自定义IPS特征
CFW支持自定义网络入侵特征规则,添加后,CFW将基于签名特征检测数据流量是否存在威胁。
自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。
自定义的特征建议具体化,避免太宽泛,否则可能会导致大部分流量匹配到该特征规则,影响流量转发性能。
约束条件
- 仅“专业版”支持自定义IPS特征。
- 最多支持添加500条特征。
- 自定义的IPS特征不受修改基础防御防护模式的影响。
- 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时,“内容选项”才能设置为“URI”。
自定义IPS特征
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,单击左上方的,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择“自定义IPS特征”中的“查看规则”,进入“自定义IPS特征”页面。 。单击
- 在“自定义IPS特征”页签中,单击列表右上角“添加自定义IPS特征”,填写规则如表 添加自定义IPS特征所示。
表1 添加自定义IPS特征 参数名称
参数说明
名称
需要添加的特征名称。
命名规则如下:- 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
- 长度不能超过255个字符。
风险等级
设置特征的风险等级。
攻击类型
选择特征的攻击类型。
影响软件
选择受影响的软件。
操作系统
选择操作系统。
方向
选择该特征匹配流量的方向。
- ANY:任意方向,符合其他条件的任意方向的流量都会匹配到当前规则。
- 服务器到客户端
- 客户端到服务器
协议类型
选择特征的协议类型。
源类型
选择源端口类型。- ANY:任意端口类型,等同于包含所有类型。
- 包含
- 排除
说明:建议您优先选择“ANY”。
源端口
“源类型”选择“包含”或“排除”时,设置源端口。- 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
- 支持连续端口组,中间使用“-”隔开,如:80-443。
目的类型
选择目的端口类型。- ANY:任意端口类型,等同于包含所有类型。
- 包含
- 排除
说明:建议您优先选择“ANY”。
目的端口
“目的类型”选择“包含”或“排除”时,设置目的端口。- 支持设置单个或多个端口,多个端口之间用半角逗号(,)隔开,如:80,100。
- 支持连续端口组,中间使用“-”隔开,如:80-443。
动作
防火墙检测到该特征流量时,采取的动作。
- 观察:仅对攻击事件进行检测并记录到日志中,日志记录查询请参见日志查询。
- 拦截:实施自动拦截操作。
说明:建议您优先选择“观察”,确认“攻击事件日志”记录正确后,再切换至“拦截”。
内容
特征规则中匹配的内容。- 内容:跟特征匹配的内容字段,例如:cfw。
- 内容选项:选择“内容”匹配的限制规则。
- 十六进制:匹配十六进制时,“内容”需填写十六进制格式,例如:0x1F。
- 忽略大小写:匹配时不区分大小写。
- URL:匹配URL中跟“内容”一致的字段。
- 相对位置:匹配特征时,指定开始的位置。
- 偏移:匹配特征时开始的位置,例如偏移:10,则代表该条内容的匹配位置从第11位开始。
- 深度:匹配特征时,截止匹配的位置,例如深度:65535 ,则代表该条内容的匹配位置到第65535位截止。
说明:- “深度”值需大于“内容”字段长度。
- 一条IPS特征中最多添加4条内容。
- 单击“确认”,完成添加IPS特征。
相关操作
- 复制IPS特征:在目标任务所在行的“操作”列中,单击“复制”,修改参数信息后,单击“确认”,可以快速复制IPS特征。
- 修改IPS特征:在目标任务所在行的“操作”列中,单击“编辑”,可以修改IPS特征信息。
- 批量删除IPS特征:勾选目标特征,单击列表上方的“删除”,可以批量删除IPS特征。
- 批量修改动作:勾选目标特征,单击列表上方的“观察”或“拦截”,可以批量修改防火墙的响应动作。
后续操作
整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志。