• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

14-DPI深度安全命令参考

目录

02-IPS命令

本章节下载 02-IPS命令  (583.34 KB)

02-IPS命令

  录

1 IPS

1.1 IPS配置命令

1.1.1 action(ips policy view)

1.1.2 action(ips signature view)

1.1.3 attack-category

1.1.4 description(ips user-defined signature view)

1.1.5 description(ips whitelist view)

1.1.6 destination-address

1.1.7 destination-port

1.1.8 detection-integer

1.1.9 detection-keyword

1.1.10 direction

1.1.11 display ips policy

1.1.12 display ips signature

1.1.13 display ips signature library

1.1.14 display ips signature pre-defined

1.1.15 display ips signature user-defined

1.1.16 display ips signature user-defined parse-failed

1.1.17 email parameter-profile

1.1.18 email severity-level

1.1.19 global-parameter enable

1.1.20 http-method

1.1.21 ips apply policy

1.1.22 ips capture-cache

1.1.23 ips parameter-profile

1.1.24 ips policy

1.1.25 ips signature auto-update

1.1.26 ips signature auto-update-now

1.1.27 ips signature import snort

1.1.28 ips signature remove snort

1.1.29 ips signature rollback

1.1.30 ips signature update

1.1.31 ips signature update-log

1.1.32 ips signature user-defined

1.1.33 ips whitelist

1.1.34 ips whitelist activate

1.1.35 ips whitelist enable

1.1.36 log

1.1.37 object-dir

1.1.38 override-current

1.1.39 protect-target

1.1.40 rule

1.1.41 rule-logic

1.1.42 severity-level(ips policy view)

1.1.43 severity-level(ips signature view)

1.1.44 signature override

1.1.45 signature override all

1.1.46 signature version-baseline

1.1.47 signature-id

1.1.48 source-address(ips user-defined signature view)

1.1.49 source-address(ips whitelist view)

1.1.50 source-port

1.1.51 statistics signature-hit enable

1.1.52 status

1.1.53 trigger

1.1.54 update schedule

1.1.55 url

 


1 IPS

说明

非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

1.1  IPS配置命令

1.1.1  action(ips policy view)

action命令用来配置筛选IPS特征的动作属性。

undo action命令用来恢复缺省情况。

【命令】

action { block-source | drop | permit | reset } *

undo action

【缺省情况】

未配置动作属性筛选条件。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

block-source:表示源阻断动作,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。

drop:表示丢弃报文的动作。

permit:表示允许报文通过的动作。

reset:表示重置动作,该动作通过发送TCP的reset报文使TCP连接断开。

【使用指导】

可通过配置动作属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个动作,只要符合其中一个,具有该动作属性的特征将会被筛选出来。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为test的IPS策略中配置筛选IPS特征的动作为drop和reset。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] action drop reset

1.1.2  action(ips signature view)

action命令用来配置自定义特征的动作。

undo action命令用来恢复缺省情况。

【命令】

action { block-source | drop | permit | reset } [ capture | logging ] *

undo action

【缺省情况】

自定义特征的动作是permit

【视图】

自定义特征视图

【缺省用户角色】

network-admin

context-admin

【参数】

block-source表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。

drop 表示丢弃报文。

permit表示放行报文。

reset表示通过发送TCP的reset报文使TCP连接断开。

logging:表示记录日志。

capture:表示捕获符合特征的报文。

【使用指导】

非缺省vSystem不支持本命令。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置自定义特征动作为丢弃。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] action drop

1.1.3  attack-category

attack-category命令用来配置筛选IPS特征的攻击分类属性。

undo attack-category命令用来删除筛选IPS特征的攻击分类属性。

【命令】

attack-category { category [ subcategory ] | all}

undo attack-category { category [ subcategory | all] }

【缺省情况】

未配置攻击分类属性筛选条件。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

category:表示设备中已有的攻击分类名称。

subcategory:表示设备中已有攻击分类中的子分类名称。若不指定本参数,则表示指定攻击分类中的所有子分类。

all:表示设备中已有的所有攻击分类。

【使用指导】

可通过配置攻击分类属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个攻击分类。只要符合其中一个,具有该攻击分类的特征将会被筛选出来。

【举例】

# 在名称为test的IPS策略中,配置筛选IPS特征的攻击分类为Vulnerability攻击分类中的SQLInjection分类。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] attack-category Vulnerability SQLInjection

1.1.4  description(ips user-defined signature view)

description命令用来配置自定义特征的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未配置自定义特征的描述信息。

【视图】

自定义特征视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:表示自定义特征的描述信息,为1~127个字符的字符串,不区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

通过合理编写描述信息,便于管理员快速理解和识别自定义特征的作用,有利于后期维护。

【举例】

# 在IPS自定义特征mysignature中,配置描述信息为mydescription。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] description mydescription

1.1.5  description(ips whitelist view)

description命令用来配置IPS白名单表项的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未配置IPS白名单表项的描述信息。

【视图】

IPS白名单表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:IPS白名单表项的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

通过合理编写描述信息,便于管理员快速理解和识别IPS白名单表项的作用,有利于后期维护。

【举例】

# 配置编号为1的IPS白名单表项描述信息为News information。

<Sysname> system-view

[Sysname] ips whitelist 1

[Sysname-ips-whitelist-1] description News information

1.1.6  destination-address

destination-address命令配置自定义特征规则匹配的目的IP地址。

undo destination-address命令用来删除自定义特征规则匹配的目的IP地址。

【命令】

destination-address ip ip-address

undo destination-address

【缺省情况】

未配置自定义特征规则匹配的目的IP地址。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:表示自定义特征匹配的目的IPv4地址。

【使用指导】

非缺省vSystem不支持本命令。

多次执行本命令,最后一次执行的命令行生效。

【举例】

# 在IPS自定义特征mysignature中,配置编号为1的关键字类型规则,配置自定义特征规则匹配的目的IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1] destination-address ip 10.1.1.1

1.1.7  destination-port

destination-port命令用来配置自定义特征规则匹配的目的端口。

undo destination-port命令用来恢复缺省情况。

【命令】

destination-port start-port [ to end-port]

undo destination-port

【缺省情况】

未配置自定义特征规则匹配的目的端口。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

start-port:表示目的端口的起始端口号,取值范围为1~65535。

to end-port:指定结束目的端口号。end-port,表示目的端口的结束端口号,取值范围为1~65535。若不指定本参数,则表示仅匹配起始端口号。

【使用指导】

非缺省vSystem不支持本命令。

本命令用于配置指定的四层传输协议的端口号。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置编号为1的关键字类型规则,配置自定义特征规则匹配的目的端口范围为1~3550。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1] destination-port 1 to 3550

1.1.8  detection-integer

detection-integer命令用来配置数值类型自定义特征规则的检查项。

undo detection-integer命令用来删除数值类型自定义特征规则的检查项。

【命令】

detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number

undo detection-integer

【缺省情况】

未配置数值类型自定义特征规则的检查项。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

field-name:表示待检测的协议字段。field-name表示待检测的协议字段名称,不区分大小写,需要通过输入“?”获取支持的协议字段。

match-type { eq | gt | gt-eq | lt | lt-eq | nequ }:表示检查项和待检测数值的匹配方式。

·     eq:等于。

·     gt:大于。

·     gt-eq:大于等于。

·     lt:小于。

·     lt-eq:小于等于。

·     nequ:不等于。

number:表示检查项要比较的数值,取值范围为1~4294967295。

【使用指导】

非缺省vSystem不支持本命令。

一条规则可以配多个检查项,检查项之间为逻辑与的关系,匹配顺序为配置顺序。配置检查项匹配的协议字段时,建议依据协议中各字段的先后顺序进行配置,否则可能会影响设备的检测结果。

【举例】

# 在IPS自定义特征mysignature中,新建编号为1的规则,规则的四层传输协议为UDP、五层传输协议为SIP、匹配类型为数值。新建检查项,协议字段为SIP.Content-Length、匹配方式为等于、检测内容为50。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol UDP l5-protocol SIP pattern-type integer

[Sysname-ips-signature-mysignature-rule-1] detection-integer field SIP.Content-Length match-type eq 50

