10-入侵防御
本章节下载: 10-入侵防御 (427.86 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 入侵防御的优势
¡ 入侵防御特征
¡ 入侵防御动作
¡ 入侵防御实现流程
· 配置指南
入侵防御功能需要安装License才能使用。License过期后,入侵防御功能可以用,但无法升级特征库,只能使用设备中已存在的特征库。关于License的详细介绍请参见“License联机帮助”。 |
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。入侵防御通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
入侵防御具有以下优势:
· 深度防护:可以检测报文应用层的内容,以及对网络数据流进行协议分析和重组,并根据检测结果来对报文做出相应的处理。
· 实时防护:实时检测流经设备的网络流量,并对入侵活动和攻击性网络流量进行实时拦截。
· 全方位防护:可以对多种攻击类型提供防护措施,例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。
· 内外兼防:对经过设备的流量都可以进行检测,不仅可以防止来自企业外部的攻击,还可以防止发自企业内部的攻击。
入侵防御特征用来扫描网络中的攻击行为以及对攻击行为采取防御措施,设备通过将数据流与入侵防御特征进行比较来检测和防御攻击。
设备支持如下类型的入侵防御特征:
· 预定义特征:由系统中的入侵防御特征库自动生成,不可进行修改和删除。
· 自定义特征:由用户手工配置。可以创建、修改和删除。
· Snort特征:由Snort文件导入。可以导入和删除。
入侵防御特征的动作和生效状态可以在特征例外中修改。有关入侵防御动作的详细介绍请参见“入侵防御动作”。
缺省情况下,设备基于入侵防御配置文件中指定的动作对符合此配置文件中入侵防御特征的报文进行处理。当需要对符合某条入侵防御特征的报文采取不同的动作时,可以将此特征设置为特征例外。或者,当入侵防御配置文件中不包含某条入侵防御特征时,可以将此特征设置为特征例外,添加到该入侵防御配置文件中。
特征例外中动作的优先级高于配置文件中动作的优先级。
入侵防御动作是指设备对匹配上入侵防御特征的报文做出的处理。入侵防御处理动作包括如下几种类型:
· 黑名单:阻断符合特征的报文。如果设备上同时开启了IP黑名单过滤功能,则阻断时间内(在安全动作中的阻断功能中配置)来自此IP地址的所有报文将被直接丢弃;如果设备上未开启黑名单过滤功能,报文的源IP地址仍会被添加到IP黑名单表项中,但后续来自该源IP地址的报文不会被直接丢弃。有关黑名单功能的详细介绍请参见“攻击防范联机帮助”。
· 丢弃:丢弃符合特征的报文。
· 允许:允许符合特征的报文通过。
· 重置:通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接。
· 重定向:把符合特征的报文重定向到指定的Web页面上。
· 缺省:对符合特征的报文执行特征中缺省的动作。
· 抓包:捕获符合特征的报文。
· 日志:对符合特征的报文生成日志信息。
在设备配置了入侵防御功能的情况下,当用户的数据流量经过设备时,设备将进行入侵防御处理。处理流程如图-1所示:
入侵防御处理的整体流程如下:
1. 如果报文与IP黑名单匹配成功,则直接丢弃该报文。
2. 如果虚服务器引用了入侵防御配置文件,则设备将对报文进行深度内容检测:首先,识别报文的协议,然后根据协议分析方案进行更精细的分析,并深入提取报文特征。
3. 设备将提取的报文特征与入侵防御特征进行匹配,并对匹配成功的报文进行如下处理:
¡ 如果报文同时与多个入侵防御特征匹配成功,则根据这些动作中优先级最高的动作进行处理。但是,对于黑名单、日志和捕获三个动作只要匹配成功的特征中存在就会执行。动作优先级从高到低的顺序为:重置 > (黑名单/丢弃) > 允许,其中黑名单与丢弃的优先级相同。
¡ 如果报文只与一个入侵防御特征匹配成功,则根据此特征中指定的动作进行处理。
4. 如果报文未与任何入侵防御特征匹配成功,则设备直接允许报文通过。
入侵防御功能的配置思路如下图所示:
图-2 入侵防御功能配置指导图
设备上存在一个名称为default的入侵防御配置文件,缺省入侵防御配置文件使用当前系统中所有缺省处于启用状态的入侵防御特征,新增自定义入侵防御特征会自动添加到缺省入侵防御配置文件下。缺省入侵防御配置文件中的入侵防御特征的动作属性和生效状态属性不能被修改。
