- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-IPS命令
本章节下载: 02-IPS命令 (233.27 KB)
1.1.5 display ips signature user-defined parse-failed
1.1.6 display ips signature { pre-defined | user-defined }
1.1.7 display ips signature information
1.1.11 ips signature auto-update
1.1.12 ips signature auto-update-now
1.1.13 ips signature import snort
1.1.14 ips signature remove snort
action命令用来配置筛选IPS特征的动作属性。
undo action命令用来恢复缺省情况。
【命令】
action { block-source | drop | permit | reset } *
undo action
【缺省情况】
IPS策略匹配所有动作的特征。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示源阻断动作,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。
drop:表示丢弃报文的动作。
permit:表示允许报文通过的动作。
reset:表示重置动作,该动作通过发送TCP的reset报文使TCP连接断开。
【使用指导】
可通过配置动作属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个动作,只要符合其中一个,具有该动作属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test的IPS策略中配置筛选IPS特征的动作为drop和reset。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] action drop reset
attack-category命令用来配置筛选IPS特征的攻击分类属性。
undo attack-category命令用来删除筛选IPS特征的攻击分类属性。
【命令】
attack-category { category [ subcategory ] | all}
undo attack-category { category [ subcategory | all] }
【缺省情况】
IPS策略匹配所有攻击分类的特征。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
category:表示设备中已有的攻击分类名称。
subcategory:表示设备中已有攻击分类中的子分类名称。若不指定本参数,则表示指定攻击分类中的所有子分类。
all:表示设备中已有的所有攻击分类。
【使用指导】
可通过配置攻击分类属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个攻击分类。只要符合其中一个,具有该攻击分类的特征将会被筛选出来。
【举例】
# 在名称为test的IPS策略中,配置筛选IPS特征的攻击分类为Vulnerability攻击分类中的SQL-Injection子分类。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] attack-category Vulnerability SQL-Injection
display ips policy命令用来显示IPS策略信息。
【命令】
display ips policy policy-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 显示IPS策略aa的策略信息。
<Sysname> display ips policy aa
Total signatures :474 failed:0
Pre-defined signatures:474 failed:0
User-defined signatures:0 failed:0
Flag:
B: Block-source D: Drop P: Permit Rs: Reset Rd: Redirect C: Capture L: L
ogging
Pre: predefined User: user-defined
Type RuleID Target SubTarget Severity Category Status Action
Pre 1 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 2 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 3 Browser Browser/Interne High Vulnerabili Enable RsCL
Pre 4 OfficeSoftw OfficeSoftware/ High Vulnerabili Enable RsL
Pre 5 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 6 OperationSy OperationSystem High Vulnerabili Disable PL
Pre 7 Browser Browser/Interne High Vulnerabili Disable PL
Pre 8 Application ApplicationSoft High Vulnerabili Enable RsL
Pre 9 Application ApplicationSoft High Vulnerabili Enable RsL
Pre 10 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 11 Browser Browser/Interne High Vulnerabili Enable RsL
Pre 12 OfficeSoftw OfficeSoftware/ Critical Vulnerabili Disable RsL
Pre 13 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 14 Application ApplicationSoft High Vulnerabili Enable RsL
Pre 15 Browser Browser/Interne High Vulnerabili Enable RsL
Pre 16 OperationSy OperationSystem Critical Vulnerabili Enable RsL
Pre 17 Browser Browser/Interne High Vulnerabili Enable RsL
Pre 18 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 19 OfficeSoftw OfficeSoftware/ Critical Vulnerabili Disable RsL