1.1.9  detection-keyword

detection-keyword命令用来配置关键字类型自定义特征规则的检查项。

undo detection-keyword命令用来删除关键字类型自定义特征规则的检查项。

【命令】

detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]

undo detection-keyword detection-id

【缺省情况】

未配置关键字类型自定义特征规则的检查项。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

detection-id:表示检查项的ID,取值范围为1~10。

field field-name:表示待检测的协议字段。field-name表示协议字段名称,不区分大小写。需要通过输入“?”获取支持的协议字段。

match-type { exclude | include }:表示检查项和关键字的匹配方式。

·     include:包含。

·     exclude:不包含。

hex hex-string:表示用来匹配的十六进制字符内容,hex-string表示匹配内容,为8~254个字符的字符串,且必须输入偶数个字符,输入参数必须在两个竖杠“|”之间,仅支持输入“0-9、A-F、a-f”,区分大小写,例如|1234f5b6|。

regex regex-pattern:表示用来匹配的正则表达式,为3~255个字符的字符串,区分大小写,只能以字母、数字、下划线开头,不能以特殊符号开头,支持特殊字符配置,且必须包含连续的3个非通配符。

text text-string:表示用来匹配的文本内容,为3~255个字符的字符串,不区分大小写。

offset offset-value:表示检查项的偏移量,从协议字段起始位置开始偏移的长度。取值范围为1~65535,单位为字节。若不配置该参数,则表示从协议字段的起始位置开始对检查项进行检测。

depth depth-value:表示检查项的检测深度,从检查项的起始位置开始,检测的长度。取值范围为3~65535,单位为字节。若不配置该参数,则表示检查项对整个协议字段进行检测。

relative-offset relative-offset-value:表示当前检查项与上一个检查项之间的相对偏移量,取值范围为-32767~-1,1~32767,单位为字节。从上一个检查项的检测结束位置开始偏移。如果取值为正数,则表示向后偏移;如果取值为负数,则表示向前偏移。

relative-depth relative-depth-value:表示检查项的检测深度,从检测的起始位置开始检测的长度,取值范围为3~65535,单位为字节。

【使用指导】

非缺省vSystem不支持本命令。

本命令仅在配置触发检查项之后才可配置。

一条规则可以配多个检查项,检查项之间为逻辑与的关系,匹配顺序为配置顺序。

检查项仅检测指定协议字段范围内的数据,可使用偏移量、检测深度和相对偏移量、相对检测深度两组参数中的任意一组精确定位检测的起始和终止位置。

配置检查项匹配的协议字段时,建议依据HTTP协议中各协议字段顺序进行配置,否则可能会影响设备的检测结果。

【举例】

# 在IPS自定义特征mysignature中,新建编号为1的规则,规则的四层传输协议为tcp、五层传输协议为HTTP、匹配类型为关键字类型。新建配置编号为1的检查项,协议字段为http.host、匹配方式为包含、检测内容为文本abc、偏移量为10字节、检测深度为50字节。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1] detection-keyword 1 field http.host match-type include text abc offset 10 depth 50

【相关命令】

·     trigger

1.1.10  direction

direction命令用来配置自定义特征的检测方向。

undo direction命令用来恢复缺省情况。

【命令】

direction { any | to-client | to-server }

undo direction

【缺省情况】

自定义特征的检测方向是any

【视图】

自定义特征视图

【缺省用户角色】

network-admin

context-admin

【参数】

any:表示发往服务器和客户端的两个方向。

to-client:表示发往客户端的方向。

to-server:表示发往服务器的方向。

【使用指导】

非缺省vSystem不支持本命令。

不支持通过多次执行本命令修改自定义特征的检测方向,如需修改检测方向,请先执行undo direction命令。执行undo命令后,将删除该特征下的所有规则。

【举例】

# 在IPS自定义特征mysignature中,配置自定义特征的检测方向为发往客户端的方向。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] direction to-client

1.1.11  display ips policy

display ips policy命令用来显示IPS策略信息。

【命令】

display ips policy policy-name

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 显示IPS策略aa的策略信息。

<Sysname> display ips policy aa

Total signatures        :10929     failed:0

 Pre-defined  signatures:10925     failed:0

 Snort  signatures      :0         failed:0

User-config signatures:0         failed:0

 

 

Flag:

  B: Block-Source  D: Drop  P: Permit  Rs: Reset  Rd: Redirect  C: Capture  L: L

ogging

  Pre: predefined   Snort: Snort  User: user-config

 

Type RuleID    Target          SubTarget       Severity Direction Category

  SubCategory     Status  Action

Pre  1         OperationSystem LinuxUnix       High     Server    Vulnerability

  RemoteCodeExecu Enable  RsL

Pre  2         OperationSystem LinuxUnix       High     Server    Vulnerability

  MemoryCorruptio Enable  RsL

Pre  4         OfficeSoftware  MicrosoftOffice High     Any       Vulnerability

  Overflow        Enable  RsL

Pre  5         OfficeSoftware  MicrosoftOffice High     Any       Vulnerability

  MemoryCorruptio Enable  RsL

Pre  6         Browser         InternetExplore High     Any       Vulnerability

  MemoryCorruptio Enable  RsL

Pre  7         Browser         InternetExplore High     Any       Vulnerability

  MemoryCorruptio Enable  RsL

Pre  8         ApplicationSoft MediaPlayer     High     Any       Vulnerability

  RemoteCodeExecu Enable  RsL

Pre  9         ApplicationSoft Security        High     Server    Vulnerability

  Overflow        Enable  DL

Pre  10        Browser         InternetExplore High     Server    Vulnerability

  InsecureLibrary Enable  RsL

Pre  11        Browser         InternetExplore High     Any       InformationDis

c SensitiveInfo   Enable  RsL

Pre  12        OfficeSoftware  MicrosoftOffice Critical Any       Vulnerability

  RemoteCodeExecu Enable  RsL

Pre  13        OfficeSoftware  MicrosoftOffice High     Any       Vulnerability

  MemoryCorruptio Enable  RsL

Pre  14        ApplicationSoft IM              High     Server    Vulnerability

  InsecureLibrary Enable  RsL

Pre  15        Browser         InternetExplore High     Any       Vulnerability

  RemoteCodeExecu Enable  RsL

---- More ----

表1-1 display ips policy命令显示信息描述表

字段

描述

Total signatures

IPS特征总数

Pre-defined signatures

预定义IPS特征数目

User-config signatures

用户手工配置的自定义特征数目

Snort signatures

用户自定义Snort特征数目

Type

IPS特征的类型,包括如下取值:

·     Pre:表示预定义特征

·     User:手工配置的自定义特征

·     Snort:从Snort文件中导入的Snort特征

RuleID

IPS特征编号

Target

攻击对象

SubTarget

攻击子对象

Severity

IPS特征的攻击严重程度属性,从低到高分为四级:Low、Medium、High、Critical

Direction

IPS特征的匹配方向,包括如下取值:

·     Any:表示从服务器到客户端方向和从客户端到服务器方向上的对象

·     Client:表示从服务器到客户端方向上的对象

·     Server:表示从客户端到服务器方向上的对象

Category

IPS特征的攻击类别名称

Subcategory

IPS特征的攻击分类中的子分类名称

Status

IPS特征的状态,包括如下取值:

·     Enabled:表示此特征已生效

·     Disabled:表示此特征未生效

Action

对报文的处理动作,包括如下取值:

·     Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单

·     Drop:表示丢弃符合特征的报文

·     Permit:表示允许符合特征的报文通过

·     Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开

·     Redirect:表示重定向符合特征的报文

·     Capture:表示捕获符合特征的报文

·     Logging:表示对符合特征的报文生成日志

 

【相关命令】

·     ips policy

1.1.12  display ips signature

display ips signature命令用来显示IPS特征简要信息。

【命令】

display ips signature [ pre-defined | user-defined { snort | user-config } ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] *

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

pre-defined:显示预定义IPS特征。

user-defined:显示自定义IPS特征。

snort:表示从Snort文件导入的自定义特征。

user-config:表示用户手工配置的自定义特征。

direction { any | to-client | to-server }:显示符合指定方向属性的IPS特征。如果未指定此参数,则显示所有方向上的IPS特征。

·     to-server:表示一个会话的客户端到服务器的方向。

·     to-client:表示一个会话的服务器到客户端的方向。

·     any:表示一个会话的两个方向。

category category-name:显示符合指定攻击类别属性的IPS特征,category-name是攻击类型的名称,可通过输入“?”获取支持的攻击类型名称。如果未指定此参数,则显示所有攻击类型的IPS特征。

fidelity { high | low | medium }:显示符合指定可信度属性的IPS特征。如果未指定此参数,则显示所有可信度的IPS特征。可信度是指此IPS特征识别攻击行为准确度,且从低到高分为如下三个级别:

·     low:可信度比较低。

·     medium:可信度中等。

·     high:可信度比较高。

protocol { icmp | ip | tcp | udp }:显示符合指定协议属性的IPS特征,协议ICMP、IP、TCP和UDP协议。如果未指定此参数,则显示所有协议的IPS特征。

severity { critical | high | low | medium }:显示符合指定严重级别属性的IPS特征。如果未指定此参数,则显示所有严重级别的IPS特征。严重级别是指匹配此IPS特征的网络攻击造成危害的严重程度,且从低到高分为四个级别:

