02-IPS命令
本章节下载: 02-IPS命令 (317.19 KB)
目 录
1.1.5 display ips signature user-defined parse-failed
1.1.6 display ips signature { pre-defined | user-defined }
1.1.7 display ips signature information
1.1.11 ips signature auto-update
1.1.12 ips signature auto-update-now
1.1.13 ips signature import snort
1.1.14 ips signature remove snort
action命令用来配置筛选IPS特征的动作属性。
undo action命令用来恢复缺省情况。
【命令】
action { block-source | drop | permit | reset } *
undo action
【缺省情况】
未配置动作属性筛选条件。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
【参数】
block-source:表示源阻断动作,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。
drop:表示丢弃报文的动作。
permit:表示允许报文通过的动作。
reset:表示重置动作,该动作通过发送TCP的reset报文使TCP连接断开。
【使用指导】
可通过配置动作属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个动作,只要符合其中一个,具有该动作属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test的IPS策略中配置筛选IPS特征的动作为drop和reset。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] action drop reset
attack-category命令用来配置筛选IPS特征的攻击分类属性。
undo attack-category命令用来删除筛选IPS特征的攻击分类属性。
【命令】
attack-category { category [ subcategory ] | all}
undo attack-category { category [ subcategory | all] }
【缺省情况】
未配置攻击分类属性筛选条件。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
【参数】
category:表示设备中已有的攻击分类名称。
subcategory:表示设备中已有攻击分类中的子分类名称。若不指定本参数,则表示指定攻击分类中的所有子分类。
all:表示设备中已有的所有攻击分类。
【使用指导】
可通过配置攻击分类属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个攻击分类。只要符合其中一个,具有该攻击分类的特征将会被筛选出来。
【举例】
# 在名称为test的IPS策略中,配置筛选IPS特征的攻击分类为Vulnerability攻击分类中的SQLInjection子分类。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] attack-category Vulnerability SQLInjection
display ips policy命令用来显示IPS策略信息。
【命令】
display ips policy policy-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 显示IPS策略aa的策略信息。
<Sysname> display ips policy aa
Total signatures :119 failed:0
Pre-defined signatures:119 failed:0
User-defined signatures:0 failed:0
Flag:
B: Block-Source D: Drop P: Permit Rs: Reset Rd: Redirect C: Capture L: L
ogging
Pre: predefined User: user-defined
Type RuleID Target SubTarget Severity Direction Category
SubCategory Status Action
Pre 1374 WebServer Other Critical Server Vulnerability
SQLInjection Enable RsL
Pre 1414 Browser InternetExplore High Client Vulnerability
XSS Enable PL
Pre 1990 WebServer Other Critical Server Vulnerability
SQLInjection Enable RsL
Pre 2643 Database MS-SQL Critical Server Vulnerability
SQLInjection Enable PL
Pre 3142 NetworkProtocol FTP Critical Server Vulnerability
SQLInjection Enable RsL
Pre 3295 NetworkProtocol HTTP Critical Client Vulnerability
XSS Enable PL
Pre 3700 NetworkDevice Cisco Critical Server Vulnerability
XSS Enable RsL
Pre 3801 WebServer Other Critical Server Vulnerability
SQLInjection Enable PL
Pre 4363 NetworkProtocol FTP Critical Server Vulnerability
SQLInjection Enable RsL
Pre 4479 NetworkProtocol FTP Critical Server Vulnerability
SQLInjection Enable RsL
Pre 4933 WebServer Other Critical Server Vulnerability
SQLInjection Enable PL
Pre 5379 NetworkProtocol HTTP Critical Client Vulnerability
XSS Enable PL
