更新时间:2025-06-12 GMT+08:00

自定义IPS特征

操作场景

在复杂多变的网络攻击面前,企业往往需要个性化的入侵检测方案,然而宽泛的特征规则容易引发大量误报,反而降低防护效率。为此,云防火墙支持为HTTP、TCP、UDP、POP3、SMTP、FTP协议添加精细化的自定义IPS特征规则,通过精准的签名特征匹配,有效识别恶意流量。

本章节介绍如何自定义IPS特征。配置时,建议设置具体的自定义特征,避免规则过宽导致误匹配和性能下降。

约束条件

  • “专业版”支持自定义IPS特征。
  • 最多支持添加500条特征。
  • 自定义的IPS特征不受修改基础防御防护模式的影响。
  • 特征设置“方向”“客户端到服务器”“协议类型”“HTTP”时,“内容选项”才能设置为“URI”

自定义IPS特征

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择攻击防御 > 入侵防御。单击“自定义IPS特征”中的“查看规则”,进入“自定义IPS特征”页面。
  6. “自定义IPS特征”页签中,单击列表左上角“添加自定义IPS特征”,填写规则如表1所示。

    表1 添加自定义IPS特征

    参数名称

    参数说明

    名称

    需要添加的特征名称。

    命名规则如下:
    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
    • 长度不能超过255个字符。

    风险等级

    设置特征的风险等级。

    攻击类型

    选择特征的攻击类型。

    影响软件

    选择受影响的软件。

    操作系统

    选择操作系统。

    方向

    选择该特征匹配流量的方向。

    • Any:任意方向,符合其他条件的任意方向的流量都会匹配到当前规则。
    • 服务器到客户端
    • 客户端到服务器

    协议类型

    选择特征的协议类型。

    源类型

    选择源端口类型。
    • Any:任意端口类型,等同于包含所有类型。

      建议您优先选择“Any”

    • 包含
    • 排除

    源端口

    “源类型”选择“包含”“排除”时,设置源端口。
    • 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
    • 支持连续端口组,中间使用“-”隔开,如:80-443。

    目的类型

    选择目的端口类型。
    • Any:任意端口类型,等同于包含所有类型。

      建议您优先选择“Any”

    • 包含
    • 排除

    目的端口

    “目的类型”选择“包含”“排除”时,设置目的端口。
    • 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
    • 支持连续端口组,中间使用“-”隔开,如:80-443。

    动作

    防火墙检测到该特征流量时,采取的动作。

    • 观察:仅对攻击事件进行检测并记录到日志中,日志记录查询请参见日志查询
    • 拦截:实施自动拦截操作。

    建议您优先选择“观察”,确认“攻击事件日志”记录正确后,再切换至“拦截”

    内容

    特征规则中匹配的内容。
    • 内容:跟特征匹配的内容字段,例如:cfw。
    • 内容选项:选择“内容”匹配的限制规则。
      • 十六进制:匹配十六进制时,“内容”需填写十六进制格式,例如:0x1F。
      • 忽略大小写:匹配时不区分大小写。
      • URL:匹配URL中跟“内容”一致的字段。
    • 相对位置:匹配特征时,指定开始的位置。
      • 头部:从报文“偏移”值的位置开始匹配特征,例如偏移:10,则该条内容从第11位开始。
        说明:

        “内容选项”选择“URL”时,头部的匹配位置从域名结束(包含端口)开始计算。

        例如:www.example.com/test,偏移为0,则该条内容从com后的/开始。

        或www.example.com:80/test,偏移为0,则该条内容从80后的/开始。

      • 上一个内容之后:报文中截取的位置从指定位置开始。

        公式:上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1

        例如:上一条设置内容:test,偏移:10,本条偏移:5,则该条内容的匹配位置从第20(4+10+5+1)位开始。

    • 偏移:匹配特征时开始的位置,例如偏移:10,则代表该条内容的匹配位置从第11位开始。
    • 深度:匹配特征时,截止匹配的位置,例如深度:65535,则代表该条内容的匹配位置到第65535位截止。
    说明:
    • “深度”值需大于“内容”字段长度。
    • 一条IPS特征中最多添加4条内容。

  7. 单击“确认”,完成添加IPS特征。

相关文档

  • 处理IPS特征:
    • 复制IPS特征:在目标任务所在行的“操作”列中,单击“复制”,修改参数信息后,单击“确认”,可以快速复制IPS特征。
    • 修改IPS特征:在目标任务所在行的“操作”列中,单击“编辑”,可以修改IPS特征信息。
    • 批量删除IPS特征:勾选目标特征,单击列表上方的“删除”,可以批量删除IPS特征。
    • 批量修改动作:勾选目标特征,单击列表上方的“观察”“拦截”,可以批量修改防火墙的响应动作。
  • 攻击防御相关介绍请参见攻击防御功能概述
  • 拦截网络攻击请参见配置入侵防御

后续操作

整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志