·     low:攻击严重程度比较低。

·     medium:攻击严重程度中等。

·     high:攻击严重程度比较高。

·     critical:攻击严重程度非常高。

【使用指导】

若不指定任何参数,则显示所有IPS特征。

【举例】

# 显示可信度为中等的所有TCP协议的预定义IPS特征。

<Sysname> display ips signature pre-defined protocol tcp fidelity medium

Pre-defined  signatures:465       failed:0

 

Flag:

  Pre: predefined   User: user-config   Snort: Snort

 

Type Sig-ID    Direction Severity Fidelity Category      Protocol   Sig-Name

Pre  1         To-server High     Medium   Vulnerability TCP        -

Pre  2         To-server High     Medium   Vulnerability TCP        -

Pre  3         To-client High     Medium   Vulnerability TCP        -

Pre  4         To-client High     Medium   Vulnerability TCP        -

Pre  5         To-client High     Medium   Vulnerability TCP        -

Pre  6         To-client High     Medium   Vulnerability TCP        -

Pre  7         To-client High     Medium   Vulnerability TCP        -

Pre  8         To-client High     Medium   Vulnerability TCP        -

Pre  10        To-server High     Medium   Vulnerability TCP        -

Pre  11        To-client High     Medium   Vulnerability TCP        -

Pre  12        To-client Critical Medium   Vulnerability TCP        -

Pre  13        To-client High     Medium   Vulnerability TCP        -

Pre  14        To-server High     Medium   Vulnerability TCP        -

Pre  15        To-client High     Medium   Vulnerability TCP        -

Pre  16        To-client Critical Medium   Vulnerability TCP        -

Pre  17        To-client High     Medium   Vulnerability TCP        -

Pre  18        To-client High     Medium   Vulnerability TCP        -

---- More ----

# 显示攻击严重程度为比较高的所有UDP协议的IPS特征。

<Sysname> display ips signature severity high protocol udp

Total signatures        :7         failed:0

 Pre-defined  signatures total:7         failed:0

 User-config  signatures total:0         failed:0

 snort signatures total:1         failed:1

 

Flag:

  Pre: predefined   User: user-defined   Snort: Snort

 

Type Sig-ID    Direction Severity Fidelity Category      Protocol   Sig-Name

Pre  9         To-server High     Medium   Vulnerability UDP        -

Pre  45        To-server High     Medium   Vulnerability UDP        -

Pre  187       Any       High     Medium   Vulnerability UDP        -

Pre  196       Any       High     Medium   Vulnerability UDP        -

Pre  223       To-server High     Medium   Vulnerability UDP        -

Pre  234       To-client High     Medium   Vulnerability UDP        -

Pre  338       To-client High     Medium   Vulnerability UDP        -

---- More ----

表1-2 display ips signature命令显示信息描述表

字段

描述

Total signatures

IPS特征总数

failed

Snort规则导入特征库失败和特征库加载失败的特征总数

Pre-defined signatures total

预定义IPS特征数目

User-config  signatures total

用户手工配置的自定义特征数目

Snort signatures total

Snort文件导入的Snort特征数目

Type

IPS特征的类型,包括如下取值:

·     Pre:表示预定义特征

·     User:表示用户手工配置的自定义特征

·     Snort:表示从Snort文件中导入的Snort特征

Sig-ID

IPS特征的编号

Direction

IPS特征的方向属性,包括如下取值:

·     any:表示一个会话的两个方向

·     To-server:一个会话的客户端到服务器方向

·     To-client:一个会话的服务器到客户端方向

Severity

IPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical

Fidelity

IPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High

Category

IPS特征的攻击类别名称

Protocol

IPS特征的协议属性

Sig-Name

IPS特征的名称

 

1.1.13  display ips signature library

display ips signature library命令用来显示IPS特征库信息。

【命令】

display ips signature library

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【举例】

# 显示IPS特征库信息。

<Sysname> display ips signature library

IPS signature library information:

Type     SigVersion         ReleaseTime               Size

Current  1.02               Fri Sep 13 09:05:35 2014  71594

Last     -                  -                         -

Factory  1.00               Fri Sep 11 09:05:35 2014  71394

表1-3 display ips signature library命令显示信息描述表

字段

描述

Type

IPS特征库版本,包括如下取值:

·     Current:表示当前版本

·     Last:表示上一版本

·     Factory:表示出厂版本

SigVersion

IPS特征库版本号

ReleaseTime

IPS特征库发布时间

Size

IPS特征库文件大小,单位是Bytes

 

1.1.14  display ips signature pre-defined

display ips signature pre-defined命令用来显示IPS预定义特征的详细信息。

【命令】

display ips signature pre-defined signature-id

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

signature-id:指定IPS特征的编号,取值范围为1~536870911。

【举例】

# 显示编号为1的预定义IPS特征的详细信息。

<Sysname> display ips signature pre-defined 1

 Type        : Pre-defined

 Signature ID: 1

 Status      : Enabled

 Action      : Reset & Logging

 Name        : GNU_Bash_CVE-2014-6271_Remote_Code_Execution_Vulnerability

 Protocol    : TCP

 Severity    : High

 Fidelity    : Medium

 Direction   : To-server

 Category    : Vulnerability

 Reference   : CVE-2014-6271;

 Description : GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka \"ShellShock.\" NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.

表1-4 display ips signature pre-defined命令显示信息描述表

字段

描述

Type

IPS特征的类型,包括如下取值:

·     Pre:表示预定义特征

·     User:表示自定义特征

Signature ID

IPS特征的编号

Status

IPS特征的状态,包括如下取值:

·     Enabled:表示此特征已生效

·     Disabled:表示此特未生效

Action

对报文的处理动作,包括如下取值:

·     Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单

·     Drop:表示丢弃符合特征的报文

·     Permit:表示允许符合特征的报文通过

·     Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开

·     Capture:表示捕获符合特征的报文

·     Logging:表示对符合特征的报文生成日志

Name

IPS特征的名称

Protocol

IPS特征的协议属性

Severity

IPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical

Fidelity

IPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High

Direction

IPS特征的方向属性,包括如下取值:

·     Any:表示一个会话的两个方向

·     To-server:一个会话的客户端到服务器方向

·     To-client:一个会话的服务器到客户端方向

Category

IPS特征的攻击类别名称

Reference

IPS特征的参考信息

Description

IPS特征的描述信息

 

1.1.15  display ips signature user-defined

display ips signature user-defined命令用来显示IPS自定义特征的详细信息。

【命令】

display ips signature user-defined { snort | user-config } signature-id

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

snort:表示从Snort文件导入的自定义特征。

user-config:表示用户手工配置的自定义特征。

signature-id:表示IPS自定义特征的ID,其中,Snort特征的取值范围为536870913~1073741823;用户手工配置的自定义特征的取值范围为1073741840~1342177264。

【举例】

# 显示编号为536870914的snort自定义特征的详细信息。

<Sysname> display ips signature user-defined snort 536870914

 Type        : Snort

 Signature ID: 536870914

 Status      : Enabled

 Action      : drop

 Name        : Snort name

 Protocol    : TCP

 Severity    : High

 Fidelity    : Medium

 Direction   : To-server

 Category    : Vulnerability

 Reference   : CVE-2014-6271;

 Description : Some description.

表1-5 display ips signature user-defined snort命令显示信息描述表

字段

描述

Type

特征的类型,取值为Snort,表示从Snort文件导入的自定义特征

Signature ID

特征的编号

Status

特征的状态,取值包括:

·     Enabled:表示生效状态

·     Disabled:表示失效状态

Action

报文与特征匹配成功后对该报文执行的动作,取值包括:

·     Permit:允许报文通过

·     Drop:丢弃报文

·     Reset:表示通过发送TCP的reset报文从而使TCP或UDP连接断开

·     Block-source:阻断报文

·     Logging:生成报文日志

·     Capture:捕获报文

Name

特征的名称

Protocol

特征匹配的协议

Severity

特征的严重程度,从低到高分为四级:Low、Medium、High、Critical

Fidelity

IPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High

Direction

特征匹配的方向,取值包括:

·     Any:双向

·     To-client:服务器到客户端的方向

·     To-server:客户端到服务器的方向

Category

特征的攻击分类

Reference

特征的相关信息

Description

特征的描述信息

 

# 显示编号为1073741840的用户手工配置的自定义特征的详细信息。

<Sysname> display ips signature user-defined user-config 1073741840

 Type: User-config

 Signature ID: 1073741840

 Signature name: lkx

 Status:       Enable

 Action:       Permit

 Severity:     Low

 Fidelity:     High

 Direction:    Any

 Rulelogic:    And

 Total rule:   1

 

