NGFW管理手册IPS配置.pdf

1、 IPS 配置配置 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话：+8610-82776666 传真：+8610-82776677 服务热线：+8610-8008105119 http:/ 版权声明 版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有 不得翻印 2009 天融信公司 商标声明 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC 天融信公司 信息反馈 信息反馈 http:/

2、IPS 配置 服务热线：8008105119 i 1 入侵防御入侵防御.2 1.1 攻击检测规则.2 1.2 入侵防御策略.5 1.3 自定义规则.6 1.4 防火墙联动.8 1.5 设置协议资源.10 1.6 IPS日志.11 2 自定义规则使用说明自定义规则使用说明.13 2.1 负载检测类规则选项.13 2.2 非负载检查类规则选项.16 2.3 IP.21 2.4 TCP.23 2.5 HTTP.24 2.6 DNS.28 2.7 FTP.31 2.8 POP3.33 2.9 SMTP.34 2.10 QQ.35 2.11 MSN.36 2.12 IMAP.37 目目 录录IPS 配置

3、 服务热线：8008105119 2 1 入侵防御入侵防御 天融信入侵防御设备是基于模式匹配和异常检测技术对网络数据进行在线数据解析和攻击检测的网络安全解决方案。它通过对数据包进行规则匹配，对异常的数据包进行主动防御，从而保护网络的安全。同时，天融信入侵防御设备可以实现与天融信防火墙的联动，对用户内部网络提供了全面、高效的安全保护。本章内容主要包括：?攻击检测规则：介绍如何设置攻击检测规则。?入侵防御策略：介绍如何设置入侵防御策略。?自定义规则：介绍如何自定义攻击检测规则。?防火墙联动：介绍如何实现与天融信防火墙的联动。?IPS 日志：介绍 IPS 日志的设置与操作。?协议：介绍一些常用的服务

4、及其对应端口。1.1 攻击检测规则攻击检测规则 网络卫士入侵防御系统默认将入侵防御系统规则库中的规则分为高、中、低三类风险事件；对于匹配到系统规则的事件定义了是否丢弃和是否记录报文两种动作方式。管理员可以根据具体的需求选择系统规则集中的规则和处理方式配置攻击检测规则。具体操作步骤如下：1）选择 入侵防御入侵防御 攻击检测规则攻击检测规则，如下图所示。2）点击“添加”添加攻击检测规则，如下图所示。定义规则集名称，点击“确定”。IPS 配置 服务热线：8008105119 3 3）新添加的规则集就会出现在攻击检测规则列表中，如下图所示。网络卫士入侵防御系统提供了一个攻击检测规则模板，默认将所有系统

5、规则添加到新建攻击检测规则中，其中对中、低风险事件执行“警告”和“关闭记录报文”的操作；对高风险事件执行“丢弃”和“关闭记录报文”的操作。4）点击“修改”在系统模板的基础上配置攻击检测规则集，如下图所示。IPS 配置 服务热线：8008105119 4 在搜索栏内输入关键字，然后点击“搜索”可以在规则库中查询相关的规则；点击页面右上角“规则帮助”可以查看系统规则库中所有规则的详细信息。5）点击某类事件左侧的蓝标，编辑该类事件中的规则，如下图所示。IPS 配置 服务热线：8008105119 5 管理员可以将不需要的规则通过反选剔除，并为选中的规则配置处理动作；点击规则编号可以查看该规则的详细信

6、息；点击右上角的“默认动作”恢复系统默认设置。说明说明?动作操作释义如下：警告，系统对匹配到规则的报文放行且记录日志；丢弃，系统对匹配到规则的报文丢弃且记录日志；记录报文，系统对匹配到规则的报文记录其详细内容。6）点击“确定”完成攻击检测规则的设置。7）点击攻击检测规则对应“删除”图标可以删除未被引用未被引用的规则；点击“清空”可以清除所有未被引用未被引用的规则。说明说明?对于已经被入侵防御策略引用的攻击检测规则，如果在引用之后又对其进行了修改，则需要点击“规则生效”按钮使修改之后的配置生效。1.2 入侵防御策略入侵防御策略 在网络卫士入侵防御系统中，访问控制规则可以通过引用入侵防御策略对满足

