特征开启tftp服务器

i目录1IPS1-11.
1IPS配置命令·1-11.
1.
1displayipspolicy1-11.
1.
2displayipssignature·1-31.
1.
3displayipssignature{pre-defined|user-defined1-51.
1.
4displayipssignatureinformation1-71.
1.
5ipsapplypolicy·1-81.
1.
6ipsparameter-profile1-91.
1.
7ipspolicy1-101.
1.
8ipssignatureauto-update1-101.
1.
9ipssignatureauto-update-now·1-111.
1.
10ipssignatureimportsnort·1-111.
1.
11ipssignaturerollback1-131.
1.
12ipssignatureupdate1-141.
1.
13object-dir·1-161.
1.
14override-current1-161.
1.
15protect-target1-171.
1.
16severity-level·1-181.
1.
17signatureoverride1-181.
1.
18signatureoverrideall1-201.
1.
19updateschedule1-211-11IPS1.
1IPS配置命令1.
1.
1displayipspolicydisplayipspolicy命令用来显示IPS策略信息.
【命令】displayipspolicypolicy-name【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写.
【举例】#显示IPS策略aa的策略信息.
displayipspolicyaaTotalsignatures:474failed:0Pre-definedsignatures:474failed:0User-definedsignatures:0failed:0Flag:B:Block-sourceD:DropP:PermitRs:ResetRd:RedirectC:CaptureL:LoggingPre:predefinedUser:user-definedTypeRuleIDTargetSubTargetSeverityCategoryStatusActionPre1OperationSyOperationSystemHighVulnerabiliEnableRsLPre2OperationSyOperationSystemHighVulnerabiliEnableRsLPre3BrowserBrowser/InterneHighVulnerabiliEnableRsCLPre4OfficeSoftwOfficeSoftware/HighVulnerabiliEnableRsLPre5OperationSyOperationSystemHighVulnerabiliEnableRsLPre6OperationSyOperationSystemHighVulnerabiliDisablePLPre7BrowserBrowser/InterneHighVulnerabiliDisablePLPre8ApplicationApplicationSoftHighVulnerabiliEnableRsLPre9ApplicationApplicationSoftHighVulnerabiliEnableRsLPre10OperationSyOperationSystemHighVulnerabiliEnableRsLPre11BrowserBrowser/InterneHighVulnerabiliEnableRsLPre12OfficeSoftwOfficeSoftware/CriticalVulnerabiliDisableRsL1-2Pre13OperationSyOperationSystemHighVulnerabiliEnableRsLPre14ApplicationApplicationSoftHighVulnerabiliEnableRsLPre15BrowserBrowser/InterneHighVulnerabiliEnableRsLPre16OperationSyOperationSystemCriticalVulnerabiliEnableRsLPre17BrowserBrowser/InterneHighVulnerabiliEnableRsLPre18OperationSyOperationSystemHighVulnerabiliEnableRsLPre19OfficeSoftwOfficeSoftware/CriticalVulnerabiliDisableRsLPre20OfficeSoftwOfficeSoftware/CriticalVulnerabiliEnableRsLPre21ApplicationApplicationSoftCriticalVulnerabiliEnableRsLPre23OperationSyOperationSystemHighVulnerabiliEnableRsLPre24BrowserBrowser/InterneHighVulnerabiliDisablePLPre25NetworkDeviNetworkDevice/DHighVulnerabiliEnablePLPre26BrowserBrowser/InterneHighVulnerabiliEnableRsL----More----表1-1displayipspolicy命令显示信息描述表字段描述TotalsignaturesIPS特征总数Pre-definedsignatures预定义IPS特征数目User-definedsignatures用户自定义IPS特征数目TypeIPS特征的类型,包括如下取值:Pre:表示预定义特征User:表示自定义特征RuleIDIPS特征编号Target攻击对象SubTarget攻击子对象SeverityIPS特征的攻击严重程度属性,从低到高分为四级:Low、Medium、High、CriticalCategoryIPS特征的攻击类别名称StatusIPS特征的状态,包括如下取值:Enabled:表示此特征已生效Disabled:表示此特征未生效Action对报文的处理动作,包括如下取值:Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单Drop:表示丢弃符合特征的报文Permit:表示允许符合特征的报文通过Redirect:表示重定向报文的动作,把符合特征的报文重定向到指定的Web页面上Reset:表示发送TCP的reset报文使TCP连接断开Capture:表示捕获符合特征的报文Logging:表示对符合特征的报文生成日志1-3【相关命令】ipspolicy1.