  Rule ID:     1

   L4-protocol: TCP

   L5-protocol: HTTP

   Match-type: keyword

   Destination-address: 1.1.1.1

   Destination-port: 50-60

   Trigger entry:

    Field: HTTP.Accept

    Value: 12ljlj

   Detection entry list:

    Entry ID   Field                            Match-type Content-type Content

 

    1          HTTP.Accept                      exclude    text       ljljl

 

---- More --

表1-6 display ips signature user-defined user-config命令显示信息描述表

字段

描述

Type

特征的类型,取值为User-config,表示用户手工配置的自定义特征

Signature ID

特征的编号

Signature name

特征的名字

Status

特征的状态,取值包括:

·     Enabled:表示生效状态

·     Disabled:表示失效状态

Action

报文与特征匹配成功后对该报文执行的动作,取值包括:

·     Permit:允许报文通过

·     Drop:丢弃报文

·     Reset:表示通过发送TCP的reset报文从而使TCP或UDP连接断开

·     Block-source:阻断报文

·     Logging:生成报文日志

·     Capture:捕获报文

Severity

特征的严重程度,从低到高分为四级:Low、Medium、High、Critical

Fidelity

特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High

Direction

特征匹配的方向,取值包括:

·     Any:双向

·     To-client:服务器到客户端的方向

·     To-server:客户端到服务器的方向

Rulelogic

特征下规则间的逻辑关系

Description

特征的描述信息

Total rule

特征下的规则数量

Rule ID

特征下的规则编号

L4-protocol

特征匹配的四层传输协议

L5-protocol

特征匹配的五层传输协议

Match type

特征匹配内容的类型,取值包括:

·     Keyword:关键字类型

·     Integer:数值类型

Source address

特征匹配的源IP地址

Source port

特征匹配的源端口

Destination address

特征匹配的目的IP地址

Destination port

特征匹配的目的端口

Trigger entry

特征的触发检查项

Field

特征规则触发检查项检测的协议字段

Value

特征规则触发检查项检测的内容

Offset

特征规则触发检查项的绝对偏移量

Depth

特征规则触发检查项的检测深度

Detection entry list

特征规则的检查项列表

Entry ID

特征规则的检查项编号

Field

特征规则检查项的协议字段

Match type

特征规则检查项的匹配方式

Content-type

特征规则检查项的检测内容的类型,取值包括:

·     hex:表示十六进制字符

·     regex:表示正则表达式

·     text:表示文本

Content

特征规则检查项的检查内容

 

1.1.16  display ips signature user-defined parse-failed

display ips signature user-defined parse-failed命令用来显示IPS自定义特征解析失败的信息。

【命令】

display ips signature user-defined parse-failed

【视图】

任意视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【举例】

# 显示IPS自定义特征解析失败的信息。

<Sysname> display ips signature user-defined parse-failed

LineNo  SID         Information

1       None        Error: Invalid actions.

                    Tip: Only actions {alert|drop|pass|reject|sdrop|log} are supported

2       1010082     Error: Invalid signature ID.

                    Tip: The signature ID must be in the range of 1 to 536870912

3       1010083     Error: Invalid protocol.

                    Tip: Only protocols {tcp|udp|icmp|ip} are supported

4       1010084     Error: Invalid direction.

                    Tip: Only directions {'<>'|'->'} are supported

 

表1-7 display ips signature user-defined parse-failed命令显示信息描述表

字段

描述

LineNo

Snort规则文件中的行号

SID

自定义特征的编号

Information

自定义特征解析失败的信息,包括如下取值:

·     Error:表示自定义特征解析失败的原因

·     Tip:表示Snort规则文件内容的修改建议

 

【相关命令】

·     ips signature import snort

1.1.17  email parameter-profile

email parameter-profile命令用来引用邮件动作参数profile。

undo email parameter-profile命令用来取消引用邮件动作参数profile。

【命令】

email parameter-profile parameter-profile-name

undo email parameter-profile

【缺省情况】

未引用邮件动作参数profile。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

parameter-profile-name:表示邮件动作参数profile名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

本命令仅在去使能全局动作参数后生效(即执行undo global-parameter enable命令)。

配置日志输出方式为邮件后(即配置log email命令),需要配置本命令为邮件动作提供执行参数。

本命令引用的邮件动作参数profile由应用层检测引擎动作参数profile提供。有关应用层检测引擎动作参数profile的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS策略policy1中引用名为email1的邮件动作参数profile。

<Sysname> system-view

[Sysname] ips policy policy1

[Sysname-ips-policy-policy1] email parameter-profile email1

【相关命令】

·     log

·     global-parameter enable

1.1.18  email severity-level

email severity-level命令用来配置允许以邮件方式输出日志的最低严重级别。

undo email severity-level命令用来恢复缺省情况。

【命令】

email severity-level { critical | high | low | medium }

undo email severity-level

【缺省情况】

允许以邮件方式输出日志的最低严重级别为low

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

critical:表示严重级别最高。

high:表示严重级别高。

low:表示严重级别低。

medium:表示严重级别一般。

【使用指导】

非缺省vSystem不支持本命令。

本功能用于将IPS特征的严重级别作为过滤条件,仅当报文命中的IPS特征的严重级别不低于本功能配置的最低严重级别时,设备才会将生成的日志以邮件方式发送。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为test的IPS策略中,配置允许以邮件方式输出日志的最低严重级别为high。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] email severity-level high

1.1.19  global-parameter enable

global-parameter enable命令用来使能全局动作参数。

undo global-parameter enable命令用来去使能全局动作参数。

【命令】

global-parameter enable

undo global-parameter enable

【缺省情况】

全局动作参数处于使能状态。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

IPS动作中,源阻断、捕获和日志仅在配置参数后生效,参数可通过如下方式配置:

·     配置全局动作参数:通过在系统视图下配置IPS引用应用层检测引擎动作参数profile实现,该方式配置的动作参数对所有IPS策略均生效。

·     配置策略动作参数:直接在各个IPS策略视图下单独配置各动作的执行参数。目前仅支持配置日志动作参数。

如果IPS策略视图下既配置了全局动作参数,又配置了策略动作参数,则以全局动作参数为准。

如果需要使策略动作参数生效,则必须保证全局动作参数处于未使能状态。

建议在完成全局动作参数的配置之后,再使能全局动作参数。

【举例】

# 在名称为policy1的IPS策略中使用全局动作参数。

<Sysname> system-view

[Sysname] ips policy policy1

[Sysname-ips-policy-policy1] global-parameter enable

【相关命令】

·     email parameter-profile

·     ips parameter-profile

·     log

1.1.20  http-method

http-method命令用来配置自定义特征规则匹配的HTTP报文请求方法。

undo http-method命令删除自定义特征规则匹配的HTTP报文的请求方法。

【命令】

http-method method-name

undo http-method

【缺省情况】

未配置自定义特征规则匹配的HTTP报文的请求方法。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

method-name:HTTP报文的请求方法,不区分大小写,如:GET、POST等。需要通过输入“?”获取支持的请求方法。

【使用指导】

非缺省vSystem不支持本命令。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置编号为1的关键字类型规则,配置自定义特征规则匹配的HTTP报文的请求方法为GET。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] direction to-server

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1] http-method get

1.1.21  ips apply policy

ips apply policy命令用来在DPI应用profile中引用IPS策略。

undo ips apply policy命令用来删除引用的IPS策略。

【命令】

ips apply policy policy-name mode { alert | protect }

undo ips apply policy

【缺省情况】

DPI应用profile中未引用IPS策略。

【视图】

DPI应用profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。

mode:表示IPS策略的模式。

alert:告警模式,表示报文匹配上该IPS策略中的特征后,仅可以生成日志或捕获报文,但其他动作均不能生效。

protect:保护模式,表示报文匹配上该IPS策略中的特征后,设备按照特征的动作对该报文进行处理。

【使用指导】

IPS策略仅在被DPI应用profile引用后生效。一个DPI应用profile视图下只能引用一个IPS策略。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为sec的DPI应用profile下引用IPS策略ips1,且配置IPS模式为保护模式。

<Sysname> system-view

[Sysname] app-profile sec

[Sysname-app-profile-sec] ips apply policy ips1 mode protect

【相关命令】

·     app-profile(DPI深度安全命令参考/应用层检测引擎)

·     ips policy

1.1.22  ips capture-cache

ips capture-cache命令用来配置IPS捕获报文时缓存的报文数量。

undo ips capture-cache命令用来恢复缺省情况。

【命令】

ips capture-cache number

undo ips capture-cache

【缺省情况】

缓存的报文数量为1,即仅缓存命中报文。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:表示缓存的报文数量,取值范围为1~10。当number取值为1时,设备仅缓存命中报文。