7、“源”、“目的”的报文进行规则匹配，对匹配到规则的报文进行相应动作的处理。关于访问控制规则的设置具体请参见管理手册基础配置。入侵防御策略设置操作如下：1）选择 入侵防御入侵防御 入侵防御策略入侵防御策略，如下图所示。IPS 配置 服务热线：8008105119 6 2）点击“添加”添加一条新的入侵防御策略，如下图所示。设置 IPS 策略名称，选择已经设置好的攻击检测规则，并勾选是否启用该该规则。点击“确定”完成设置，新添加的 IPS 策略会出现在策略表中，如下图所示。3）点击 IPS 策略对应的“修改”图标可以重新编辑该策略；点击“删除”图标可以删除未被引用未被引用的 IPS 策略；点击“状态

8、”图标可以对 IPS 策略的状态（启用/禁用）进行切换。1.3 自定义规则自定义规则 针对不同的攻击行为，网络卫士入侵防御系统需要不同的过滤规则对传输的数据包进行检测匹配，为了确保准确性，这些规则的定义非常广泛。除了系统自带的规则库，网络卫士入侵防御系统也允许用户根据特定的需要自行定义规则。设置好的自定义规则会自动添加到系统规则库，供用户在设置攻击检测规则时引用，关于攻击检测规则的配置操作请参见 1.1攻击检测规则。具体操作如下：1）选择 入侵防御入侵防御 自定义规则自定义规则，显示已添加的自定义规则，如下图所示。IPS 配置 服务热线：8008105119 7 2）点击“添加”可添加自定义规

9、则，如下图所示。界面中的参数说明如下表所示。参数 说明 编号 规则编号，不能重复。输入 0 表示系统自动为其分配编号；若用户自行输入，其输入值必须为大于等于 95000 的整数。协议 指该自定义规则匹配的协议类型。可选值为：ICMP、TCP、UDP。源端口 源端口或端口范围。输入格式如下：多个端口号以“,”隔开，如（1,2,3）；端口范围以“:”表示，如（1:100）；（!10）表示 10 以外的所有端口；可输入“any”表示支持所有端口。目标端口 目标端口或端口范围。输入格式如下：多个端口号以“,”隔开，如（1,2,3）；端口范围以“:”表示，如（1:100）；（!10）表示 10 以外的所

10、有端口；可输入“any”表示支持所有端口。内容 设置规则内容，关于内容格式的具体说明参见 1错误！表格结果无效。错误！表格结果无效。IPS 配置 服务热线：8008105119 8 参数 说明 备注 自定义规则备注信息，备注信息长度不大于 200 个字节。点击“确定”按钮完成自定义规则的添加，然后点击“规则生效”按钮实现对新添规则的启用。3）对已经添加的自定义规则，可以点击“修改”图标对其进行修改；也可以点击“删除”图标对未被引用未被引用的自定义规则进行删除；管理员也可以点击“清空”一次性删除列表中所有未被引用未被引用的自定义规则。1.4 防火墙联动防火墙联动 天融信入侵防御设备提供了防火墙联

11、动功能，从而实现了由 IDS 功能进行监听（入侵防御设备将履行 IDS 设备的监听功能），由联动防火墙进行阻断的有效安全策略。要实现防火墙联动功能，需要进行以下几方面的设置：1）在天融信入侵防御设备中设置 IDS 监听接口。具体设置请参见管理手册基础配置中的接口设置部分内容。2）在网络卫士防火墙中设置 IDS 联动。关于如何在网络卫士防火墙中设置 IDS 联动具体请参考网络卫士防火墙配置手册。3）在天融信入侵防御设备中设置防火墙联动，具体设置步骤参见下面的内容。设置防火墙联动的具体操作步骤如下：?防火墙联动配置 1）选择 入侵防御入侵防御 防火墙联动防火墙联动，如下图所示。2）点击“添加”，添