1.
2displayipssignaturedisplayipssignature命令用来显示IPS特征信息.
【命令】displayipssignature[pre-defined|user-defined][direction{any|to-client|to-server}][categorycategory-name|fidelity{high|low|medium}|protocol{icmp|ip|tcp|udp}|severity{critical|high|low|medium}]*【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】pre-defined:显示预定义IPS特征.
user-defined:显示自定义IPS特征.
direction{any|to-client|to-server}:显示符合指定方向属性的IPS特征.
如果未指定此参数,则显示所有方向上的IPS特征.
to-server:表示一个会话的客户端到服务器的方向.
to-client:表示一个会话的服务器到客户端的方向.
any:表示一个会话的两个方向.
categorycategory-name:显示符合指定攻击类别属性的IPS特征,category-name是攻击类型的名称.
如果未指定此参数,则显示所有攻击类型的IPS特征.
fidelity{high|low|medium}:显示符合指定可信度属性的IPS特征.
如果未指定此参数,则显示所有可信度的IPS特征.
可信度是指此IPS特征识别攻击行为准确度,且从低到高分为如下三个级别:low:可信度比较低.
medium:可信度中等.
high:可信度比较高.
protocol{icmp|ip|tcp|udp}:显示符合指定协议属性的IPS特征,协议ICMP、IP、TCP和UDP协议.
如果未指定此参数,则显示所有协议的IPS特征.
severity{critical|high|low|medium}:显示符合指定攻击严重程度属性的IPS特征.
如果未指定此参数,则显示所有攻击严重程度的IPS特征.
攻击严重程度是指匹配此IPS特征的网络攻击造成的危害的严重程度,且从低到高分为四个级别:low:攻击严重程度比较低.
medium:攻击严重程度中等.
1-4high:攻击严重程度比较高.
critical:攻击严重程度非常高.
【使用指导】若不指定任何参数,则显示所有IPS特征.
【举例】#显示可信度为中等的所有TCP协议的预定义IPS特征.
displayipssignaturepre-definedprotocoltcpfidelitymediumPre-definedsignatures:465failed:0Flag:Pre:predefinedUser:user-definedTypeSig-IDDirectionSeverityFidelityCategoryProtocolPre1To-serverHighMediumVulnerabilityTCPPre2To-serverHighMediumVulnerabilityTCPPre3To-clientHighMediumVulnerabilityTCPPre4To-clientHighMediumVulnerabilityTCPPre5To-clientHighMediumVulnerabilityTCPPre6To-clientHighMediumVulnerabilityTCPPre7To-clientHighMediumVulnerabilityTCPPre8To-clientHighMediumVulnerabilityTCPPre10To-serverHighMediumVulnerabilityTCPPre11To-clientHighMediumVulnerabilityTCPPre12To-clientCriticalMediumVulnerabilityTCPPre13To-clientHighMediumVulnerabilityTCPPre14To-serverHighMediumVulnerabilityTCPPre15To-clientHighMediumVulnerabilityTCPPre16To-clientCriticalMediumVulnerabilityTCPPre17To-clientHighMediumVulnerabilityTCPPre18To-clientHighMediumVulnerabilityTCP----More----#显示攻击严重程度为比较高的所有UDP协议的IPS特征.