【使用指导】

非缺省vSystem不支持本命令。

当IPS捕获报文时,会缓存命中报文及其前后的报文,方便用户分析威胁信息。当报文缓存结束后,设备会将所有缓存报文写入IPS捕获文件中。

仅当设备上正确安装了硬盘或U盘后,用户才可以到Web界面的“威胁日志”页面中下载捕获文件。

【举例】

# 配置IPS捕获报文时缓存的报文数量为5。

<Sysname> system-view

[Sysname] ips capture-cache 5

【相关命令】

·     inspect capture parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     signature override

·     signature override all

1.1.23  ips parameter-profile

ips { block-source | capture | email | logging | redirect } parameter-profile命令用来配置IPS动作引用应用层检测引擎动作参数profile。

undo ips { block-source | capture | email | logging | redirect } parameter-profile命令用来取消配置IPS动作引用应用层检测引擎动作参数profile。

【命令】

ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name

undo ips { block-source | capture | email | logging | redirect } parameter-profile

【缺省情况】

IPS动作未引用应用层检测引擎动作参数profile。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

block-source:表示设置IPS源阻断动作的参数。

capture:表示设置IPS捕获动作的参数。非缺省vSystem不支持本命令。

email:表示设置IPS邮件动作的参数。非缺省vSystem不支持本命令。

logging:表示设置IPS日志动作的参数。

redirect:表示设置IPS重定向动作的参数。

parameter-profile parameter-name:指定IPS动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

每类IPS动作的具体执行参数由应用层检测引擎动作参数profile来定义,可通过引用各动作参数proflle为IPS动作提供执行参数。有关应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

如果IPS动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。

【举例】

# 创建名称为ips1的应用层检测引擎源阻断动作参数profile,配置其阻断源IP地址的时长为1111秒。

<Sysname> system-view

[Sysname] inspect block-source parameter-profile ips1

[Sysname-inspect-block-source-ips1] block-period 1111

[Sysname-inspect-block-source-ips1] quit

# 配置IPS源阻断动作引用名称为ips1的应用层检测引擎源阻断动作参数profile。

[Sysname] ips block-source parameter-profile ips1

【相关命令】

·     inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect capture parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect email parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)

1.1.24  ips policy

ips policy命令用来创建IPS策略,并进入IPS策略视图。如果指定的IPS策略已经存在,则直接进入IPS策略视图。

undo ips policy命令用来删除指定的IPS策略。

【命令】

ips policy policy-name

undo ips policy policy-name

【缺省情况】

存在IPS策略,名称为default。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

设备上存在一个名称为default的缺省IPS策略,缺省IPS策略和自定义IPS策略都使用当前系统中的所有IPS特征,新增IPS特征会自动添加到所有策略下。但是缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改。

【举例】

# 创建一个名称为ips1的IPS策略,并进入IPS策略视图。

<Sysname> system-view

[Sysname] ips policy ips1

[Sysname-ips-policy-ips1]

1.1.25  ips signature auto-update

ips signature auto-update命令用来开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图。

undo ips signature auto-update命令用来关闭定期自动在线升级IPS特征库功能。

【命令】

ips signature auto-update

undo ips signature auto-update

【缺省情况】

定期自动在线升级IPS特征库功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的IPS特征库进行升级。

【举例】

# 开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图。

<Sysname> system-view

[Sysname] ips signature auto-update

[Sysname-ips-autoupdate]

【相关命令】

·     update schedule

1.1.26  ips signature auto-update-now

ips signature auto-update-now命令用来立即自动在线升级IPS特征库。

【命令】

ips signature auto-update-now

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

执行此命令后,将立即自动升级设备上的IPS特征库,且会备份当前的IPS特征库文件。此命令的生效与否,与是否开启了定期自动升级IPS特征库功能无关。

当管理员发现H3C官方网站上的特征库服务专区中的IPS特征库有更新时,可以选择立即自动在线升级方式来及时升级IPS特征库版本。

【举例】

# 立即自动在线升级IPS特征库版本。

<Sysname> system-view

[Sysname] ips signature auto-update-now

1.1.27  ips signature import snort

ips signature import snort命令用来导入Snort特征。

【命令】

ips signature import snort file-path

【缺省情况】

不存在Snort特征。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

file-path:Snort格式特征库文件的URL,为1~255个字符的字符串。

【使用指导】

当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征。导入的IPS特征文件内容会自动覆盖系统中所有的自定义IPS特征。可通过display ips signature user-defined命令查看导入的IPS特征信息。

管理员可以采用如下几种方式导入Snort特征库文件。

·     本地方式:使用本地保存的Snort特征库文件导入。

·     FTP/TFTP方式:通过FTP或TFTP方式下载远程服务器上保存的Snort特征库文件,并导入到系统中。

参数file-path的取值与Snort特征库文件导入的操作方式有关。采用本地方式时参数file-path取值请参见表1-8;采用FTP/TFTP方式时参数file-path取值请参见表1-9

表1-8 采用本地方式时参数file-path取值说明表

导入方式

参数file-path取值

说明

Snort特征库文件的存储位置与当前工作路径一致

filename

可以执行pwd命令查看当前工作路径

有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

Snort特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上

filename

需要先执行cd命令将工作路径切换至Snort特征库文件所在目录下

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

Snort特征库文件的存储位置与当前工作路径不在相同存储介质上

path/ filename

需要先执行cd命令将工作路径切换至Snort特征库文件所在存储介质的根目录下,再指定Snort特征库文件的相对路径

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-9 采用FTP/TFTP方式时参数file-path取值说明表

升级场景

参数file-path取值

说明

Snort特征库文件存储在开启FTP服务的远程服务器上

ftp://username:password@server/filename

username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名

当FTP用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”

Snort特征库文件存储在开启TFTP服务的远程服务器上

tftp://server/filename

server为TFTP服务器的IP地址或主机名

 

编辑Snort格式的IPS特征文件需要注意的是:

Snort文件需要遵循Snort公司的语法。

Snort规则的SID取值范围为1~536870911,若超出此范围,则规则无效。

如需增加Snort规则,则新增规则的SID不能与设备上旧Snort文件中任何规则的SID相同。

编辑Snort规则时,必须配置msg字段,否则IPS系统日志中威胁名称字段是空的。

当用户自定义Snort规则中的应用无法被识别时,报文无法成功匹配该规则。

【举例】

# 采用TFTP方式,将自定义Snort格式的IPS特征库文件导入设备生成自定义IPS特征,自定义Snort格式的IPS特征库文件的远程路径为tftp://192.168.0.1/snort.rules。

<Sysname> system-view

[Sysname] ips signature import snort tftp://192.168.0.1/snort.rules

【相关命令】

·     display ips signature user-defined

·     ips signature remove snort

1.1.28  ips signature remove snort

ips signature remove snort命令用来删除导入的所有Snort特征。

【命令】

ips signature remove snort

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【举例】

# 删除导入的所有Snort特征。

<Sysname> system-view

[Sysname] ips signature remove snort

【相关命令】

·     ips signature import snort

1.1.29  ips signature rollback

ips signature rollback命令用来回滚IPS特征库。

【命令】

ips signature rollback { factory | last }

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

factory:表示IPS特征库的出厂版本。

last:表示IPS特征库的上一版本。

【使用指导】

非缺省vSystem不支持本命令。

IPS特征库回滚是指将当前的IPS特征库版本回滚到指定的版本。如果管理员发现设备当前IPS特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前IPS特征库版本进行回滚。目前支持将设备中的IPS过滤特征库版本回滚到出厂版本和上一版本。

IPS特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前IPS特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

【举例】

# 配置IPS特征库回滚到上一版本。

<Sysname> system-view

[Sysname] ips signature rollback last

1.1.30  ips signature update

ips signature update命令用来手动离线升级IPS特征库。

【命令】

ips signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

override-current:表示覆盖当前版本的特征库文件。如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上。

file-path:指定特征库文件的路径,为1~255个字符的字符串。

vpn-instance vpn-instance-name:表示TFTP、FTP服务器所属的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示TFTP、FTP服务器位于公网中。

source:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址。如果不指定该参数,则表示使用系统根据路由表项查找到的出接口的地址。

ip ip-address:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv4地址。

ipv6 ip-address:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv6地址。

interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。

【使用指导】

非缺省vSystem不支持本命令。

如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级IPS特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的IPS特征库版本。

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的IPS特征库版本。

使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用主控板上,否则设备升级特征库会失败。(独立运行模式)

使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(IRF模式)

参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-10;FTP/TFTP升级时参数file-path取值请参见表1-11