Pre 5597 WebServer Other Critical Server Vulnerability
SQLInjection Enable RsL
Pre 6017 NetworkProtocol HTTP Critical Client Vulnerability
XSS Enable RsL
---- More ----
表1-1 display ips policy命令显示信息描述表
字段 |
描述 |
Total signatures |
IPS特征总数 |
Pre-defined signatures |
预定义IPS特征数目 |
User-defined signatures |
用户自定义IPS特征数目 |
Type |
IPS特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
RuleID |
IPS特征编号 |
Target |
攻击对象 |
SubTarget |
攻击子对象 |
Severity |
IPS特征的攻击严重程度属性,从低到高分为四级:Low、Medium、High、Critical |
Direction |
IPS特征的方向,包括如下取值: · Client:表示从服务器到客户端方向 · Server:表示从客户端到服务器方向 · Any:表示双向 |
Category |
IPS特征的攻击类别名称 |
SubCategory |
IPS攻击分类中的子分类名称 |
Status |
IPS特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特征未生效 |
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Redirect:表示重定向符合特征的报文 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
【相关命令】
· ips policy
display ips signature命令用来显示IPS特征信息。
【命令】
display ips signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
pre-defined:显示预定义IPS特征。
user-defined:显示自定义IPS特征。
direction { any | to-client | to-server }:显示符合指定方向属性的IPS特征。如果未指定此参数,则显示所有方向上的IPS特征。
· to-server:表示一个会话的客户端到服务器的方向。
· to-client:表示一个会话的服务器到客户端的方向。
· any:表示一个会话的两个方向。
category category-name:显示符合指定攻击类别属性的IPS特征,category-name是攻击类型的名称。如果未指定此参数,则显示所有攻击类型的IPS特征。
fidelity { high | low | medium }:显示符合指定可信度属性的IPS特征。如果未指定此参数,则显示所有可信度的IPS特征。可信度是指此IPS特征识别攻击行为准确度,且从低到高分为如下三个级别:
· low:可信度比较低。
· medium:可信度中等。
· high:可信度比较高。
protocol { icmp | ip | tcp | udp }:显示符合指定协议属性的IPS特征,协议ICMP、IP、TCP和UDP协议。如果未指定此参数,则显示所有协议的IPS特征。
severity { critical | high | low | medium }:显示符合指定严重级别属性的IPS特征。如果未指定此参数,则显示所有严重级别的IPS特征。严重级别是指匹配此IPS特征的网络攻击造成危害的严重程度,且从低到高分为四个级别:
· low:攻击严重程度比较低。
· medium:攻击严重程度中等。
· high:攻击严重程度比较高。
· critical:攻击严重程度非常高。
【使用指导】
若不指定任何参数,则显示所有IPS特征。
【举例】
# 显示可信度为中等的所有TCP协议的预定义IPS特征。
<Sysname> display ips signature pre-defined protocol tcp fidelity medium
Pre-defined signatures total:138 failed:0
Flag:
Pre: predefined User: user-defined
Type Sig-ID Direction Severity Fidelity Category Protocol
Pre 1 To-server High Medium Vulnerability TCP
Pre 2 To-server High Medium Vulnerability TCP
Pre 4 To-client High Medium Vulnerability TCP
Pre 5 To-client High Medium Vulnerability TCP
Pre 6 To-client High Medium Vulnerability TCP
Pre 7 To-client High Medium Vulnerability TCP
Pre 8 To-client High Medium Vulnerability TCP
Pre 10 To-server High Medium Vulnerability TCP
Pre 11 To-client High Medium InformationDi TCP
Pre 12 Any Critical Medium Vulnerability TCP
Pre 13 To-client High Medium Vulnerability TCP
Pre 14 To-server High Medium Vulnerability TCP
Pre 15 To-client High Medium Vulnerability TCP
Pre 16 To-client Critical Medium Vulnerability TCP
Pre 17 To-client High Medium Vulnerability TCP
Pre 18 To-client High Medium Vulnerability TCP
Pre 19 Any Critical Medium Vulnerability TCP
---- More ----
# 显示攻击严重程度为比较高的所有UDP协议的IPS特征。
<Sysname> display ips signature severity high protocol udp
Total signatures :155 failed:0
Pre-defined signatures total:155 failed:0
User-defined signatures total:0 failed:0
Flag:
