Настройка системы обнаружения и предотвращения вторжений производится на уровне security-policy intrusion-prevention.
Правила СОВ настраиваются на уровне security-policy intrusion-prevention idps-rules. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.
Доступны параметры:
Параметр
Описание
PASS
WARNING
DENY
Действие правила СОВ:
PASS — не блокировать трафик.
WARNING — не блокировать трафик и записать информацию в журнал.
DENY — блокировать трафик и записать информацию в журнал.
enabled
Включение/отключение правила:
enabled(yes) или enabled(true).
enabled(no) или enabled(false).
name
Название правила системы обнаружения и предотвращения вторжений.
Например: name("IDPS rule example").
desc
Описание правила.
Например: desc("Intrusion prevention rule example set via CLI").
src.zone
Зона источника трафика.
Для указания зоны источника, например, Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip
Добавление списков IP-адресов, MAC-адресов или доменов источника.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip= 02:00:00:00:00:00.
src.geoip
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).
Коды названий стран доступны по ссылке ISO 3166-1.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
dst.zone
Зона назначения трафика.
Для указания зоны назначения трафика, например, Untrusted: dst.zone = Untrusted.
Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
dst.ip
Добавление списков IP-адресов, MAC-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
Для указания MAC-адресов назначения, например 02:00:00:00:00:00, используйте: dst.ip= 02:00:00:00:00:00.
dst.geoip
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU).
Коды названий стран доступны по ссылке ISO 3166-1.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).
Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.
idps_profiles
Профиля СОВ, которые будут использованы в данном правиле: idps_profiles("IDPS profile example").
Профили СОВ задаются для правил с действиями Сбросить и Журналировать. Для разрешающих правил задать профиль СОВ невозможно; такая реализация позволяет настроить исключения для определённого типа трафика.
idps_profiles_exclusions
Список профилей СОВ, сигнатуры которых будут исключены из сигнатур, указанных в профилях СОВ; могут быть использованы только в правилах с действием Сбросить или Журналировать: idps_profiles_exclusions("Example of IDPS profile with exclusions").
Данная возможность позволяет использовать централизованно создаваемые профили сигнатур, изменять содержимое которых администратор не может, но при этом исключить из этого профиля ряд сигнатур, которые избыточны или создают ложные срабатывания.
Только в CLI доступна настройка режима умного сканирования (сканирование только первых байт каждой сессии). Настройка режима производится на уровне security-policy intrusion-prevention settings. Для настройки используется команда:
Admin@UGOS# set security-policy intrusion-prevention settings
Доступны параметры:
Параметр
Описание
intelligent-mode
Включение/отключение режима умного сканирования:
on.
off.
intelligent-limit
Количество первых килобайт каждой сессии, которые будет сканировать система обнаружения и предотвращения вторжений; необходимо задать значение от 50 до 200 КБ.
Для просмотра состояния режима:
Admin@UGOS# show security-policy intrusion-prevention settings
По умолчанию режим умного сканирования включен; проверяются первые 200 КБ каждой сессии.