表1-10 本地升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件的存储位置与当前工作路径一致

filename

可以执行pwd命令查看当前工作路径

有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上

filename

需要先执行cd命令将工作路径切换至特征库文件所在目录下

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不在相同存储介质上

path/ filename

需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-11 FTP/TFTP升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件存储在开启FTP服务的远程服务器上

ftp://username:password@server/filename

username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名

当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”

特征库文件存储在开启TFTP服务的远程服务器上

tftp://server/filename

server为TFTP服务器的IP地址或主机名

 

说明

当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

 

如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。

当同时配置了sourcevpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。

【举例】

# 配置手动离线升级IPS特征库,且采用TFTP方式,IPS特征库文件的远程路径为tftp://192.168.0.10/ips-1.0.2-en.dat。

<Sysname> system-view

[Sysname] ips signature update tftp://192.168.0.10/ips-1.0.2-en.dat

# 配置手动离线升级IPS特征库,且采用FTP方式,IPS特征库文件的远程路径为ftp://192.168.0.10/ips-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。

<Sysname> system-view

[Sysname] ips signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/ips-1.0.2-en.dat

# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/ips-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> system-view

[Sysname] ips signature update ips-1.0.23-en.dat

# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/dpi/ips-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> cd dpi

<Sysname> system-view

[Sysname] ips signature update ips-1.0.23-en.dat

# 配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfb0:/dpi/ips-1.0.23-en.dat,当前工作路径为cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] ips signature update dpi/ips-1.0.23-en.dat

1.1.31  ips signature update-log

ips signature update-log send-time命令用来开启IPS特征库更新日志记录功能并配置每日发送日志的时间。

undo ips signature update-log send-time命令用来关闭IPS特征库更新日志记录功能。

【命令】

ips signature update-log send-time time

undo ips signature update-log send-time

【缺省情况】

不发送IPS特征库更新日志。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

time:表示日志的发送时间,格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

非缺省vSystem不支持本命令。

配置本命令后,当IPS特征库升级或回滚成功时,设备将记录特征库变更的时间,并在每日按照配置的时间发送日志。

目前,仅支持快速输出IPS特征库更新日志,配置本命令后,还需要配置IPS快速输出日志时使用国家电网格式(即配置customlog format dpi ips sgcc命令)并允许设备向指定的日志主机发送IPS模块的日志(即配置customlog host命令)。有关快速日志输出功能的详细介绍,请参见“网络管理和监控命令参考”中的“快速日志输出”。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 开启IPS特征库更新日志记录功能并配置日志的发送时间为每天的12点12分。

<Sysname> system-view

[Sysname] ips signature update-log send-time 12:12

1.1.32  ips signature user-defined

ips signature user-defined命令用来创建IPS自定义特征,并进入IPS自定义特征视图。如果指定的IPS自定义特征已经存在,则直接进入IPS自定义特征视图。

undo ips signature user-defined命令用来删除IPS自定义特征。

【命令】

ips signature user-defined name signature-name

undo ips signature user-defined { all | name signature-name }

【缺省情况】

未配置IPS自定义特征。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

signature-name:表示IPS自定义特征的名称,为1~63个字符的字符串,不区分大小写。

all:表示所有IPS自定义特征。

【使用指导】

非缺省vSystem不支持本命令。

多次执行本命令,可配置多个IPS自定义特征。

删除自定义特征后,将删除该特征下的所有配置。

本命令创建的IPS自定义特征为用户手工配置的IPS自定义特征,与Snort文件导入的Snort特征无关。

【举例】

# 创建名为mysignature的IPS自定义特征。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature]

【相关命令】

·     display ips signature user-defined user-config

1.1.33  ips whitelist

ips whitelist命令用来创建并进入IPS白名单表项视图。如果指定的IPS白名单表项视图已存在,则直接进入IPS白名单表项视图。

undo ips whitelist命令用来删除指定的IPS白名单表项。

【命令】

ips whitelist entry-id

undo ips whitelist entry-id

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

entry-id:表示IPS白名单ID,取值范围为1~2048。

【使用指导】

非缺省vSystem不支持本命令。

当发现IPS日志存在误报的情况时,可在指定的IPS白名单表项视图下,将日志中提取到的IPS特征ID或URL加入IPS白名单。设备对匹配白名单的报文放行,可以减少误报。

【举例】

# 创建并进入编号为1的IPS白名单表项视图。

<Sysname> system-view

[Sysname] ips whitelist 1

[Sysname-ips-whitelist-1]

【相关命令】

·     ips whitelist activate

1.1.34  ips whitelist activate

ips whitelist activate命令用来激活IPS白名单配置。

【命令】

ips whitelist activate

【缺省情况】

IPS白名单被创建、修改和删除时不生效。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

当创建、修改和删除含有URL的IPS白名单后,需要执行本命令使其生效。

【举例】

# 激活IPS白名单配置。

<Sysname> system-view

[Sysname] ips whitelist activate

【相关命令】

·     url

1.1.35  ips whitelist enable

ips whitelist enable命令用来开启IPS白名单功能。

undo ips whitelist enable用来关闭IPS白名单功能。

【命令】

ips whitelist enable

undo ips whitelist enable

【缺省情况】

IPS白名单功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

当发现IPS日志存在误报的情况时,可通过开启白名单功能,将误报的IPS特征信息加入白名单。设备将放行匹配白名单的报文,降低误报率。

【举例】

# 开启IPS白名单功能。

<Sysname> system-view

[Sysname] ips whitelist enable

1.1.36  log

log命令用来配置IPS日志的输出方式。

undo log命令用来恢复缺省情况。

【命令】

log { email | syslog }

undo log { email | syslog }

【缺省情况】

IPS日志输出方式为syslog

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

email:表示将IPS日志以邮件的方式发送到指定的收件人邮箱。

syslog:表示将IPS日志输出到信息中心。

【使用指导】

非缺省vSystem不支持本命令。

本命令仅在去使能全局动作参数后生效(即执行undo global-parameter enable命令)。

配置日志输出方式为邮件时,可通过引用邮件动作参数profile为邮件动作提供执行参数。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS策略policy1中配置IPS日志的输出方式为email。

<Sysname> system-view

[Sysname] ips policy policy1

[Sysname-ips-policy-policy1] log email

【相关命令】

·     email parameter-profile

·     global-parameter enable

1.1.37  object-dir

object-dir命令用来配置筛选IPS特征的方向属性。

undo object-dir命令用来恢复缺省情况。

【命令】

object-dir { client | server } *

undo object-dir

【缺省情况】

未配置方向属性筛选条件。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

client:表示从服务器到客户端方向上的对象。

server:表示从客户端到服务器方向上的对象。

【使用指导】

可通过配置方向属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个方向,只要符合其中一个,具有该方向属性的特征将会被筛选出来。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为test的IPS策略中仅保护从服务器到客户端方向上的对象。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] object-dir client

1.1.38  override-current

override-current命令用来配置定期自动在线升级IPS特征库时覆盖当前的特征文件。

undo override-current命令用来恢复缺省情况。

【命令】

override-current

undo override-current

【缺省情况】

定期自动在线升级IPS特征库时不会覆盖当前的特征库文件,而是同时将当前的特征库文件备份为上一版本。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

可以通过开启此功能解决升级IPS特征库时设备内存不足的问题。在设备剩余内存充裕的情况下,不建议配置该功能,因为IPS特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本。

配置此功能后定期自动在线升级IPS特征库时不会将当前的特征库文件备份为上一版本。

【举例】

# 配置定期自动在线升级IPS特征库时覆盖当前的特征文件。

<Sysname> system-view

[Sysname] ips signature auto-update

[Sysname-ips-autoupdate] override-current

【相关命令】

·     ips signature auto-update

1.1.39  protect-target

protect-target命令用来配置筛选IPS特征的保护对象属性。

undo protect-target命令用来删除筛选IPS特征的保护对象属性。

【命令】

protect-target { target [ subtarget ] | all }

undo protect-target { target [ subtarget ] | all }

【缺省情况】

未配置保护对象属性筛选条件。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

target:表示保护对象分类名称。

subtarget:表示保护对象分类中的子对象名称。若不指定本参数,则表示保护某对象分类中的所有子对象。

all:表示所有保护对象。

【使用指导】

可通过配置保护对象属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个保护对象。只要符合其中一个,具有该保护对象属性的特征将会被筛选出来。

【举例】

# 在名称为test的IPS策略中,配置筛选IPS特征的保护对象为WebServer中WebLogic子对象。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] protect-target WebServer WebLogic