Pre 20 OfficeSoftw OfficeSoftware/ Critical Vulnerabili Enable RsL
Pre 21 Application ApplicationSoft Critical Vulnerabili Enable RsL
Pre 23 OperationSy OperationSystem High Vulnerabili Enable RsL
Pre 24 Browser Browser/Interne High Vulnerabili Disable PL
Pre 25 NetworkDevi NetworkDevice/D High Vulnerabili Enable PL
Pre 26 Browser Browser/Interne High Vulnerabili Enable RsL
---- More ----
表1-1 display ips policy命令显示信息描述表
|
字段 |
描述 |
|
Total signatures |
IPS特征总数 |
|
Pre-defined signatures |
预定义IPS特征数目 |
|
User-defined signatures |
用户自定义IPS特征数目 |
|
Type |
IPS特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
|
RuleID |
IPS特征编号 |
|
Target |
攻击对象 |
|
SubTarget |
攻击子对象 |
|
Severity |
IPS特征的攻击严重程度属性,从低到高分为四级:Low、Medium、High、Critical |
|
Category |
IPS特征的攻击类别名称 |
|
Status |
IPS特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特征未生效 |
|
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Redirect:表示重定向符合特征的报文 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
【相关命令】
· ips policy
display ips signature命令用来显示IPS特征信息。
【命令】
display ips signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
pre-defined:显示预定义IPS特征。
user-defined:显示自定义IPS特征。
direction { any | to-client | to-server }:显示符合指定方向属性的IPS特征。如果未指定此参数,则显示所有方向上的IPS特征。
· to-server:表示一个会话的客户端到服务器的方向。
· to-client:表示一个会话的服务器到客户端的方向。
· any:表示一个会话的两个方向。
category category-name:显示符合指定攻击类别属性的IPS特征,category-name是攻击类型的名称。如果未指定此参数,则显示所有攻击类型的IPS特征。
fidelity { high | low | medium }:显示符合指定可信度属性的IPS特征。如果未指定此参数,则显示所有可信度的IPS特征。可信度是指此IPS特征识别攻击行为准确度,且从低到高分为如下三个级别:
· low:可信度比较低。
· medium:可信度中等。
· high:可信度比较高。
protocol { icmp | ip | tcp | udp }:显示符合指定协议属性的IPS特征,协议ICMP、IP、TCP和UDP协议。如果未指定此参数,则显示所有协议的IPS特征。
severity { critical | high | low | medium }:显示符合指定攻击严重程度属性的IPS特征。如果未指定此参数,则显示所有攻击严重程度的IPS特征。攻击严重程度是指匹配此IPS特征的网络攻击造成的危害的严重程度,且从低到高分为四个级别:
· low:攻击严重程度比较低。
· medium:攻击严重程度中等。
· high:攻击严重程度比较高。
· critical:攻击严重程度非常高。
【使用指导】
若不指定任何参数,则显示所有IPS特征。
【举例】
# 显示可信度为中等的所有TCP协议的预定义IPS特征。
<Sysname> display ips signature pre-defined protocol tcp fidelity medium
Pre-defined signatures:465 failed:0
Flag:
Pre: predefined User: user-defined
Type Sig-ID Direction Severity Fidelity Category Protocol
Pre 1 To-server High Medium Vulnerability TCP
Pre 2 To-server High Medium Vulnerability TCP
Pre 3 To-client High Medium Vulnerability TCP
Pre 4 To-client High Medium Vulnerability TCP
Pre 5 To-client High Medium Vulnerability TCP
Pre 6 To-client High Medium Vulnerability TCP
Pre 7 To-client High Medium Vulnerability TCP
Pre 8 To-client High Medium Vulnerability TCP
Pre 10 To-server High Medium Vulnerability TCP
Pre 11 To-client High Medium Vulnerability TCP
Pre 12 To-client Critical Medium Vulnerability TCP
Pre 13 To-client High Medium Vulnerability TCP
Pre 14 To-server High Medium Vulnerability TCP
Pre 15 To-client High Medium Vulnerability TCP
Pre 16 To-client Critical Medium Vulnerability TCP
Pre 17 To-client High Medium Vulnerability TCP
Pre 18 To-client High Medium Vulnerability TCP
---- More ----
# 显示攻击严重程度为比较高的所有UDP协议的IPS特征。
<Sysname> display ips signature severity high protocol udp
Total signatures :7 failed:0
Pre-defined signatures:7 failed:0
User-defined signatures:0 failed:0
Flag:
