• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

f5000 ips问题

2021-12-20提问
  • 0关注
  • 1收藏,1387浏览
粉丝:1人 关注:0人

问题描述:

设备ips650条特征,匹配上丢弃,如果没有匹配上是丢弃还是放行?如果自己自定义一个特征库将东西放进去,让他丢弃或者放通可不可以呢,如果可以怎样做

组网及组网描述:


最佳答案

已采纳
粉丝:51人 关注:3人

一. 没有匹配上会放行,可以勾选记录日志功能查看。

设备将提取的报文特征与IPS特征进行匹配,并进行如下处理:

¡  如果报文未与任何IPS特征匹配成功,则设备对报文执行允许动作。

¡  如果报文只与一个IPS特征匹配成功,则根据此特征中指定的动作进行处理。

¡  如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为:重置 > 重定向 >丢弃 > 允许。但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行。

二. 可以。

1.13.1  导入自定义IPS特征

1. 功能简介

当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征。导入的IPS特征文件内容会自动覆盖系统中所有的自定义IPS特征。

2. 配置限制和指导

目前仅支持以Snort文件导入的方式生成自定义IPS特征,Snort文件需要遵循Snort公司的语法。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      导入自定义IPS特征。

ips signature import snort file-path

暂无评论

3 个回答
粉丝:167人 关注:1人

1、如果没匹配上,看防火墙的默认策略

2、特征库可以自定义的,参考:

https://www.h3c.com/cn/d_202103/1389709_30005_0.htm#_Toc65523068

暂无评论

粉丝:6人 关注:1人

看你设置的动作是怎样的,默认的是丢弃还是放行,可以自定义规则,参考管网配置手册

暂无评论

粉丝:113人 关注:1人

缺省情况下,新建IPS策略执行特征属性中的动作。管理员也可以根据实际网络需求,为IPS策略中所有特征配置统一的动作,或者为指定的特征配置动作。

设备对以上动作执行的优先级为:IPS策略中为指定特征配置的动作 > IPS策略为所有特征配置的统一动作 > IPS特征自身属性的动作。

2. 配置限制和指导

若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPS策略视图。

ips policy policy-name

(3)     配置IPS策略中所有特征的统一动作。

signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *

缺省情况下,IPS策略执行特征属性中的动作。

(4)     (可选)修改IPS策略中指定特征的动作和生效状态。

signature override { pre-defined | user-defined } signature-id { { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] * }

缺省情况下,预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义。

缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改。

(5)     (可选)配置IPS捕获报文时缓存的报文数量。

ips capture-cache number

缺省情况下,未配置IPS捕获报文时缓存的报文数量,设备不对报文进行缓存。

仅当配置了本命令后,设备才对IPS捕获的报文进行缓存。报文缓存结束后,设备将所有缓存报文写入IPS捕获文件中,方便用户分析威胁信息。

1.4.5  配置IPS动作参数

1. 功能简介

IPS动作中,源阻断、捕获和日志仅在配置参数后生效,参数可通过如下方式配置:

·     配置全局动作参数:通过在系统视图下配置IPS引用应用层检测引擎动作参数profile实现,该方式配置的动作参数对所有IPS策略均生效。

·     配置策略动作参数:直接在各个IPS策略视图下单独配置各动作的执行参数。目前仅支持配置日志动作参数。

2. 配置限制和指导

·     如果IPS策略视图下既配置了全局动作参数,又配置了策略动作参数,则以全局动作参数为准。

·     如果需要使策略动作参数生效,则必须保证全局动作参数处于未使能状态。

·     建议在完成全局动作参数的配置之后,再使能全局动作参数。

3. 配置全局动作参数

(1)     进入系统视图。

system-view

(2)     配置全局动作参数。

ips { block-source | capture | email | logging | redirect } parameter-profile parameter-name

缺省情况下,未配置全局动作参数。

引用的动作参数profile由应用层检测引擎动作参数profile提供。如果引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值。有关应用层检测引擎动作参数profile的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

4. 配置策略动作参数

(1)     进入系统视图。

system-view

(2)     进入IPS策略视图。

ips policy policy-name

(3)     配置日志动作参数。

log { email | syslog }

缺省情况下,IPS日志输出方式为syslog。

(4)     (可选)配置允许以邮件方式输出日志的最低严重级别。

email severity-level { critical | high | low | medium }

缺省情况下,允许以邮件方式输出日志的最低严重级别为low。

本命令仅当IPS日志输出方式为email时生效。仅当报文命中的IPS特征的严重级别不低于本命令配置的最低严重级别时,设备才会将生成的IPS日志以邮件方式发送。

(5)     (可选)引用邮件动作参数profile。

email parameter-profile parameter-profile-name

缺省情况下,未引用邮件动作参数profile。

仅当IPS日志输出方式为email时需要配置本命令。

引用的邮件动作参数profile由应用层检测引擎邮件动作参数profile提供。有关应用层检测引擎邮件动作参数profile的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