Pre: predefined User: user-defined
Type Sig-ID Direction Severity Fidelity Category Protocol
Pre 9 To-server High Medium Vulnerability UDP
Pre 45 To-server High Medium Vulnerability UDP
Pre 187 Any High Medium Vulnerability UDP
Pre 196 Any High Medium InformationDi UDP
Pre 223 To-server High Medium Malware UDP
Pre 234 To-client High Medium InformationDi UDP
Pre 338 To-client High Medium DoS UDP
Pre 577 Any High Medium NetworkMonito UDP
Pre 948 Any High Medium NetworkMonito UDP
Pre 1157 Any High Medium InformationDi UDP
Pre 1475 Any High Medium InformationDi UDP
Pre 1641 Any High Medium InformationDi UDP
Pre 2059 Any High Medium NetworkMonito UDP
Pre 2185 Any High Medium NetworkMonito UDP
Pre 2634 Any High Medium InformationDi UDP
---- More ----
表1-2 display ips signature命令显示信息描述表
字段 |
描述 |
Total signatures |
IPS特征总数 |
failed |
Snort规则导入特征库失败和特征库加载失败的特征总数 |
Pre-defined signatures total |
预定义IPS特征数目 |
User-defined signatures total |
自定义IPS特征数目 |
Type |
IPS特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
Sig-ID |
IPS特征的编号 |
Direction |
IPS特征的方向属性,包括如下取值: · any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
Severity |
IPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
Fidelity |
IPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
Category |
IPS特征的攻击类别名称 |
Protocol |
IPS特征的协议属性 |
display ips signature user-defined parse-failed命令用来显示IPS自定义特征解析失败的信息。
【命令】
display ips signature user-defined parse-failed
【视图】
任意视图
【缺省用户角色】
network-admin
【举例】
# 显示IPS自定义特征解析失败的信息。
<Sysname> display ips signature user-defined parse-failed
LineNo SID Information
1 None Error: Invalid actions.
Tip: Only actions {alert|drop|pass|reject|sdrop|log} are supported
2 1010082 Error: Invalid signature ID.
Tip: The signature ID must be in the range of 1 to 536870912
3 1010083 Error: Invalid protocol.
Tip: Only protocols {tcp|udp|icmp|ip} are supported
4 1010084 Error: Invalid direction.
Tip: Only directions {'<>'|'->'} are supported
表1-3 display ips signature user-defined parse-failed命令显示信息描述表
字段 |
描述 |
LineNo |
Snort规则文件中的行号 |
SID |
自定义特征的编号 |
Information |
自定义特征解析失败的信息,包括如下取值: · Error:表示自定义特征解析失败的原因 · Tip:表示Snort规则文件内容的修改建议 |
【相关命令】
· ips signature import snort
display ips signature { pre-defined | user-defined }命令用来显示IPS特征的详细信息。
【命令】
display ips signature { pre-defined | user-defined } signature-id
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
pre-defined:显示预定义IPS特征的详细信息。
user-defined:显示自定义IPS特征的详细信息。
signature-id:指定IPS特征的编号,取值范围为1~4294967295。
【举例】
# 显示编号为1的预定义IPS特征的详细信息。
<Sysname> display ips signature pre-defined 1
Type : Pre-defined
Signature ID: 1
Status : Enabled
Action : Reset & Logging
Name : GNU_Bash_CVE-2014-6271_Remote_Code_Execution_Vulnerability
Protocol : TCP
Severity : High
Fidelity : Medium
Direction : To-server
Category : Vulnerability
Reference : CVE-2014-6271;
Description : GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka \"ShellShock.\" NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.
表1-4 display ips signature { pre-defined | user-defined }命令显示信息描述表
字段 |
描述 |
Type |
IPS特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
Signature ID |
IPS特征的编号 |
Status |
IPS特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特未生效 |
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
Name |
IPS特征的名称 |
Protocol |
IPS特征的协议属性 |
Severity |
IPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
Fidelity |
IPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
Direction |
IPS特征的方向属性,包括如下取值: · any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
Category |
IPS特征的攻击类别名称 |
Reference |
IPS特征的参考信息 |
Description |
IPS特征的描述信息 |
display ips signature information命令用来显示IPS特征库信息。
【命令】
display ips signature information
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IPS特征库信息。
<Sysname> display ips signature information
IPS signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.42 Tue Dec 12 10:18:46 2017 3925424
Last 1.0.38 Fri Aug 04 02:06:28 2017 2912352