Pre: predefined User: user-defined
Type Sig-ID Direction Severity Fidelity Category Protocol
Pre 9 To-server High Medium Vulnerability UDP
Pre 45 To-server High Medium Vulnerability UDP
Pre 187 Any High Medium Vulnerability UDP
Pre 196 Any High Medium Vulnerability UDP
Pre 223 To-server High Medium Vulnerability UDP
Pre 234 To-client High Medium Vulnerability UDP
Pre 338 To-client High Medium Vulnerability UDP
表1-2 display ips signature命令显示信息描述表
|
字段 |
描述 |
|
Total signatures |
IPS特征总数 |
|
failed |
Snort规则导入特征库失败和特征库加载失败的特征总数 |
|
Pre-defined count |
预定义IPS特征数目 |
|
User-defined count |
自定义IPS特征数目 |
|
Type |
IPS特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
|
Sig-ID |
IPS特征的编号 |
|
Direction |
IPS特征的方向属性,包括如下取值: · any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
|
Severity |
IPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
|
Fidelity |
IPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
|
Category |
IPS特征的攻击类别名称 |
|
Protocol |
IPS特征的协议属性 |
display ips signature user-defined parse-failed命令用来显示IPS自定义特征解析失败的信息。
【命令】
display ips signature user-defined parse-failed
【视图】
任意视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
此命令用于查看IPS自定义特征解析失败的原因以及修改建议。
【举例】
# 显示IPS自定义特征解析失败的信息。
<Sysname> display ips signature user-defined parse-failed
LineNo SID Information
1 None Error: Invalid actions.
Tip: Only actions {alert|drop|pass|reject|sdrop|log} are supported
2 1010082 Error: Invalid signature ID.
Tip: The signature ID must be in the range of 1 to 536870912
3 1010083 Error: Invalid protocol.
Tip: Only protocols {tcp|udp|icmp|ip} are supported
4 1010084 Error: Invalid direction.
Tip: Only directions {'<>'|'->'} are supported
表1-3 display ips signature user-defined parse-failed命令显示信息描述表
|
字段 |
描述 |
|
LineNo |
Snort规则文件中的行号 |
|
SID |
自定义特征的编号 |
|
Information |
自定义特征解析失败的信息,包括如下取值: · Error:表示自定义特征解析失败的原因 · Tip:表示Snort规则文件内容的修改建议 |
【相关命令】
· ips signature import snort
display ips signature { pre-defined | user-defined }命令用来显示IPS特征的详细信息。
【命令】
display ips signature { pre-defined | user-defined } signature-id
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
pre-defined:显示预定义IPS特征的详细信息。
user-defined:显示自定义IPS特征的详细信息。
signature-id:指定IPS特征的编号,取值范围为1~4294967295。
【举例】
# 显示编号为1的预定义IPS特征的详细信息。
<Sysname> display ips signature pre-defined 1
Type : Pre-defined
Signature ID: 1
Status : Enabled
Action : Reset & Logging
Name : GNU_Bash_CVE-2014-6271_Remote_Code_Execution_Vulnerability
Protocol : TCP
Severity : High
Fidelity : Medium
Direction : To-server
Category : Vulnerability
Reference : CVE-2014-6271;
Description : GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka \"ShellShock.\" NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.
表1-4 display ips signature { pre-defined | user-defined }命令显示信息描述表
|
字段 |
描述 |
|
Type |
IPS特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
|
Signature ID |
IPS特征的编号 |
|
Status |
IPS特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特未生效 |
|
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
|
Name |
IPS特征的名称 |
|
Protocol |
IPS特征的协议属性 |
|
Severity |
IPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
|
Fidelity |
IPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
|
Direction |
IPS特征的方向属性,包括如下取值: · any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
|
Category |
IPS特征的攻击类别名称 |
|
Reference |
IPS特征的参考信息 |
|
Description |
IPS特征的描述信息 |
display ips signature information命令用来显示IPS特征库信息。
【命令】
display ips signature information
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示IPS特征库信息。
<Sysname> display ips signature information
IPS signature library information:
Type SigVersion ReleaseTime Size
Current 1.02 Fri Sep 13 09:05:35 2014 71594
Last - - -
Factory 1.00 Fri Sep 11 09:05:35 2014 71394