displayipssignatureseverityhighprotocoludpTotalsignatures:7failed:0Pre-definedsignatures:7failed:0User-definedsignatures:0failed:0Flag:Pre:predefinedUser:user-definedTypeSig-IDDirectionSeverityFidelityCategoryProtocolPre9To-serverHighMediumVulnerabilityUDPPre45To-serverHighMediumVulnerabilityUDPPre187AnyHighMediumVulnerabilityUDPPre196AnyHighMediumVulnerabilityUDPPre223To-serverHighMediumVulnerabilityUDP1-5Pre234To-clientHighMediumVulnerabilityUDPPre338To-clientHighMediumVulnerabilityUDP表1-2displayipssignature命令显示信息描述表字段描述TotalsignaturesIPS特征总数failedSnort规则导入特征库失败和特征库加载失败的特征总数Pre-definedcount预定义IPS特征数目User-definedcount自定义IPS特征数目TypeIPS特征的类型,包括如下取值:Pre:表示预定义特征User:表示自定义特征Sig-IDIPS特征的编号DirectionIPS特征的方向属性,包括如下取值:any:表示一个会话的两个方向To-server:一个会话的客户端到服务器方向To-client:一个会话的服务器到客户端方向SeverityIPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、CriticalFidelityIPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、HighCategoryIPS特征的攻击类别名称ProtocolIPS特征的协议属性1.
1.
3displayipssignature{pre-defined|user-defined}displayipssignature{pre-defined|user-defined}命令用来显示IPS特征的详细信息.
【命令】displayipssignature{pre-defined|user-defined}signature-id【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】pre-defined:显示预定义IPS特征的详细信息.
user-defined:显示自定义IPS特征的详细信息.
signature-id:指定IPS特征的编号,取值范围为1~4294967295.
1-6【举例】#显示编号为1的预定义IPS特征的详细信息.
displayipssignaturepre-defined1Type:Pre-definedSignatureID:1Status:EnabledAction:Reset&LoggingName:GNU_Bash_CVE-2014-6271_Remote_Code_Execution_VulnerabilityProtocol:TCPSeverity:HighFidelity:MediumDirection:To-serverCategory:VulnerabilityReference:CVE-2014-6271;Description:GNUBashthrough4.
3processestrailingstringsafterfunctiondefinitionsinthevaluesofenvironmentvariables,whichallowsremoteattackerstoexecutearbitrarycodeviaacraftedenvironment,asdemonstratedbyvectorsinvolvingtheForceCommandfeatureinOpenSSHsshd,themod_cgiandmod_cgidmodulesintheApacheHTTPServer,scriptsexecutedbyunspecifiedDHCPclients,andothersituationsinwhichsettingtheenvironmentoccursacrossaprivilegeboundaryfromBashexecution,aka\"ShellShock.
\"NOTE:theoriginalfixforthisissuewasincorrect;CVE-2014-7169hasbeenassignedtocoverthevulnerabilitythatisstillpresentaftertheincorrectfix.
表1-3displayipssignature{pre-defined|user-defined}命令显示信息描述表字段描述TypeIPS特征的类型,包括如下取值:Pre:表示预定义特征User:表示自定义特征SignatureIDIPS特征的编号StatusIPS特征的状态,包括如下取值:Enabled:表示此特征已生效Disabled:表示此特未生效Action对报文的处理动作,包括如下取值:Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单Drop:表示丢弃符合特征的报文Permit:表示允许符合特征的报文通过Redirect:表示重定向报文的动作,把符合特征的报文重定向到指定的Web页面上Reset:表示发送TCP的reset报文使TCP连接断开Capture:表示捕获符合特征的报文Logging:表示对符合特征的报文生成日志NameIPS特征的名称ProtocolIPS特征的协议属性1-7字段描述SeverityIPS特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、CriticalFidelityIPS特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、HighDirectionIPS特征的方向属性,包括如下取值:any:表示一个会话的两个方向To-server:一个会话的客户端到服务器方向To-client:一个会话的服务器到客户端方向CategoryIPS特征的攻击类别名称ReferenceIPS特征的参考信息DescriptionIPS特征的描述信息1.