管理员也可以根据实际需求创建自定义的入侵防御配置文件。
1. 选择“对象 > 应用安全 > 入侵防御 > 配置文件”。
2. 在“入侵防御配置文件”页面单击<新建>按钮,进入“新建入侵防御配置文件”页面。
3. 新建入侵防御配置文件,具体配置内容如下:
表-1 入侵防御配置文件配置
参数 |
说明 |
筛选特征 |
通过保护对象、攻击分类、方向、缺省动作和严重级别可灵活选择此入侵防御配置文件中所需的入侵防御特征。可通过单击<查看特征筛选结果>按钮来查看当前配置文件中已选择的入侵防御特征 若不配置任何一项筛选条件(保持缺省情况),则此配置文件中将会包含所有缺省处于启用状态的入侵防御特征 |
保护对象 |
通过选择保护对象可快速选择所需的入侵防御特征 |
攻击分类 |
通过选择攻击分类可快速选择所需的入侵防御特征 |
方向 |
入侵防御特征库中的特征分为服务端和客户端,可通过选择服务端和客户端来筛选配置文件所需的入侵防御特征 |
缺省动作 |
入侵防御特征的缺省动作分为如下四种:丢弃、允许、重置、黑名单,可通过选择不同的缺省动作来筛选配置文件所需的入侵防御特征 |
严重级别 |
入侵防御特征的严重级别分为如下四种:严重、高、中、低,可通过选择不同的严重级别来筛选配置文件所需的入侵防御特征 |
设置配置文件统一动作 |
通过设置配置文件统一动作,对筛选出的特征执行统一的动作。如果动作为缺省,则对筛选出的特征执行各自的缺省动作 |
动作 |
选择配置文件的动作,动作类型包括:缺省、黑名单、丢弃、允许、重置和重定向。符合此配置文件的报文将被按照此配置文件中指定的动作进行处理。缺省情况下,动作为缺省 |
日志 |
开启日志功能后,设备将对与入侵防御特征匹配成功的报文生成日志信息 |
抓包 |
开启抓包功能后,设备会将捕获到的报文保存在本地并输出到指定的路径,有关捕获参数的详细配置,请参见“安全动作联机帮助” |
设置例外特征 |
添加特征例外包括如下两种方式: · 在“新建入侵防御配置文件”页面的特征例外输入框中直接输入入侵防御特征的ID号,然后单击右边<添加>按钮,即可把此特征加入特征例外中 · 在“新建入侵防御配置文件”页面,先单击<查看特征筛选结果>按钮,进入“查看特征”页面,在此页面选中需要加入特征例外的入侵防御特征,然后单击此页面上方的<添加到例外列表>按钮,即可把此特征加入特征例外中 |
修改特征例外 |
在特征例外列表中单击目标入侵防御特征右边的<编辑>按钮,进入“修改例外特征”页面,在此页面可配置此特征的动作、状态、日志和抓包功能。单击<确定>,此例外特征修改成功 |
4. 单击<确定>按钮,新建入侵防御配置文件成功,且会在“入侵防御配置文件”页面中显示。
5. 在虚服务器中引用此入侵防御配置文件,有关虚服务器的详细配置介绍请参见“应用负载均衡联机帮助”。
6. 单击<提交>按钮,激活入侵防御配置文件的配置内容。配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的配置文件后统一配置此功能。
选择“对象 > 应用安全 > 入侵防御 > 特征”。在“入侵防御特征页面”可查看当前设备上入侵防御特征库中的所有入侵防御特征。当需要的特征在设备当前特征库中不存在时,可通过编辑Snort格式的入侵防御特征文件,并将其导入设备中来生成所需的入侵防御特征。导入Snort特征后将删除原有的全部Snort特征。
需要注意的是,Snort文件需要遵循Snort公司的语法。
导入Snort特征的配置步骤如下:
1. 选择“对象 > 应用安全 > 入侵防御 > 特征”。
2. 在“入侵防御特征”页面单击<导入Snort特征>按钮,进入“导入Snort特征”页面。
3. 选择指定的Snort文件,单击<导入>按钮,导入并解析Snort特征。
删除Snort特征的配置步骤如下:
选择“对象 > 应用安全 > 入侵防御 > 特征”。在“入侵防御特征”页面,单击<删除特征>按钮,选择删除全部Snort特征。可删除所有Snort特征。
当需要的特征在设备当前特征库中不存在时,用户可通过手工配置的方式新建自定义特征。
自定义特征包括属性和规则。
一个自定义特征下可配置多条规则,规则间包含如下规则逻辑:
· 逻辑与:表示报文需要匹配该自定义特征的所有规则才认为与该特征匹配成功。
· 逻辑或:表示报文匹配到该自定义特征的任何一条规则即认为与该特征匹配成功。
自定义特征规则下支持配置规则的匹配条件(包括源/目的IPv4地址、源/目的端口、请求方法等)、检查项和检查项触发条件。
