更新时间:2025-09-22 GMT+08:00
自定义IPS特征
操作场景
在复杂多变的网络攻击面前,企业往往需要个性化的入侵检测方案,然而宽泛的特征规则容易引发大量误报,反而降低防护效率。为此,云防火墙支持为HTTP、TCP、UDP、POP3、SMTP、FTP协议添加精细化的自定义IPS特征规则,通过精准的签名特征匹配,有效识别恶意流量。
本章节介绍如何自定义IPS特征。配置时,建议设置具体的自定义特征,避免规则过宽导致误匹配和性能下降。
约束条件
- 仅“专业版”支持自定义IPS特征。
- 最多支持添加500条特征。
- 自定义的IPS特征不受修改基础防御防护模式的影响。
- 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时,“内容选项”才能设置为“URI”。
自定义IPS特征
- 登录CFW控制台。
- 单击管理控制台左上角的
,选择区域。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择。单击“自定义IPS特征”中的“查看规则”,进入“自定义IPS特征”页面。
- 在“自定义IPS特征”页签中,单击列表左上角“添加自定义IPS特征”,填写规则如表1所示。
表1 添加自定义IPS特征 参数名称
参数说明
名称
需要添加的特征名称。
命名规则如下:- 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
- 长度不能超过255个字符。
风险等级
设置特征的风险等级。
攻击类型
选择特征的攻击类型。
影响软件
选择受影响的软件。
操作系统
选择操作系统。
方向
选择该特征匹配流量的方向。
- Any:任意方向,符合其他条件的任意方向的流量都会匹配到当前规则。
- 服务器到客户端
- 客户端到服务器
协议类型
选择特征的协议类型。
源类型
源端口
“源类型”选择“包含”或“排除”时,设置源端口。- 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
- 支持连续端口组,中间使用“-”隔开,如:80-443。
目的类型
目的端口
“目的类型”选择“包含”或“排除”时,设置目的端口。- 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
- 支持连续端口组,中间使用“-”隔开,如:80-443。
动作
防火墙检测到该特征流量时,采取的动作。
- 观察:仅对攻击事件进行检测并记录到日志中,日志记录查询请参见日志查询。
- 拦截:实施自动拦截操作。
建议您优先选择“观察”,确认“攻击事件日志”记录正确后,再切换至“拦截”。
内容
特征规则中匹配的内容。- 内容:跟特征匹配的内容字段,例如:cfw。
- 内容选项:选择“内容”匹配的限制规则。
- 十六进制:匹配十六进制时,“内容”需填写十六进制格式,例如:0x1F。
- 忽略大小写:匹配时不区分大小写。
- URL:匹配URL中跟“内容”一致的字段。
- 相对位置:匹配特征时,指定开始的位置。
- 偏移:匹配特征时开始的位置,例如偏移:10,则代表该条内容的匹配位置从第11位开始。
- 深度:匹配特征时,截止匹配的位置,例如深度:65535,则代表该条内容的匹配位置到第65535位截止。
说明:- “深度”值需大于“内容”字段长度。
- 一条IPS特征中最多添加4条内容。
- 单击“确认”,完成添加IPS特征。
相关文档
后续操作
整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志。
