创建自定义IPS规则
功能介绍
创建自定义IPS规则
调用方法
请参见如何调用API。
URI
POST /v1/{project_id}/ips/custom-rule
|
参数 |
是否必选 |
参数类型 |
描述 |
|---|---|---|---|
|
project_id |
是 |
String |
参数解释: 项目ID,用于明确项目归属,配置后可通过该ID查询项目下资产,可以从调API处获取,也可以从控制台获取。项目ID获取方式 约束限制: 不涉及 取值范围: 32位UUID 默认取值: 不涉及 |
请求参数
|
参数 |
是否必选 |
参数类型 |
描述 |
|---|---|---|---|
|
action_type |
是 |
Integer |
参数解释: 自定义IPS规则执行动作,仅更新自定义IPS规则场景下需要设置,其他场景无需设置 约束限制: 不涉及 取值范围: 0:只记录日志 1:重置/拦截 默认取值: 不涉及 |
|
affected_os |
是 |
Integer |
参数解释: 影响操作系统 约束限制: 不涉及 取值范围: 0:ANY 1:Windows 2:Linux 3:FreeBSD 4:Solaris 5:Other Unix 6:网络设备 7:Mac OS 8:IOS 9:Android 10:Others 默认取值: 不涉及 |
|
attack_type |
是 |
Integer |
参数解释: 攻击类型 约束限制: 不涉及 取值范围: 1:访问控制 2:漏洞扫描 3:邮件攻击 4:漏洞攻击 5:Web攻击 6:密码攻击 7:劫持攻击 8:协议异常 9:特洛伊木马 10:蠕虫 11:缓冲区溢出 12:黑客工具 13:间谍软件 14:DDos泛洪 15:应用层DDos攻击 16:其他可疑行为 17:可疑DNS活动 18:网络钓鱼 19:垃圾邮件 20:其他攻击 默认取值: 不涉及 |
|
contents |
是 |
Array of IpsContent objects |
参数解释: 匹配IPS攻击的报文内容 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
direction |
是 |
Integer |
参数解释: 方向 约束限制: 不涉及 取值范围: -1:Any 0:客户端到服务端 1:服务端到客户端 默认取值: 不涉及 |
|
dst_port |
是 |
Port object |
参数解释: 端口信息 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
fw_instance_id |
是 |
String |
参数解释: 防火墙ID,用户创建防火墙实例后产生的唯一ID,配置后可区分不同防火墙,可通过防火墙ID获取方式获取 约束限制: 不涉及 取值范围: 32位UUID 默认取值: 不涉及 |
|
object_id |
否 |
String |
参数解释: 防护对象ID,字段废弃 约束限制: 不涉及 取值范围: 32位UUID 默认取值: 不涉及 |
|
ips_name |
是 |
String |
参数解释: ips规则名称 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
protocol |
是 |
Integer |
参数解释: 协议类型 约束限制: 不涉及 取值范围: 1:FTP 2:TELNET 3:SMTP 4:DNS_TCP 5:DNS_UDP 6:DHCP 7:TFTP 8:FINGER 9:HTTP 10:POP3 11:SUNRPC_TCP 12:SUNRPC_UDP 13:NNTP 14:MSRPC_TCP 15:MSRPC_UDP 16:NETBIOS_NAME_TCP 17:NETBIOS_NAME_UDP 18:NETBIOS_SMB 19:NETBIOS_DATAGRAM 20:IMAP4 21:SNMP 22:LDAP 23:MSSQL 24:ORACLE 默认取值: 不涉及 |
|
severity |
是 |
Integer |
参数解释: 严重程度 约束限制: 不涉及 取值范围: 0:致命 1:高危 2:中危 3:低危 默认取值: 不涉及 |
|
software |
是 |
Integer |
参数解释: 影响软件 约束限制: 不涉及 取值范围: 0:ANY 1:ADOBE 2:APACHE 3:APPLE 4:CA 5:CISCO 6:GOOGLE_CHROME 7:HP 8:IBM 9:IE 10:IIS 11:MC_AFEE 12:MEDIA_PLAYER 13:MICROSOFT_NET 14:MICROSOFT_EDGE 15:MICROSOFT_EXCHANGE 16:MICROSOFT_OFFICE 17:MICROSOFT_OUTLOOK 18:MICROSOFT_SHARE_POINT 19:MICROSOFT_WINDOWS 20:MOZILLA 21:MSSQL 22:MYSQL 23:NOVELL 24:ORACLE 25:SAMBA 26:SAMSUNG 27:SAP 28:SCADA 29:SQUID 30:SUN 31:SYMANTEC 32:TREND_MICRO 33:VMWARE 34:WORD_PRESS 35:Others 默认取值: 不涉及 |