12、加要联动的防火墙，如下图所示。IPS 配置 服务热线：8008105119 9 界面的参数说明如下表所示。参数 说明 防火墙地址 输入要联动的防火墙 IP 地址。共享密钥 天融信入侵防御设备与联动防火墙协商设定的密码，两者在设定时保持一致即可。输入防火墙地址及共享密钥，点击“确定”完成防火墙的添加。2）对已经添加的防火墙，可以点击“修改”图标对其进行修改；也可以点击“删除”图标删对其进行删除。管理员也可以点击“清空”一次性删除列表中所有的防火墙。?阻塞时间设置 对于需要防火墙阻断的进程，用户可以自行设置对其进行阻断的时间，即阻塞时间。如下图所示。界面的参数说明如下表所示。参数 说明 阻塞时间

13、需要阻断进程的时间。设定范围为-136000000 秒，其中-1 表示永远；0 表示不阻断。输入需要阻塞的时间，点击“设置阻塞时间”使设置生效。?联动状态 用户可以在“联动状态”处查看当前联动的防火墙的 IP 地址及运行状态，如下图所示。IPS 配置 服务热线：8008105119 10 点击“状态”按钮可以刷新联动状态信息。1.5 协议协议 网络卫士防火墙根据固定端口来识别服务，系统中预先定义了一些常用的服务端口，用户可以根据实际情况修改端口，但不能删除。设置服务端口的具体操作步骤如下：1）选择 入侵防御入侵防御 协议协议，窗口中会显示系统中所有预定义的服务，如下图所示。2）用户可以点击“修

14、改”图标对服务端口进行修改，如下图所示。IPS 配置 服务热线：8008105119 11 页面中各参数的含义如下表所示。参数 说明 名称 系统定义的服务端口的名称，用户不可修改。端口 端口号或端口范围，可修改。端口号的输入格式如下：多个端口号以“,”隔开，如（1,2,3）；端口范围以“:”表示，如（1:100）；（!10）表示 10 以外的所有端口；可输入“any”表示支持所有端口。输入新的端口号，点击“确定”即可。3）选择页面上方的“重置”按钮，可以将全部的服务端口还原为默认设置。1.6 IPS 日志日志 网络卫士入侵防御系统中根据硬件设备性能可以缓存部分日志信息，方便用户对系统日志进行查

15、看，并及时跟踪网络卫士入侵防御系统的工作状态；用户可以通过 IPS 日志，从而了解当前网络受到攻击的具体状况。IPS 日志列出了所有受攻击的事件及其详细信息，包括：时间、级别、事件号、次数、协议、源、目的、动作和事件描述。1）查看 IPS 日志 选择 日志与报警日志与报警 日志查看日志查看，进入“IPS 日志”页面，如下图所示。IPS 配置 服务热线：8008105119 12 详细事件根据事件级别的不同显示为不同的颜色：红色表示级别为高；紫色表示级别为中；蓝色表示级别为低。2）查询 IPS 日志 用户通过选择类型，然后在关键字一栏输入关键字即可查询用户关心的详细事件，其中选择的类型包括：时间

16、、级别、事件号、次数、协议、源、目的、动作以及事件描述。如在类型栏选择“次数”，在关键字一栏输入“24”，显示查询结果如下。3）刷新详细事件 点击“刷新”，界面中显示系统当前最新的 IPS 日志及其相关信息，最多显示 2048条。IPS 配置 服务热线：8008105119 13 2 自定义规则使用说明自定义规则使用说明 用户添加或修改自定义规则时，页面上包含 6 个参数，分别是编号、协议、源端口、目标端口、内容、备注。其使用说明如下 1）编号 每一条规则都有一个独立的编号，相当于这条规则的 id，所以不允许重复。系统本身自带的规则也有编号。用户自定义规则时，需要为规则指定一个编号。指定的编号需是大于 95000 的整数。如果指定 0，则由系统为这条规则自动分配一个编号。2）协议和端口 协议和端口的选择可以有效提高规则的针对性。协议目前支持 3 种，分别是 TCP、UDP、ICMP。请根据要检测的数据，选择对应的协议类型。端口分为源端口和目的端口。它们就对应着数据包中的这两个端口。对规则进行匹配检测时，首先会判断这里的端口。端口可以填写 any，也可以写具体端口。any 代表任何端口。