1.1.40  rule

rule命令用来创建IPS自定义特征规则,并进入IPS自定义特征规则视图。如果指定的IPS自定义特征规则已经存在,则直接进入IPS自定义特征规则视图。

undo rule命令用来删除IPS自定义特征规则。

【命令】

rule rule-id l4-protocol l4-protocol-name l5-protocol l5-protocol-name pattern-type { keyword | integer }

undo rule { rule-id | all }

【缺省情况】

未配置自定义特征规则。

【视图】

自定义特征视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:表示自定义特征规则的ID,取值范围为1~8。

l4-protocol l4-protocol-name:表示自定义特征匹配的四层传输协议,l4-protocol-name表示四层传输协议的名称。需要通过输入“?”获取支持的四层传输协议。

l5-protocol l5-protocol-name:表示自定义特征匹配的五层传输协议,l5-protocol-name表示五层传输协议的名称。需要通过输入“?”获取支持的五层传输协议。

pattern-type:表示自定义特征匹配内容的类型。

keyword:表示自定义特征的匹配内容为关键字类型。

integer:表示自定义特征的匹配内容为数值类型。

all:表示所有IPS自定义特征规则。

【使用指导】

非缺省vSystem不支持本命令。

一个自定义特征下可以配置多个规则作为特征的匹配条件,规则间可以配置逻辑关系(即通过rule-logic命令配置)。

不支持通过多次执行本命令修改同一ID的自定义特征规则的匹配类型、四层协议或五层协议,如需修改,请先执行undo rule命令。

【举例】

# 创建编号为1的IPS自定义特征规则,并配置自定特征匹配的四层协议为TCP、五层协议为HTTP、匹配内容为关键字类型。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1]

1.1.41  rule-logic

rule-logic命令用来配置自定义特征下规则间的逻辑关系。

undo rule-logic命令用来恢复缺省情况。

【命令】

rule-logic { and | or }

undo rule-logic

【缺省情况】

自定义特征下规则间的逻辑关系为or

【视图】

自定义特征视图

【缺省用户角色】

network-admin

context-admin

【参数】

and表示逻辑与关系。

or表示逻辑或关系。

【使用指导】

非缺省vSystem不支持本命令。

如果规则间是逻辑与的关系,报文需要匹配该自定义特征的所有规则才结束匹配过程;如果规则间是逻辑或的关系,一旦报文与某条规则匹配成功就结束此匹配过程。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置IPS自定义特征下规则间为逻辑与的关系。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule-logic and

1.1.42  severity-level(ips policy view)

severity-level命令用来配置筛选IPS特征的严重级别属性。

undo severity-level命令用来恢复缺省情况。

【命令】

severity-level { critical | high | low | medium } *

undo severity-level

【缺省情况】

未配置严重级别属性筛选条件。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

critical:表示严重级别最高。

high:表示严重级别高。

low:表示严重级别低。

medium:表示严重级别一般。

【使用指导】

严重级别是指匹配此IPS特征的网络攻击造成危害的严重程度。可通过配置严重级别属性筛选出具有该属性的特征,IPS策略将使用筛选出的特征与报文进行匹配。可同时配置多个严重级别,只要符合其中一个,具有该严重级别属性的特征将会被筛选出来。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为test的IPS策略中,配置筛选IPS特征的严重级别为critical和medium。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] severity-level critical medium

1.1.43  severity-level(ips signature view)

severity-level命令用来配置自定义特征的严重级别。

undo severity-level命令用来恢复缺省情况。

【命令】

severity-level { critical | high | low | medium }

undo severity-level

【缺省情况】

自定义特征的严重级别是low

【视图】

自定义特征视图

【缺省用户角色】

network-admin

context-admin

【参数】

critical:表示自定义特征的严重级别为严重

high:表示自定义特征的严重级别为高。

low:表示自定义特征的严重级别为低。

medium:表示自定义特征的严重级别为中。

【使用指导】

非缺省vSystem不支持本命令。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置IPS自定义特征严重级别为中。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] severity-level medium

1.1.44  signature override

signature override命令用来修改IPS策略中指定特征的动作和状态。

undo signature override命令用来恢复IPS策略中指定特征属性中的动作和状态。

【命令】

signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }

undo signature override { pre-defined | user-defined } signature-id

【缺省情况】

预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

pre-defined:表示预定义的IPS特征。

user-defined:表示自定义的IPS特征。

signature-id:IPS特征的编号,预定义特征取值范围为1~536870911;自定义特征取值范围为536870913~1073741823。

disable:表示禁用此IPS特征。在某些网络环境中,如果一些IPS特征暂时不会被用到,而且又不想将其从IPS策略中删除时,可以使用disable参数来禁用这些规则。

enable:表示启用此IPS特征。

block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。

drop:表示丢弃报文。

permit:表示允许报文通过。

redirect:表示把符合特征的报文重定向到指定的Web页面上。

reset:表示通过发送TCP的reset报文使TCP连接断开。

capture:表示捕获报文。

logging:表示生成报文日志。

【使用指导】

本命令仅用于修改自定义IPS策略中特征的动作和状态,缺省IPS策略中特征的动作和状态不能被修改。

在同一个IPS策略视图中对同一IPS特征多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为ips1的IPS策略中,配置编号为2的预定义IPS特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息。

<Sysname> system-view

[Sysname] ips policy ips1

[Sysname-ips-policy-ips1] signature override pre-defined 2 enable drop capture logging

【相关命令】

·     blacklist enable (security zone view)(安全命令参考/攻击检测与防范)

·     blacklist global enable(安全命令参考/攻击检测与防范)

·     ips parameter-profile

·     ips policy

·     signature override all

1.1.45  signature override all

signature override all命令用来配置IPS策略中所有特征的统一动作。

undo signature override all命令用来恢复缺省情况。

【命令】

signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *

undo signature override all

【缺省情况】

IPS策略执行特征属性中的动作。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。

drop:表示丢弃报文。

permit:表示允许报文通过。

redirect:表示把符合特征的报文重定向到指定的Web页面上。

reset:表示通过发送TCP的reset报文使TCP连接断开。

capture:表示捕获报文。

logging:表示生成报文日志。

【使用指导】

如果在IPS策略中为所有特征配置了统一动作,则设备将根据该动作对与此策略中特征匹配成功的报文进行处理。否则,设备将根据特征属性中的动作对报文进行处理。

如果在IPS策略中修改了指定特征的动作,则无论IPS策略是否为所有特征配置了统一的动作,设备都将根据修改后的动作对报文进行处理。

【举例】

# 配置名称为text的IPS策略中所有特征的统一动作为丢弃,并生成日志信息和捕获报文。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] signature override all drop logging capture

【相关命令】

·     blacklist enable (security zone view)(安全命令参考/攻击检测与防范)

·     blacklist global enable(安全命令参考/攻击检测与防范)

·     ips parameter-profile

·     signature override

1.1.46  signature version-baseline

signature version-baseline命令用来配置IPS特征库版本基线。

undo signature version-baseline命令用来恢复缺省情况。

【命令】

signature version-baseline version-number

undo signature version-baseline

【缺省情况】

未配置IPS特征库版本基线。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

version-number:表示特征库版本号。可通过display ips signature library命令查看当前版本和上一版本的特征库版本号。如需查看历史特征库版本号,请到官网特征库服务专区查询。

【使用指导】

当管理员升级IPS特征库后,希望将某个版本之后新增的特征筛选出来,置为非生效状态(即不用于匹配报文)时,可通过本功能将该版本设置为基线版本,IPS策略会将所有在基线版本之上新增的特征设置为非生效状态,仅使用基线版本的特征与报文进行匹配。

本功能可帮助用户快速筛选出基线版本与当前版本之间有差异的特征,IPS策略将使用基线版本的特征与报文进行匹配,而不必回滚至基线版本的特征库。

配置本功能后,如果希望将某个非生效状态的特征调整为生效状态、且其它特征状态保持不变时,需要进行如下操作:

(1)     再次执行本命令,将基线版本调整至该特征所属的特征库版本。

(2)     在设备的Web界面上,查看其它非生效状态的特征ID。

(3)     执行signature override命令,将仍然需要保持非生效状态的特征禁用。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为test的IPS策略中配置特征库版本基线为1.0.88。

<Sysname> system-view

[Sysname] ips policy test

[Sysname-ips-policy-test] signature version-baseline 1.0.88

【相关命令】

·     display ips signature library

1.1.47  signature-id

signature-id命令用来向IPS白名单表项中添加特征ID。

undo signature-id命令用来恢复缺省情况。

【命令】

signature-id sig-id

undo signature-id

【缺省情况】

IPS白名单表项中不存在特征ID。

【视图】

IPS白名单表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

sig-id:表示IPS特征ID,取值范围为1~4294967294。

【使用指导】

非缺省vSystem不支持本命令。

当发现IPS日志存在误报的情况时,可以通过本配置将日志中提取到的IPS特征ID加入指定编号的IPS白名单。设备对匹配白名单的报文放行,可以减少误报。

如果IPS白名单表项中同时存在特征ID和URL,则报文需要同时匹配二者才认为成功匹配到IPS白名单表项。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在编号为1的IPS白名单表项中,添加特征ID为936。