1.
4displayipssignatureinformationdisplayipssignatureinformation命令用来显示IPS特征库信息.
【命令】displayipssignatureinformation【视图】任意视图【缺省用户角色】network-adminnetwork-operator【举例】#显示IPS特征库信息.
displayipssignatureinformationIPSsignaturelibraryinformation:TypeSigVersionReleaseTimeSizeCurrent1.
02FriSep1309:05:35201471594Last---Factory1.
00FriSep1109:05:35201471394表1-4displayipssignatureinformation命令显示信息描述表字段描述TypeIPS特征库版本,包括如下取值:Current:表示当前版本Last:表示上一版本Factory:表示出厂版本SigVersionIPS特征库版本号1-8字段描述ReleaseTimeIPS特征库发布时间SizeIPS特征库文件大小,单位是Bytes1.
1.
5ipsapplypolicyipsapplypolicy命令用来在DPI应用profile中引用IPS策略.
undoipsapplypolicy命令用来删除引用的IPS策略.
【命令】ipsapplypolicypolicy-namemode{alert|protect}undoipsapplypolicy【缺省情况】DPI应用profile中没有引用IPS策略.
【视图】DPI应用profile视图【缺省用户角色】network-admin【参数】policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写.
mode:表示IPS策略的模式.
alert:告警模式,表示报文匹配上该IPS策略中的特征后,仅可以生成日志或捕获报文,但其他动作均不能生效.
protect:保护模式,表示报文匹配上该IPS策略中的特征后,设备按照特征的动作对该报文进行处理.
【使用指导】一个DPI应用profile视图下只能引用一个IPS策略.
多次执行本命令,最后一次执行的命令生效.
【举例】#在名称为sec的DPI应用profile下引用IPS策略ips1,且配置IPS模式为保护模式.
system-view[Sysname]app-profilesec[Sysname-app-profile-sec]ipsapplypolicyips1modeprotect【相关命令】app-profile(DPI深度安全命令参考/应用层检测引擎)ipspolicy1-91.
1.
6ipsparameter-profileips{block-source|capture|email|logging|redirect}parameter-profile命令用来配置IPS引用应用层检查引擎动作参数profile.
undoips{block-source|capture|email|logging|redirect}parameter-profile命令用来取消IPS引用的应用层检查引擎动作参数profile.
【命令】ips{block-source|capture|email|logging|redirect}parameter-profileparameter-nameundoips{block-source|capture|email|logging|redirect}parameter-profile【缺省情况】IPS未引用应用层检查引擎动作参数profile.
【视图】系统视图【缺省用户角色】network-admin【参数】block-source:表示设置IPS源阻断动作的参数.
capture:表示设置IPS捕获动作的参数.
email:表示设置IPS邮件动作的参数.
logging:表示设置IPS日志动作的参数.
redirect:表示设置IPS重定向动作的参数.
parameter-profileparameter-name:指定IPS动作引用的应用层检测引擎动作参数profile.
parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写.
【使用指导】每类IPS动作的具体执行参数由应用层检测引擎动作参数profile来定义,该profile的具体配置请参见"DPI深度安全命令参考"中的"应用层检测引擎".
如果IPS引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值.
【举例】#创建名称为ips1的应用层检测引擎源阻断动作参数profile,配置其阻断源IP地址的时长为1111秒.
system-view[Sysname]inspectblock-sourceparameter-profileips1[Sysname-inspect-block-source-ips1]block-period1111[Sysname-inspect-block-source-ips1]quit#配置IPS引用名称为ips1的应用层检查引擎源阻断动作参数profile.
[Sysname]ipsblock-sourceparameter-profileips1【相关命令】inspectblock-sourceparameter-profile(DPI深度安全命令参考/应用层检测引擎)1-10inspectcaptureparameter-profile(DPI深度安全命令参考/应用层检测引擎)inspectloggingparameter-profile(DPI深度安全命令参考/应用层检测引擎)inspectemailparameter-profile(DPI深度安全命令参考/应用层检测引擎)inspectredirectparameter-profile(DPI深度安全命令参考/应用层检测引擎)1.