Factory 1.0.0 Fri Dec 31 16:00:00 1999 21360
表1-5 display ips signature information命令显示信息描述表
字段 |
描述 |
Type |
IPS特征库版本,包括如下取值: · Current:表示当前版本 · Last:表示上一版本 · Factory:表示出厂版本 |
SigVersion |
IPS特征库版本号 |
ReleaseTime |
IPS特征库发布时间 |
Size |
IPS特征库文件大小,单位是Bytes |
ips apply policy命令用来在DPI应用profile中引用IPS策略。
undo ips apply policy命令用来删除引用的IPS策略。
【命令】
ips apply policy policy-name mode { alert | protect }
undo ips apply policy
【缺省情况】
DPI应用profile中未引用IPS策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。
mode:表示IPS策略的模式。
alert:告警模式,表示报文匹配上该IPS策略中的特征后,仅可以生成日志或捕获报文,但其他动作均不能生效。
protect:保护模式,表示报文匹配上该IPS策略中的特征后,设备按照特征的动作对该报文进行处理。
【使用指导】
IPS策略仅在被DPI应用profile引用后生效。一个DPI应用profile视图下只能引用一个IPS策略。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为sec的DPI应用profile下引用IPS策略ips1,且配置IPS模式为保护模式。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] ips apply policy ips1 mode protect
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· ips policy
ips { block-source | capture | email | logging | redirect } parameter-profile命令用来配置IPS动作引用应用层检测引擎动作参数profile。
undo ips { block-source | capture | email | logging | redirect } parameter-profile命令用来取消配置IPS动作引用应用层检测引擎动作参数profile。
【命令】
ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name
undo ips { block-source | capture | email | logging | redirect } parameter-profile
【缺省情况】
IPS动作未引用应用层检测引擎动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
block-source:表示设置IPS源阻断动作的参数。
capture:表示设置IPS捕获动作的参数。
email:表示设置IPS邮件动作的参数。
logging:表示设置IPS日志动作的参数。
redirect:表示设置IPS重定向动作的参数。
parameter-profile parameter-name:指定IPS动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
每类IPS动作的具体执行参数由应用层检测引擎动作参数profile来定义,可通过引用各动作参数proflle为IPS动作提供执行参数。有关应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
如果IPS动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。
【举例】
# 创建名称为ips1的应用层检测引擎源阻断动作参数profile,配置其阻断源IP地址的时长为1111秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile ips1
[Sysname-inspect-block-source-ips1] block-period 1111
[Sysname-inspect-block-source-ips1] quit
# 配置IPS源阻断动作引用名称为ips1的应用层检测引擎源阻断动作参数profile。
[Sysname] ips block-source parameter-profile ips1
【相关命令】
· inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect capture parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect email parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
ips policy命令用来创建IPS策略,并进入IPS策略视图。如果指定的IPS策略已经存在,则直接进入IPS策略视图。
undo ips policy命令用来删除指定的IPS策略。
【命令】
ips policy policy-name
undo ips policy policy-name
【缺省情况】
存在IPS策略,名称为default。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
设备上存在一个名称为default的缺省IPS策略,缺省IPS策略和自定义IPS策略都使用当前系统中的所有IPS特征,新增IPS特征会自动添加到所有策略下。但是缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改。
【举例】
# 创建一个名称为ips1的IPS策略,并进入IPS策略视图。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1]
ips signature auto-update命令用来开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图。
undo ips signature auto-update命令用来关闭定期自动在线升级IPS特征库功能。
【命令】
ips signature auto-update
undo ips signature auto-update
【缺省情况】
定期自动在线升级IPS特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的IPS特征库进行升级。
【举例】
# 开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate]
【相关命令】
· update schedule
ips signature auto-update-now命令用来立即自动在线升级IPS特征库。
【命令】
ips signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
执行此命令后,将立即自动升级设备上的IPS特征库,且会备份当前的IPS特征库文件。此命令的生效与否,与是否开启了定期自动升级IPS特征库功能无关。
当管理员发现H3C官方网站上的特征库服务专区中的IPS特征库有更新时,可以选择立即自动在线升级方式来及时升级IPS特征库版本。
【举例】
# 立即自动在线升级IPS特征库版本。
<Sysname> system-view
[Sysname] ips signature auto-update-now
ips signature import snort命令用来导入自定义IPS特征。
【命令】
ips signature import snort file-path
【缺省情况】
不存在自定义IPS特征。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
file-path:自定义IPS特征库文件的URL,为1~255个字符的字符串。
【使用指导】
当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征。导入的IPS特征文件内容会自动覆盖系统中所有的自定义IPS特征。可通过display ips signature user-defined命令查看导入的IPS特征信息。
管理员可以采用如下几种方式导入自定义IPS特征库文件。
· 本地方式:使用本地保存的自定义IPS特征库文件导入。