<Sysname> system-view

[Sysname] ips whitelist 1

[Sysname-ips-whitelist-1] signature-id 936

【相关命令】

·     source-address(ips whitelist view)

·     url

1.1.48  source-address(ips user-defined signature view)

source-address命令用来配置自定义特征规则匹配的源IP地址。

undo source-address命令用来恢复缺省情况。

【命令】

source-address ip ip-address

undo source-address

【缺省情况】

未配置自定义特征规则匹配的源IP地址。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:表示自定义特征匹配的源IPv4地址。

【使用指导】

非缺省vSystem不支持本命令。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置编号为1的关键字类型规则,配置自定义特征规则匹配的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1] source-address ip 10.1.1.1

1.1.49  source-address(ips whitelist view)

source-address命令用来向IPS白名单表项中添加源IP地址。

undo source-address命令用来恢复缺省情况。

【命令】

source-address { ip ipv4-address | ipv6 ipv6-address }

undo source-address

【缺省情况】

IPS白名单表项中不存在源IP地址。

【视图】

IPS白名单表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:表示IPv4地址。

ipv6 ipv6-address:表示IPv6地址。

【使用指导】

非缺省vSystem不支持本命令。

当发现IPS日志存在误报的情况时,可以将日志中提取到的源IP地址加入IPS白名单。设备对匹配白名单的报文放行,可以减少误报。

如果设备中开启了真实源IP地址提取功能(即执行了inspect real-ip enable命令),则当设备提取到了真实源IP地址后,会使用真实源IP地址与白名单中的源IP地址进行匹配;如果未提取到真实源IP地址,则使用报文的源IP地址与白名单中的源IP地址进行匹配。

当白名单表项中同时存在特征ID、URL和源IP地址中的两者或以上时,需要同时匹配才认为匹配成功。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 向编号为1的IPS白名单表项中添加源IP地址为192.168.0.1。

<Sysname> system-view

[Sysname] ips whitelist 1

[Sysname-ips-whitelist-1] source-address ip 192.168.0.1

【相关命令】

·     inspect real-ip enable(DPI深度安全命令参考/应用层检测引擎)

·     signature-id

·     url

1.1.50  source-port

source-port命令用来配置自定义特征规则匹配的源端口。

undo source-port命令用来恢复缺省情况。

【命令】

source-port start-port [ to end-port ]

undo source-port

【缺省情况】

未配置自定义特征规则匹配的源端口。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

start-port:表示源端口的起始端口号,取值范围为1~65535。

to end-port:指定结束源端口号。end-port表示源端口的结束端口号,取值范围为1~65535。若不指定本参数,则表示仅匹配起始端口号。

【使用指导】

非缺省vSystem不支持本命令。

本命令用于配置指定的四层传输协议的端口号。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置编号为1的关键字类型规则,配置自定义特征规则匹配的源端口为1~3550。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1] source-port 1 to 3550

1.1.51  statistics signature-hit enable

statistics signature-hit enable命令用来开启IPS特征命中统计功能。

undo statistics signature-hit enable命令用来关闭IPS特征命中统计功能。

【命令】

statistics signature-hit enable

undo statistics signature-hit enable

【缺省情况】

IPS特征命中统计功能处于关闭状态。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

开启本功能后,设备将对IPS策略中每个特征被命中的次数进行独立统计,用户可在Web界面查看统计数据。

【举例】

# 在名为policy的IPS策略下开启特征命中统计功能。

<Sysname> system-view

[Sysname] ips policy policy

[Sysname-ips-policy-policy] statistics signature-hit enable

1.1.52  status

status命令用来配置筛选IPS特征的推荐状态属性。

undo status命令用来恢复缺省情况。

【命令】

status { disabled | enabled } *

undo status

【缺省情况】

IPS策略匹配所有缺省推荐和不推荐使用的特征。

【视图】

IPS策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

disabled:表示缺省不推荐使用该特征。

enabled:表示缺省推荐使用该特征。

【使用指导】

特征的推荐状态属性用于标识特征库中缺省是否推荐使用该特征匹配报文。

特征库缺省将仅适用于特殊场景、不具备普遍性的特征标识为不推荐使用;将适用场景比较广泛、具备普遍性的特征标识为推荐使用。用户可通过配置推荐状态属性,筛选出所需特征,IPS策略将使用筛选出的特征与报文进行匹配。

当同时配置两个推荐状态属性时,只要符合其中一个,具有该属性的特征将会被筛选出来。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名为policy的IPS策略下,筛选推荐状态属性为enabled的IPS特征。

<Sysname> system-view

[Sysname] ips policy policy

[Sysname-ips-policy-policy] status enabled

1.1.53  trigger

trigger命令用来配置自定义特征规则的触发检查项。

undo trigger命令用来删除自定义特征规则的触发检查项。

【命令】

trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]

undo trigger

【缺省情况】

未配置自定义特征规则的触发检查项。

【视图】

IPS自定义特征规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

field-name:表示协议字段名称,不区分大小写。需要通过输入“?”获取支持的协议字段。

include:表示触发检查项与检测内容的匹配方式是包含。

hex hex-string:表示触发检查项匹配的十六进制字符内容,hex-string表示匹配内容,为8~254个字符的字符串,且必须输入偶数个字符,输入参数必须在两个竖杠“|”之间,仅支持输入“0-9、A-F、a-f”,区分大小写,例如|1234f5b6|。

text text-string:表示触发检查项匹配的字符串内容,text-string表示匹配内容,为3~255个字符的字符串,不区分大小写。

offset offset-value:表示触发检查项的偏移量,从协议字段的起始位置开偏移的长度始。取值范围为1~65535,单位为字节。若不配置该参数,则表示触发检查项从协议字段的起始位置开始检测。

depth depth-value:表示触发检查项的检测深度,从触发检查项检测的起始位置开始,检测的长度,取值范围为3~65535,单位为字节。若不配置该参数,则表示触发检查项检测整个协议字段。

【使用指导】

非缺省vSystem不支持本命令。

只有自定义特征规则的匹配类型为关键字的情况下才需要配置触发检查项,触发检查项是同一规则下检查项的触发条件。如果一条规则的触发检查项匹配失败,则该规则匹配失败,不会再对该规则下的检查项进行检测。

对于关键字类型的自定义特征规则,在配置检查项之前,必须先配置触发检查项。

删除触发检查项后,将一并删除所有的检查项。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IPS自定义特征mysignature中,配置编号为1的关键字类型规则,配置触发检查项的协议检测字段为http.host、匹配字符串为abc、偏移量为10、检测深度为50。

<Sysname> system-view

[Sysname] ips signature user-defined name mysignature

[Sysname-ips-signature-mysignature] rule 1 l4-protocol tcp l5-protocol http pattern-type keyword

[Sysname-ips-signature-mysignature-rule-1] trigger field http.host include text abc offset 10 depth 50

1.1.54  update schedule

update schedule命令用来配置定期自动在线升级IPS特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天01:00:00至03:00:00之间自动在线升级IPS特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

context-admin

【参数】

daily:表示自动升级周期为每天。

weekly:表示以一周为周期,在指定的一天进行自动升级。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。

tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。

【使用指导】

非缺省vSystem不支持本命令。

【举例】

# 配置IPS特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。

<Sysname> system-view

[Sysname] ips signature auto-update

[Sysname-ips-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10

【相关命令】

·     ips signature auto-update

1.1.55  url

url命令用来向IPS白名单表项添加URL。

undo url命令用来恢复缺省情况。

【命令】

url match-type { accurate | substring } url-text

undo url

【缺省情况】

IPS白名单表项不存在URL。

【视图】

IPS白名单表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

match-type:表示URL的匹配方式。

accurate:表示精确匹配,即报文中URL必须和配置的URL完全一致才能匹配成功。

substring:表示模糊匹配,即报文中携带的URL只要包含配置的URL即可匹配成功。

url-text:表示IPS攻击报文中携带的URL,为3~460个字符的字符串,不区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

当发现IPS日志存在误报的情况时,可以将日志中提取到的URL加入指定的IPS白名单。设备对匹配白名单的报文放行,可以减少误报。

如果指定的IPS白名单表项同时存在特征ID和URL,则报文需要同时匹配二者才认为成功匹配到IPS白名单。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在编号为1的IPS白名单表项,添加URL为example.com,匹配方式为精确匹配。

<Sysname> system-view

[Sysname] ips whitelist 1

[Sysname-ips-whitelist-1] url match-type accurate example.com

【相关命令】

·     ips whitelist activate

·     signature-id

·     source-address(ips whitelist view)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们