1.
7ipspolicyipspolicy命令用来创建IPS策略,并进入IPS策略视图.
如果指定的IPS策略已经存在,则直接进入IPS策略视图.
undoipspolicy命令用来删除指定的IPS策略.
【命令】ipspolicypolicy-nameundoipspolicypolicy-name【缺省情况】存在一个缺省IPS策略,名称为default.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写.
【使用指导】设备上存在一个名称为default的缺省IPS策略,缺省IPS策略和自定义IPS策略都使用当前系统中的所有IPS特征,新增IPS特征会自动添加到所有策略下.
但是缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改.
【举例】#创建一个名称为ips1的IPS策略,并进入IPS策略视图.
system-view[Sysname]ipspolicyips1[Sysname-ips-policy-ips1]1.
1.
8ipssignatureauto-updateipssignatureauto-update命令用来开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图.
undoipssignatureauto-update命令用来关闭定期自动在线升级IPS特征库功能.
【命令】ipssignatureauto-updateundoipssignatureauto-update1-11【缺省情况】定期自动在线升级IPS特征库功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的IPS特征库进行升级.
【举例】#开启定期自动在线升级IPS特征库功能,并进入自动升级配置视图.
system-view[Sysname]ipssignatureauto-update[Sysname-ips-autoupdate]【相关命令】updateschedule1.
1.
9ipssignatureauto-update-nowipssignatureauto-update-now命令用来立即自动在线升级IPS特征库.
【命令】ipssignatureauto-update-now【视图】系统视图【缺省用户角色】network-admin【使用指导】执行此命令后,将立即自动升级设备上的IPS特征库,且会备份当前的IPS特征库文件.
此命令的生效与否,与是否开启了定期自动升级IPS特征库功能无关.
当管理员发现H3C官方网站上的特征库服务专区中的IPS特征库有更新时,可以选择立即自动在线升级方式来及时升级IPS特征库版本.
【举例】#立即自动在线升级IPS特征库版本.
system-view[Sysname]ipssignatureauto-update-now1.
1.
10ipssignatureimportsnortipssignatureimportsnort命令用来导入自定义IPS特征.
1-12【命令】ipssignatureimportsnortfile-path【缺省情况】不存在自定义IPS特征.
【视图】系统视图【缺省用户角色】network-admin【参数】file-path:自定义IPS特征库文件的URL,为1~255个字符的字符串.
【使用指导】当需要的IPS特征在设备当前IPS特征库中不存在时,可通过编辑Snort格式的IPS特征文件,并将其导入设备中来生成所需的IPS特征.
导入的IPS特征文件内容会自动覆盖系统中所有的自定义IPS特征.
管理员可以采用如下几种方式导入自定义IPS特征库文件.
本地方式:使用本地保存的自定义IPS特征库文件导入.
FTP/TFTP方式:通过FTP或TFTP方式下载远程服务器上保存的自定义IPS特征库文件,并导入到系统中.
参数file-path的取值与自定义IPS特征库文件导入的操作方式有关.
采用本地方式时参数file-path取值请参见表1-5;采用FTP/TFTP方式时参数file-path取值请参见表1-6.
表1-5采用本地方式时参数file-path取值说明表导入方式参数file-path取值说明自定义IPS特征库文件的存储位置与当前工作路径一致filename可以执行pwd命令查看当前工作路径有关pwd命令的详细介绍请参见"基础配置命令参考"中的"文件系统管理"自定义IPS特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上path/filename-自定义IPS特征库文件的存储位置与当前工作路径不在相同存储介质上path/filename需要先执行cd命令将工作路径切换至自定义IPS特征库文件所在存储介质的根目录下,再指定自定义IPS特征库文件的相对路径有关cd命令的详细介绍请参见"基础配置命令参考"中的"文件系统管理"1-13表1-6采用FTP/TFTP方式时参数file-path取值说明表升级场景参数file-path取值说明自定义IPS特征库文件存储在开启FTP服务的远程服务器上ftp://username:password@server/filenameusername为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名当FTP用户名和密码中使用了":"、"@"和"/"三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符.