· FTP/TFTP方式:通过FTP或TFTP方式下载远程服务器上保存的自定义IPS特征库文件,并导入到系统中。
参数file-path的取值与自定义IPS特征库文件导入的操作方式有关。采用本地方式时参数file-path取值请参见表1-6;采用FTP/TFTP方式时参数file-path取值请参见表1-7。
导入方式 |
参数file-path取值 |
说明 |
自定义IPS特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
自定义IPS特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至自定义IPS特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
自定义IPS特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至自定义IPS特征库文件所在存储介质的根目录下,再指定自定义IPS特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-7 采用FTP/TFTP方式时参数file-path取值说明表
升级场景 |
参数file-path取值 |
说明 |
自定义IPS特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
自定义IPS特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
编辑Snort格式的IPS特征文件需要注意的是:
Snort文件需要遵循Snort公司的语法。
Snort规则的SID取值范围为1~536870911,若超出此范围,则规则无效。
如需增加Snort规则,则新增规则的SID不能与设备上旧Snort文件中任何规则的SID相同。
编辑Snort规则时,必须配置msg字段,否则IPS系统日志中威胁名称字段是空的。
当用户自定义Snort规则中的应用无法被识别时,报文无法成功匹配该规则。
【相关命令】
· display ips signature user-defined
· ips signature remove snort
【举例】
# 采用TFTP方式,将自定义Snort格式的IPS特征库文件导入设备生成自定义IPS特征,自定义Snort格式的IPS特征库文件的远程路径为tftp://192.168.0.1/snort.rules。
<Sysname> system-view
[Sysname] ips signature import snort tftp://192.168.0.1/snort.rules
ips signature remove snort命令用来删除导入的所有自定义IPS特征。
【命令】
ips signature remove snort
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 删除导入的所有自定义IPS特征。
<Sysname> system-view
[Sysname] ips signature remove snort
【相关命令】
· ips signature import snort
ips signature rollback命令用来回滚IPS特征库。
【命令】
ips signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
factory:表示IPS特征库的出厂版本。
last:表示IPS特征库的上一版本。
【使用指导】
IPS特征库回滚是指将当前的IPS特征库版本回滚到指定的版本。如果管理员发现设备当前IPS特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前IPS特征库版本进行回滚。目前支持将设备中的IPS过滤特征库版本回滚到出厂版本和上一版本。
IPS特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前IPS特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置IPS特征库回滚到上一版本。
<Sysname> system-view
[Sysname] ips signature rollback last
ips signature update命令用来手动离线升级IPS特征库。
【命令】
ips signature update [ override-current ] file-path
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
override-current:表示覆盖当前版本的特征库文件。如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上。
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级IPS特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的IPS特征库版本。
¡ 特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。(集中式设备-IRF模式)
¡ 特征库文件只能存储在当前主用主控板上,否则设备升级特征库会失败。(分布式设备-独立运行模式)
¡ 特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(分布式设备-IRF模式)
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的IPS特征库版本。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-8;FTP/TFTP升级时参数file-path取值请参见表1-9。
升级场景 |
参数file-path取值 |
说明 |
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-9 FTP/TFTP升级时参数file-path取值说明表
升级场景 |
参数file-path取值 |
说明 |
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级IPS特征库,且采用TFTP方式,IPS特征库文件的远程路径为tftp://192.168.0.10/ips-1.0.2-en.dat。
<Sysname> system-view
[Sysname] ips signature update tftp://192.168.0.10/ips-1.0.2-en.dat
# 配置手动离线升级IPS特征库,且采用FTP方式,IPS特征库文件的远程路径为ftp://192.168.0.10/ips-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] ips signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/ips-1.0.2-en.dat
# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/ips-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/dpi/ips-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] ips signature update ips-1.0.23-en.dat
# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfb0:/dpi/ips-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] ips signature update dpi/ips-1.0.23-en.dat
object-dir命令用来配置筛选IPS特征的方向属性。
undo object-dir命令用来恢复缺省情况。
【命令】
object-dir { client | server } *
undo object-dir
【缺省情况】
未配置方向属性筛选条件。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
【参数】
client:表示从服务器到客户端方向上的对象。
server:表示从客户端到服务器方向上的对象。
【使用指导】
可通过配置方向属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个方向,只要符合其中一个,具有该方向属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test的IPS策略中仅保护从服务器到客户端方向上的对象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] object-dir client