(6)     去使能全局动作参数。

undo global-parameter enable

缺省情况下,全局动作参数处于使能状态。


1创建自定义IPS特征

1. 功能简介

当需要的IPS特征在设备当前IPS特征库中不存在时,可通过手工配置方式自定义创建所需的IPS特征。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建自定义IPS特征,并进入自定义IPS特征视图。

ips signature user-defined name signature-name

缺省情况下,不存在自定义IPS特征。

(3)     (可选)配置自定义IPS特征的描述信息。

description text

1.10.2  配置自定义IPS特征属性

1. 功能简介

特征具有多种属性,包括动作、检测方向、严重级别和特征下规则间的逻辑关系。

一个自定义特征下可以配置多条规则作为特征的匹配条件,如果规则间是逻辑与的关系,报文需要匹配该自定义特征的所有规则才结束匹配过程;如果规则间是逻辑或的关系,一旦报文与某条规则匹配成功就结束此匹配过程。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入自定义IPS特征视图。

ips signature user-defined name signature-name

缺省情况下,不存在自定义IPS特征。

(3)     配置自定义IPS特征属性。

¡     配置自定义IPS特征的动作。

action { block-source | drop | permit | reset } [ capture | logging ] *

缺省情况下,自定义IPS特征的动作为permit。

¡     配置自定义IPS特征的检测方向。

direction { any | to-client | to-server }

缺省情况下,自定义IPS特征的检测方向为any。

¡     配置自定义IPS特征的严重级别。

severity-level { critical | high | low | medium }

缺省情况下,自定义IPS特征的严重级别为low。

¡     配置自定义IPS特征下规则间的逻辑关系。

rule-logic { and | or }

缺省情况下,自定义IPS特征下规则间的逻辑关系为or。

1.10.3  配置自定义IPS特征规则

1. 功能简介

设备支持以下两种类型自定义IPS特征规则:

·     关键字类型

·     数值类型

规则下可以配置匹配条件以及检查项。仅当报文与规则的匹配条件匹配成功后,才会对规则的检查项进行检测。

一条规则可以配多个检查项,用于精确匹配报文中所需检测的内容。检查项之间为逻辑与的关系,匹配顺序为配置顺序,只有所有检查项都匹配成功,规则才算成功匹配。

触发检查项是同一规则下检查项的触发条件,只有关键字类型自定义特征规则才需要配置触发检查项。如果一条规则的触发检查项匹配失败,则该规则匹配失败,不会再对该规则下的检查项进行检测。

2. 配置限制和指导

·     检查项仅检测指定协议字段范围内的数据。

·     配置检查项匹配的协议字段时,建议依据HTTP协议中各协议字段顺序进行配置,否则可能会影响设备的检测结果。

·     对于关键字类型的自定义特征规则,在配置检查项之前,必须先配置触发检查项。删除触发检查项后,将一并删除所有的检查项。

·     可使用偏移量、检测深度或者相对偏移量、相对检测深度两组参数精确定位检测的起始和终止位置。其中,偏移量、检测深度和相对偏移量、相对检测深度两组参数只可配置一组。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入自定义IPS特征视图。

ips signature user-defined name signature-name

(3)     创建自定义IPS特征规则,并进入自定义IPS特征规则视图。

rule rule-id l4-protocol l4-protocol-name l5-protocol l5-protocol-name pattern-type { keyword | integer }

缺省情况下,不存在自定义IPS特征规则。

(4)     配置自定义IPS特征规则的匹配条件。

¡     配置自定义IPS特征规则匹配的源IP地址。

source-address ip ip-address

缺省情况下,自定义IPS特征规则匹配所有源IP地址。

¡     配置自定义IPS特征规则匹配的目的IP地址。

destination-address ip ip-address

缺省情况下,自定义IPS特征规则匹配所有目的IP地址。

¡     配置自定义IPS特征规则匹配的源端口。

source-port start-port [ to end-port ]

缺省情况下,自定义IPS特征规则匹配所有源端口。

¡     配置自定义IPS特征规则匹配的目的端口。

destination-port start-port [ to end-port ]

缺省情况下,自定义IPS特征规则匹配所有目的端口。

¡     配置自定义IPS特征规则匹配的HTTP报文请求方法。

http-method method-name

缺省情况下,自定义IPS特征规则匹配所有HTTP报文请求方法。

(5)     配置关键字类型自定义IPS特征规则的触发检查项和检查项。

a.     配置触发检查项。

trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]

b.     配置检查项。

detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]

(6)     配置数值类型自定义IPS特征规则的检查项。

detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明