示。
图1-26 配置日志聚合
使用测试PC进行攻击操作。在导航栏选择“数据中心 > 日志中心 > 安全日志 > 入侵日志”,进入入侵日志显示界面,可以看到相应攻击日志信息,如图1-27所示。
配置完成自定义IPS规则后,用户只能使用210端口访问FTP服务器,可以下载文件,但是无法上传和创建目录。否则无法登录服务器,并记录相应日志信息。使用测试PC进行FTP服务器登录操作,在导航栏选择“数据中心 > 日志中心 > 安全日志 > 入侵日志”,进入入侵日志显示界面,可以看到相应日志信息,如图1-28所示。
点击“详细”可看到相应日志的详细信息,包括日志聚合信息等,如图1-29所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