override-current命令用来配置定期自动在线升级IPS特征库时覆盖当前的特征文件。
undo override-current命令用来恢复缺省情况。
【命令】
override-current
undo override-current
【缺省情况】
定期自动在线升级IPS特征库时不会覆盖当前的特征库文件,而是同时将当前的特征库文件备份为上一版本。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
【使用指导】
可以通过开启此功能解决升级IPS特征库时设备内存不足的问题。在设备剩余内存充裕的情况下,不建议配置该功能,因为IPS特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本。
配置此功能后定期自动在线升级IPS特征库时不会将当前的特征库文件备份为上一版本。
【举例】
# 配置定期自动在线升级IPS特征库时覆盖当前的特征文件。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] override-current
【相关命令】
· ips signature auto-update
protect-target命令用来配置筛选IPS特征的保护对象属性。
undo protect-target命令用来删除筛选IPS特征的保护对象属性。
【命令】
protect-target { target [ subtarget ] | all }
undo protect-target { target [ subtarget ] | all }
【缺省情况】
未配置保护对象属性筛选条件。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
【参数】
target:表示保护对象分类名称。
subtarget:表示保护对象分类中的子对象名称。若不指定本参数,则表示保护某对象分类中的所有子对象。
all:表示所有保护对象。
【使用指导】
可通过配置保护对象属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个保护对象。只要符合其中一个,具有该保护对象属性的特征将会被筛选出来。
【举例】
# 在名称为test的IPS策略中,配置筛选IPS特征的保护对象为WebServer中WebLogic子对象。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] protected-target WebServer WebLogic
severity-level命令用来配置筛选IPS特征的严重级别属性。
undo severity-level命令用来恢复缺省情况。
【命令】
severity-level { critical | high | low | medium } *
undo severity-level
【缺省情况】
未配置严重级别属性筛选条件。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
【参数】
critical:表示严重级别最高。
high:表示严重级别高。
low:表示严重级别低。
medium:表示严重级别一般。
【使用指导】
严重级别是指匹配此IPS特征的网络攻击造成危害的严重程度。可通过配置严重级别属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个严重级别,只要符合其中一个,具有该严重级别属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test的IPS策略中,配置筛选IPS特征的严重级别为critical和medium。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] severity-level critical medium
signature override命令用来修改IPS策略中指定特征的动作和状态。
undo signature override命令用来恢复IPS策略中指定特征属性中的动作和状态。
【命令】
signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }
undo signature override { pre-defined | user-defined } signature-id
【缺省情况】
预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
【参数】
pre-defined:表示预定义的IPS特征。
user-defined:表示自定义的IPS特征。
signature-id:IPS特征的编号,取值范围为1~4294967295。
disable:表示禁用此IPS特征。在某些网络环境中,如果一些IPS特征暂时不会被用到,而且又不想将其从IPS策略中删除时,可以使用disable参数来禁用这些规则。
enable:表示启用此IPS特征。
block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
本命令仅用于修改自定义IPS策略中特征的动作和状态,缺省IPS策略中特征的动作和状态不能被修改。
在同一个IPS策略视图中对同一IPS特征多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为ips1的IPS策略中,配置编号为2的预定义IPS特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息。
<Sysname> system-view
[Sysname] ips policy ips1
[Sysname-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· blacklist global enable(安全命令参考/攻击检测与防范)
· ips parameter-profile
· ips policy
· signature override all
signature override all命令用来配置IPS策略中所有特征的统一动作。
undo signature override all命令用来恢复缺省情况。
【命令】
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
undo signature override all
【缺省情况】
IPS策略执行特征属性中的动作。
【视图】
IPS策略视图
【缺省用户角色】
network-admin
【参数】
block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
如果在IPS策略中为所有特征配置了统一动作,则设备将根据该动作对与此策略中特征匹配成功的报文进行处理。否则,设备将根据特征属性中的动作对报文进行处理。
如果在IPS策略中修改了指定特征的动作,则无论IPS策略是否为所有特征配置了统一的动作,设备都将根据修改后的动作对报文进行处理。
【举例】
# 配置名称为text的IPS策略中所有特征的统一动作为丢弃,并生成日志信息和捕获报文。
<Sysname> system-view
[Sysname] ips policy test
[Sysname-ips-policy-test] signature override all drop logging capture
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· blacklist global enable(安全命令参考/攻击检测与防范)
· ips parameter-profile
· signature override
update schedule命令用来配置定期自动在线升级IPS特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间自动在线升级IPS特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置IPS特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] ips signature auto-update
[Sysname-ips-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· ips signature auto-update
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!