更新时间:2024-10-10 GMT+08:00
分享

自定义IPS特征

CFW支持自定义网络入侵特征规则,添加后,CFW将基于签名特征检测数据流量是否存在威胁。

自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。

自定义的特征建议具体化,避免太宽泛,否则可能会导致大部分流量匹配到该特征规则,影响流量转发性能。

约束条件

  • “专业版”支持自定义IPS特征。
  • 最多支持添加500条特征。
  • 自定义的IPS特征不受修改基础防御防护模式的影响。
  • 特征设置“方向”“客户端到服务器”“协议类型”“HTTP”时,“内容选项”才能设置为“URI”

自定义IPS特征

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择攻击防御 > 入侵防御。单击“自定义IPS特征”中的“查看规则”,进入“自定义IPS特征”页面。
  6. “自定义IPS特征”页签中,单击列表右上角“添加自定义IPS特征”,填写规则如表 添加自定义IPS特征所示。

    表1 添加自定义IPS特征

    参数名称

    参数说明

    名称

    需要添加的特征名称。

    命名规则如下:
    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
    • 长度不能超过255个字符。

    风险等级

    设置特征的风险等级。

    攻击类型

    选择特征的攻击类型。

    影响软件

    选择受影响的软件。

    操作系统

    选择操作系统。

    方向

    选择该特征匹配流量的方向。

    • ANY:任意方向,符合其他条件的任意方向的流量都会匹配到当前规则。
    • 服务器到客户端
    • 客户端到服务器

    协议类型

    选择特征的协议类型。

    源类型

    选择源端口类型。
    • ANY:任意端口类型,等同于包含所有类型。
    • 包含
    • 排除
    说明:

    建议您优先选择“ANY”

    源端口

    “源类型”选择“包含”“排除”时,设置源端口。
    • 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
    • 支持连续端口组,中间使用“-”隔开,如:80-443。

    目的类型

    选择目的端口类型。
    • ANY:任意端口类型,等同于包含所有类型。
    • 包含
    • 排除
    说明:

    建议您优先选择“ANY”

    目的端口

    “目的类型”选择“包含”“排除”时,设置目的端口。
    • 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
    • 支持连续端口组,中间使用“-”隔开,如:80-443。

    动作

    防火墙检测到该特征流量时,采取的动作。

    • 观察:仅对攻击事件进行检测并记录到日志中,日志记录查询请参见日志查询
    • 拦截:实施自动拦截操作。
    说明:

    建议您优先选择“观察”,确认“攻击事件日志”记录正确后,再切换至“拦截”

    内容

    特征规则中匹配的内容。
    • 内容:跟特征匹配的内容字段,例如:cfw。
    • 内容选项:选择“内容”匹配的限制规则。
      • 十六进制:匹配十六进制时,“内容”需填写十六进制格式,例如:0x1F。
      • 忽略大小写:匹配时不区分大小写。
      • URL:匹配URL中跟“内容”一致的字段。
    • 相对位置:匹配特征时,指定开始的位置。
      • 头部:从报文“偏移”值的位置开始匹配特征,例如偏移:10,则该条内容从第11位开始。
        说明:

        “内容选项”选择“URL”时,头部的匹配位置从域名结束(包含端口)开始计算。

        例如:www.example.com/test,偏移为0,则该条内容从com后的/开始。

        或www.example.com:80/test,偏移为0,则该条内容从80后的/开始。

      • 上一个内容之后:报文中截取的位置从指定位置开始。

        公式:上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1

        例如:上一条设置内容:test,偏移:10,本条偏移:5,则该条内容的匹配位置从第20(4+10+5+1)位开始。

    • 偏移:匹配特征时开始的位置,例如偏移:10,则代表该条内容的匹配位置从第11位开始。
    • 深度:匹配特征时,截止匹配的位置,例如深度:65535 ,则代表该条内容的匹配位置到第65535位截止。
    说明:
    • “深度”值需大于“内容”字段长度。
    • 一条IPS特征中最多添加4条内容。

  7. 单击“确认”,完成添加IPS特征。

相关操作

  • 复制IPS特征:在目标任务所在行的“操作”列中,单击“复制”,修改参数信息后,单击“确认”,可以快速复制IPS特征。
  • 修改IPS特征:在目标任务所在行的“操作”列中,单击“编辑”,可以修改IPS特征信息。
  • 批量删除IPS特征:勾选目标特征,单击列表上方的“删除”,可以批量删除IPS特征。
  • 批量修改动作:勾选目标特征,单击列表上方的“观察”“拦截”,可以批量修改防火墙的响应动作。

后续操作

整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志

相关文档