UnityOne IPS自定义过滤器(CSW)配置案例

                               UnityOne IPS产品ZPHA设备配置案例

                                                                                                                              谷会波 04628

一、前言

Custom Shield Writer （CSW）是用户自定义过滤器的编写器,CSW提供强大的攻击过滤器编写功能，能够编写多种过滤器。

在使用Custom Shield Writer （CSW）定义过滤器之前，首先在TP系统中查找是否已经存在或者即将要发布的过滤器中包含类似的过滤器。TP的Digital Vaccines 每星期更新一次，有特殊情况会随时更新。

编写过滤器需要掌握各种知识和很高的技术，如果编写不慎，会对网络造成极端的影响，所以不建议用户使用自定义过滤器。          

二、操作步骤

1、  安装Custom Shield Writer （CSW）：双击Custom Shield Writer （CSW）安装文件，输入License Key即可；

2、   双击桌面上的CSW图标，启动CSW应用程序

3、   显示空白的主界面功能区

4、   功能区的工具栏中功能键如下：

5、 CSW菜单的主要功能介绍如下：

6、搜索功能栏的使用：

可以搜索整个过滤器的名字或者通过关键字来进行搜索

7、  双击新过滤器的图标或者从菜单里面选择 File > New，开始新建立过滤器：

8、过滤器的配置界面如下图：

9、  以规则DNS-request-ircline01为实例，介绍规则建立的过程。DNS-request-ircline01规则防御主机名称包含“***.***”的DNS请求，如果将此规则的响应动作设置为阻断，此规则将阻断对的正常访问。该规则通过检测目的端口为53的UDP数据包，检测数据包中是否包含字符串“ircline01”，并采取响应的动作。在“General”中输入名称、作者、详细描述等信息：

10、  在“Properties”中输入协议、安全级别、过滤器类别、攻击类别信息：

9、在“Payload”中输入需要检测的字符串“ircline01”，在“Regular expression”中输入更精确的报文信息（可以通过抓包工具，抓取包含相应字符串的数据包，提取包含所需过滤的字符串的匹配二进制表示部分），如图：

10、“IP”信息中，添加所需要过滤的源地址和目的地址，如图：

注意事项：

★     如果是IP过滤器必需添加源地址或者目的地址；

★     如果源IP地址和目的地址都为空，则过滤器将匹配任何源地址和目的地址。

11、在“UDP”中输入与过滤器相关的端口信息，此案例中设置目的端口为53，如图：

12、点击“OK”，保存过滤器，在CSW的主界面会显示定义完成的过滤器，如图：

13、使用“File > Save As”将过滤器保存到本地计算机，文件格式为“.CSW ” ，如图：

14、将本地计算机中的过滤器文件导入到LSM或者SMS系统中，导入方法与DV升级方法相同（DV升级案例）。

三、注意事项；

1、  编写出优秀的、有效的过滤器并非简单的事情，需要很高的技术水平，请慎重使用；

2、  定义的过滤器可以通过LSM或SMS导入到系统内部；

3、  同一时间IPS设备只允许一个导入CSW包；

4、  一个CSW包可以包含100条定义的过滤器；