表1-5 display ips signature information命令显示信息描述表
|
字段 |
描述 |
|
Type |
IPS特征库版本,包括如下取值: · Current:表示当前版本 · Last:表示上一版本 · Factory:表示出厂版本 |
|
SigVersion |
IPS特征库版本号 |
|
ReleaseTime |
IPS特征库发布时间 |
|
Size |
IPS特征库文件大小,单位是Bytes |
ips apply policy命令用来在DPI应用profile中引用IPS策略。
undo ips apply policy命令用来删除引用的IPS策略。
【命令】
ips apply policy policy-name mode { alert | protect }
undo ips apply policy
【缺省情况】
DPI应用profile中没有引用IPS策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。
mode:表示IPS策略的模式。
alert:告警模式,表示报文匹配上该IPS策略中的特征后,仅可以生成日志或捕获报文,但其他动作均不能生效。
protect:保护模式,表示报文匹配上该IPS策略中的特征后,设备按照特征的动作对该报文进行处理。
【使用指导】
一个DPI应用profile视图下只能引用一个IPS策略。多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为sec的DPI应用profile下引用IPS策略ips1,且配置IPS模式为保护模式。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] ips apply policy ips1 mode protect
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· ips policy
ips { block-source | capture | email | logging | redirect } parameter-profile命令用来配置IPS引用应用层检查引擎动作参数profile。
undo ips { block-source | capture | email | logging | redirect } parameter-profile命令用来取消IPS引用的应用层检查引擎动作参数profile。
【命令】
ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name
undo ips { block-source | capture | email | logging | redirect } parameter-profile
【缺省情况】
IPS未引用应用层检查引擎动作参数profile,使用各参数的缺省值。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示设置IPS源阻断动作的参数。
capture:表示设置IPS捕获动作的参数。
email:表示设置IPS邮件动作的参数。
logging:表示设置IPS日志动作的参数。
redirect:表示设置IPS重定向动作的参数。
parameter-profile parameter-name:指定IPS动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
每类IPS动作的具体执行参数由应用层检测引擎动作参数profile来定义,该profile的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
如果IPS引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值。
【举例】
# 创建名称为ips1的应用层检测引擎源阻断动作参数profile,配置其阻断源IP地址的时长为1111秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile ips1
[Sysname-inspect-block-source-ips1] block-period 1111
[Sysname-inspect-block-source-ips1] quit
# 配置IPS引用名称为ips1的应用层检查引擎源阻断动作参数profile。
[Sysname] ips block-source parameter-profile ips1
【相关命令】
· inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect capture parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect email parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
ips policy命令用来创建IPS策略,并进入IPS策略视图。如果指定的IPS策略已经存在,则直接进入IPS策略视图。
undo ips policy命令用来删除指定的IPS策略。
【命令】
ips policy policy-name
undo ips policy policy-name
【缺省情况】
存在一个缺省IPS策略,名称为default。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
设备上存在一个名称为default的缺省IPS策略,缺省IPS策略和自定义IPS策略都使用当前系统中的所有IPS特征,新增IPS特征会自动添加到所有策略下。但是缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改。
【举例】
# 创建一个名称为ips1的IPS策略,并进入IPS策略视图。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1]
ips signature auto-update命令用来开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图。
undo ips signature auto-update命令用来关闭定期自动在线升级IPS特征库功能。
【命令】
ips signature auto-update
undo ips signature auto-update
【缺省情况】
定期自动在线升级IPS特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的IPS特征库进行升级。
【举例】
# 开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate]
【相关命令】
· update schedule
ips signature auto-update-now命令用来立即自动在线升级IPS特征库。
【命令】
ips signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令后,将立即自动升级设备上的IPS特征库,且会备份当前的IPS特征库文件。此命令的生效与否,与是否开启了定期自动升级IPS特征库功能无关。
当管理员发现H3C官方网站上的特征库服务专区中的IPS特征库有更新时,可以选择立即自动在线升级方式来及时升级IPS特征库版本。
【举例】
# 立即自动在线升级IPS特征库版本。
<Sysname> system-view
[Sysname] ips signature auto-update-now
ips signature import snort命令用来导入自定义IPS特征。
【命令】
ips signature import snort file-path
【缺省情况】
不存在自定义IPS特征。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:自定义IPS特征库文件的URL,为1~255个字符的字符串。
【使用指导】
当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征。导入的IPS特征文件内容会自动覆盖系统中所有的自定义IPS特征。可通过display ips signature user-defined命令查看导入的IPS特征信息。