自定义特征规则包括如下类型:
· 关键字类型:配置关键字类型规则时,需要配置检查项和检查项触发条件。只有匹配检查项触发条件后才会继续匹配检查项。仅当所有检查项都匹配成功,才表示该规则成功匹配。
· 数值类型:配置数值类型规则时,可以配置检查项,只有所有检查项都匹配成功,才表示规则成功匹配。
新建自定义特征的配置步骤如下:
1. 选择“对象 > 应用安全 > 入侵防御 > 特征”。
2. 在“入侵防御特征”页面,单击<新建自定义特征>按钮,进入“新建自定义特征”页面。
3. 在“基本配置”区域可配置自定义特征的属性,具体配置内容如下:
表-2 配置自定义特征属性
参数 |
说明 |
名称 |
自定义特征的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别自定义特征的作用,有利于后期维护 |
严重级别 |
可根据具有该特征报文对网络攻击造成危害的严重程度配置不同的严重级别。严重级别分为如下四种:严重、高、中、低 |
方向 |
可根据具有该特征报文的传输方向进行配置,包括服务端和客户端 |
动作 |
对具有该特征的报文执行的动作。动作类型包括:黑名单、丢弃、允许和重置 |
日志 |
开启日志功能后,设备将对与入侵防御特征匹配成功的报文生成日志信息 |
抓包 |
开启抓包功能后,设备会将捕获到的报文保存在本地并输出到指定的路径,有关捕获参数的详细配置,请参见“安全动作联机帮助” |
4. 在“规则”区域可配置自定义特征规则。一个自定义特征下可配置多条规则,用户需要先配置规则逻辑,包括逻辑或和逻辑与。
5. 单击<新建>按钮,进入新建规则页面,具体配置内容如下:
表-3 新建自定义特征规则
参数 |
说明 |
ID |
自定义特征规则的ID |
应用层协议 |
自定义特征匹配的应用层协议 |
传输层协议 |
自定义特征匹配的传输层协议 |
匹配类型 |
表示自定义特征的类型,包括关键字类型和数值类型 |
请求方法 |
HTTP报文的请求方法,如:GET、POST等 |
源IPv4地址 |
自定义特征匹配的源IPv4地址 |
源端口 |
自定义特征匹配的源端口 |
目的IPv4地址 |
自定义特征匹配的目的IPv4地址 |
目的端口 |
自定义特征匹配的目的端口 |
6. 在“检查项触发条件”区域配置检查项的触发条件,仅当自定义特征规则为关键字类型时需要配置。具体配置内容如下:
表-4 新建检查项触发条件
参数 |
说明 |
协议字段 |
检查项触发条件检测的协议字段 |
匹配模式 |
检查项触发条件检测内容的匹配模式,包括文本方式和十六进制方式 |
匹配内容 |
检查项触发条件检测的内容 |
检测深度 |
检查项触发条件的检测深度,从起始检测位置开始,检测数据的长度 |
偏移量 |
检查项触发条件的偏移量,从协议字段开始,偏移指定长度,作为检查项触发条件的起始检测位置 |
7. 单击<确定>按钮,完成检查项触发条件的配置。
8. 在“检查项”区域配置自定义特征规则的检查项,具体配置内容如下:
表-5 新建检查项
参数 |
说明 |
ID |
检查项的ID |
协议字段 |
检查项检测的协议字段 |
操作符 |
表示检查项和检测内容的匹配方式,不同类型的自定义特征规则支持的操作符不同,取值包括: · 关键字类型规则的操作符包括:包含和不包含 · 数值类型规则的操作符包括:大于、小于、等于、不等于、大于等于和小于等于 |
匹配模式 |
检查项检测内容的匹配模式,包括文本、正则表达式和十六进制 |
匹配内容 |
检查项检测的内容 |
偏移量 |
检查项的偏移量,从检查项触发条件检测的结束位置开始偏移指定长度,作为检查项的检测起始位置 |
检测深度 |
检查项的检测深度,从检查项检测的起始位置开始,检测数据的长度 |
相对偏移量 |
表示当前检查项与上一个检查项之间的相对偏移量,从上一个检查项的结束位置开始偏移的长度 |
相对检测深度 |
表示当前检查项的检测深度 |
9. 单击<确定>按钮,完成检查项的配置。
10. 单击<确定>按钮,完成自定义特征规则的配置。
11. 单击<确定>按钮,完成自定义特征的配置。
12. 单击<提交>按钮,使新建的自定义特征生效。
删除自定义特征的配置步骤如下:
选择“对象 > 应用安全 > 入侵防御 > 特征”。在“入侵防御特征”页面,选择需要删除的自定义特征,单击<删除特征>按钮,选择删除选中的自定义特征。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!