|
src_port |
是 |
Port object |
参数解释: 端口信息 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
参数 |
是否必选 |
参数类型 |
描述 |
|---|---|---|---|
|
content |
否 |
String |
参数解释: 内容 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
depth |
否 |
Integer |
参数解释: 匹配特征时,截止匹配的位置 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
is_hex |
否 |
Boolean |
参数解释: 报文内容是否为十六进制 约束限制: 不涉及 取值范围: true: 是十六进制 false: 不是十六进制 默认取值: 不涉及 |
|
is_ignore |
否 |
Boolean |
参数解释: 是否忽略大小写 约束限制: 不涉及 取值范围: true: 忽略 false: 不忽略 默认取值: 不涉及 |
|
is_uri |
否 |
Boolean |
参数解释: 是否匹配URL中跟“内容”一致的字段 约束限制: 不涉及 取值范围: true: 匹配 false: 不匹配 默认取值: 不涉及 |
|
offset |
否 |
Integer |
参数解释: 匹配特征时开始的位置 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
relative_position |
否 |
Integer |
参数解释: 匹配特征时,指定开始的位置 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
响应参数
状态码:200
|
参数 |
参数类型 |
描述 |
|---|---|---|
|
data |
data object |
参数解释: 新增自定义IPS规则响应数据 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
|
参数 |
参数类型 |
描述 |
|---|---|---|
|
id |
String |
参数解释: 防火墙ID,用户创建防火墙实例后产生的唯一ID,配置后可区分不同防火墙,可通过防火墙ID获取方式获取 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
状态码:400
|
参数 |
参数类型 |
描述 |
|---|---|---|
|
error_code |
String |
参数解释: 错误码 取值范围: 不涉及 |
|
error_msg |
String |
参数解释: 错误描述 取值范围: 不涉及 |
请求示例
创建自定义IPS规则,项目ID为28f403ddd3f141daa6e046e85cb15519,防火墙ID为d06dad70-b3be-4480-86bc-b3d139e9938b,规则名称为IPS_test,攻击类型为访问控制,影响软件为ADOBE,操作系统为WINDOWS,方向为服务器到客户端,协议类型为HTTP,源类型为包括端口1,目的类型排除目的端口2,动作为观察,内容为content:"test;"distance:0;within:65535;nocase;
https://{Endpoint}/v1/28f403ddd3f141daa6e046e85cb15519/ips/custom-rule
{
"fw_instance_id" : "d06dad70-b3be-4480-86bc-b3d139e9938b",
"ips_name" : "IPS_test",
"direction" : 1,
"src_port" : {
"port_type" : 1,
"ports" : "1"
},
"dst_port" : {
"port_type" : 0,
"ports" : "2"
},
"contents" : [ {
"content" : "12",
"is_hex" : true,
"is_ignore" : false,
"is_uri" : false,
"relative_position" : 0,
"offset" : 0,
"depth" : 65535
} ],
"action_type" : 0,
"severity" : 1,
"attack_type" : 1,
"software" : 4,
"affected_os" : 5,
"protocol" : 9
}
响应示例
状态码:200
OK
{
"data" : {
"id" : "bc11e773-35cc-478c-a91c-772ed077e06e"
}
}
状态码:400
Bad Request
{
"error_code" : "CFW.00200003",
"error_msg" : "参数错误"
}
状态码
|
状态码 |
描述 |
|---|---|
|
200 |
OK |
|
400 |
Bad Request |
错误码
请参见错误码。