管理员可以采用如下几种方式导入自定义IPS特征库文件。
· 本地方式:使用本地保存的自定义IPS特征库文件导入。
· FTP/TFTP方式:通过FTP或TFTP方式下载远程服务器上保存的自定义IPS特征库文件,并导入到系统中。
参数file-path的取值与自定义IPS特征库文件导入的操作方式有关。采用本地方式时参数file-path取值请参见表1-6;采用FTP/TFTP方式时参数file-path取值请参见表1-7。
|
导入方式 |
参数file-path取值 |
说明 |
|
自定义IPS特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
自定义IPS特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至自定义IPS特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
自定义IPS特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至自定义IPS特征库文件所在存储介质的根目录下,再指定自定义IPS特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-7 采用FTP/TFTP方式时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
自定义IPS特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
自定义IPS特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
编辑Snort格式的IPS特征文件需要注意的是:
Snort文件需要遵循Snort公司的语法。
Snort规则的SID取值范围为1~536870911,若超出此范围,则规则无效。
如需增加Snort规则,则新增规则的SID不能与设备上旧Snort文件中任何规则的SID相同。
编辑Snort规则时,必须配置msg字段,否则IPS系统日志中威胁名称字段是空的。
当用户自定义Snort规则中的应用无法被识别时,报文无法成功匹配该规则。
【相关命令】
· display ips signature user-defined
· ips signature remove snort
【举例】
# 采用TFTP方式,将自定义Snort格式的IPS特征库文件导入设备生成自定义IPS特征,自定义Snort格式的IPS特征库文件的远程路径为tftp://192.168.0.1/snort.rules。
<Sysname> system-view
[Sysname] ips signature import snort tftp://192.168.0.1/snort.rules
ips signature remove snort命令用来删除导入的所有自定义IPS特征。
【命令】
ips signature remove snort
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 删除导入的所有自定义IPS特征。
<Sysname> system-view
[Sysname] ips signature remove snort
【相关命令】
· ips signature import snort
ips signature rollback命令用来回滚IPS特征库。
【命令】
ips signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
factory:表示IPS特征库的出厂版本。
last:表示IPS特征库的上一版本。
【使用指导】
IPS特征库回滚是指将当前的IPS特征库版本回滚到指定的版本。如果管理员发现设备当前IPS特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前IPS特征库版本进行回滚。目前支持将设备中的IPS过滤特征库版本回滚到出厂版本和上一版本。
IPS特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前IPS特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置IPS特征库回滚到上一版本。
<Sysname> system-view
[Sysname] ips signature rollback last
ips signature update命令用来手动离线升级IPS特征库。
【命令】
ips signature update [ override-current ] file-path
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
override-current:表示覆盖当前版本的特征库文件。如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上。
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级IPS特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的IPS特征库版本。特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的IPS特征库版本。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-8;FTP/TFTP升级时参数file-path取值请参见表1-9。
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-9 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级IPS特征库,且采用TFTP方式,IPS特征库文件的远程路径为tftp://192.168.0.10/ips-1.0.2-en.dat。
<Sysname> system-view
[Sysname] ips signature update tftp://192.168.0.10/ips-1.0.2-en.dat
# 配置手动离线升级IPS特征库,且采用FTP方式,IPS特征库文件的远程路径为ftp://192.168.0.10/ips-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] ips signature update ftp://user%3A123:user%40abc%[email protected]/ips-1.0.2-en.dat
# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/ips-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/dpi/ips-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfb0:/dpi/ips-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] ips signature update dpi/ips-1.0.23-en.dat
object-dir命令用来配置筛选IPS特征的方向属性。
undo object-dir命令用来恢复缺省情况。
【命令】
object-dir { client | server } *
undo object-dir
【缺省情况】
IPS策略匹配所有方向上的对象。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
client:表示从服务器到客户端方向上的对象。
server:表示从客户端到服务器方向上的对象。
【使用指导】
可通过配置方向属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个方向,只要符合其中一个,具有该方向属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test的IPS策略中仅保护从服务器到客户端方向上的对象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] object-dir client
override-current命令用来配置定期自动在线升级IPS特征库时覆盖当前的特征文件。
undo override-current命令用来恢复缺省情况。
【命令】
override-current
undo override-current
【缺省情况】
定期自动在线升级IPS特征库时不会覆盖当前的特征库文件,而是同时将当前的特征库文件备份为上一版本。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以通过开启此功能解决升级IPS特征库时设备内存不足的问题。在设备剩余内存充裕的情况下,不建议配置该功能,因为IPS特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本。
配置此功能后定期自动在线升级IPS特征库时不会将当前的特征库文件备份为上一版本。
【举例】
# 配置定期自动在线升级IPS特征库时覆盖当前的特征文件。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] override-current
【相关命令】
· ips signature auto-update
protect-target命令用来配置筛选IPS特征的保护对象属性。
undo protect-target命令用来删除筛选IPS特征的保护对象属性。
【命令】
protect-target { target [ subtarget ] | all }
undo protect-target { target [ subtarget ] | all }
【缺省情况】
IPS策略匹配所有保护对象的特征。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
target:表示保护对象分类名称。
subtarget:表示保护对象分类中的子对象名称。若不指定本参数,则表示保护某对象分类中的所有子对象。
all:表示所有保护对象。
【使用指导】
可通过配置保护对象属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个保护对象。只要符合其中一个,具有该保护对象属性的特征将会被筛选出来。
【举例】
# 在名称为test的IPS策略中,配置筛选IPS特征的保护对象为WebServer中WebLogic子对象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] protected-target WebServer WebLogic
severity-level命令用来配置筛选IPS特征的严重级别属性。
undo severity-level命令用来恢复缺省情况。
【命令】
severity-level { critical | high | low | medium } *
undo severity-level
【缺省情况】
IPS策略匹配所有严重级别的特征。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
critical:表示严重级别最高。
high:表示严重级别高。
low:表示严重级别低。
medium:表示严重级别一般。
【使用指导】
可通过配置严重级别属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个严重级别,只要符合其中一个,具有该严重级别属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test的IPS策略中,配置筛选IPS特征的严重级别为critical和medium。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] severity-level critical medium
signature override命令用来修改IPS策略中指定特征的动作和状态。
undo signature override命令用来恢复IPS策略中指定特征属性中的动作和状态。
【命令】
signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }
undo signature override { pre-defined | user-defined } signature-id
【缺省情况】
预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
pre-defined:表示预定义的IPS特征。
user-defined:表示自定义的IPS特征。
signature-id:IPS特征的编号,取值范围为1~4294967295。
disable:表示禁用此IPS特征。在某些网络环境中,如果一些IPS特征暂时不会被用到,而且又不想将其从IPS策略中删除时,可以使用disable参数来禁用这些规则。
enable:表示启用此IPS特征。
block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
缺省情况下,IPS策略将使用当前设备上所有处于生效状态的IPS特征与报文进行匹配,并对匹配成功的报文执行IPS特征属性中的动作。管理员可以根据实际网络需求,修改IPS策略中指定特征的动作和状态。如果报文与该IPS特征匹配成功,则对报文执行该特征的动作。
缺省IPS策略中的IPS特征的动作和生效状态不能被修改。当IPS策略中的IPS特征被禁用后,此IPS特征对用户报文不生效。
在同一个IPS策略视图中对同一IPS特征多次执行此命令,最后一次执行的命令生效。
【举例】
# 在名称为ips1的IPS策略中,配置编号为2的预定义IPS特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· blacklist global enable(安全命令参考/攻击检测与防范)
· ips parameter-profile
· ips policy
· signature override all
signature override all命令用来配置IPS策略中所有特征的统一动作。
undo signature override all命令用来恢复缺省情况。
【命令】
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
undo signature override all
【缺省情况】
IPS策略执行特征属性中的动作。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
如果在IPS策略中为所有特征配置了统一动作,则设备将根据该动作对与此策略中特征匹配成功的报文进行处理。否则,设备将根据特征属性中的动作对报文进行处理。
如果在IPS策略中修改了指定特征的动作,则无论IPS策略是否为所有特征配置了动作,设备都将根据修改后的特征的动作对与报文进行处理。
【举例】
# 配置名称为text的IPS策略中所有特征的统一动作为丢弃,并生成日志信息和捕获报文。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] signature override all drop logging capture
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· blacklist global enable(安全命令参考/攻击检测与防范)
· ips parameter-profile
· signature override
update schedule命令用来配置定期自动在线升级IPS特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间自动在线升级IPS特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置IPS特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· ips signature auto-update
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