":"、"@"和"/"三种特殊字符对应的转义字符分别为"%3A或%3a"、"%40"和"%2F或%2f"自定义IPS特征库文件存储在开启TFTP服务的远程服务器上tftp://server/filenameserver为TFTP服务器的IP地址或主机名编辑Snort格式的IPS特征文件需要注意的是:Snort文件需要遵循Snort公司的语法.
Snort规则的SID取值范围为1~536870911,若超出此范围,则规则无效.
编辑Snort规则时,必须配置msg字段,否则IPS系统日志中威胁名称字段是空的.
当用户自定义Snort规则中的应用无法被识别时,报文无法成功匹配该规则.
【举例】#采用TFTP方式,将自定义Snort格式的IPS特征库文件导入设备生成自定义IPS特征,自定义Snort格式的IPS特征库文件的远程路径为tftp://192.
168.
0.
1/snort.
rules.
system-view[Sysname]ipssignatureimportsnorttftp://192.
168.
0.
1/snort.
rules1.
1.
11ipssignaturerollbackipssignaturerollback命令用来回滚IPS特征库.
【命令】ipssignaturerollback{factory|last}【视图】系统视图【缺省用户角色】network-admin【参数】factory:表示IPS特征库的出厂版本.
last:表示IPS特征库的上一版本.
【使用指导】IPS特征库回滚是指将当前的IPS特征库版本回滚到指定的版本.
如果管理员发现设备当前IPS特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前IPS特征库版本进行回滚.
目前支持将设备中的IPS过滤特征库版本回滚到出厂版本和上一版本.
1-14IPS特征库版本每次回滚前,设备都会备份当前版本.
多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换.
例如当前IPS特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本.
【举例】#配置IPS特征库回滚到上一版本.
system-view[Sysname]ipssignaturerollbacklast1.
1.
12ipssignatureupdateipssignatureupdate命令用来手动离线升级IPS特征库.
【命令】ipssignatureupdate[override-current]file-path【视图】系统视图【缺省用户角色】network-admin【参数】override-current:表示覆盖当前版本的特征库文件.
如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上.
file-path:指定特征库文件的路径,为1~255个字符的字符串.
【使用指导】如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级IPS特征库版本.
本地升级:使用本地保存的特征库文件升级系统上的IPS特征库版本.
FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的IPS特征库版本.
特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败.
(集中式设备-IRF模式)参数file-path的取值与手动离线升级的操作方式有关.
本地升级时参数file-path取值请参见表1-7;FTP/TFTP升级时参数file-path取值请参见表1-8.
表1-7本地升级时参数file-path取值说明表升级场景参数file-path取值说明特征库文件的存储位置与当前工作路径一致filename可以执行pwd命令查看当前工作路径有关pwd命令的详细介绍请参见"基础配置命令参考"中的"文件系统管理"特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上path/filename-1-15升级场景参数file-path取值说明特征库文件的存储位置与当前工作路径不在相同存储介质上path/filename需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径有关cd命令的详细介绍请参见"基础配置命令参考"中的"文件系统管理"表1-8FTP/TFTP升级时参数file-path取值说明表升级场景参数file-path取值说明特征库文件存储在开启FTP服务的远程服务器上ftp://username:password@server/filenameusername为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名当FTP用户名和密码中使用了":"、"@"和"/"三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符.
":"、"@"和"/"三种特殊字符对应的转义字符分别为"%3A或%3a"、"%40"和"%2F或%2f"特征库文件存储在开启TFTP服务的远程服务器上tftp://server/filenameserver为TFTP服务器的IP地址或主机名当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达.
否则设备升级特征库会失败.
有关域名解析功能的详细配置请参见"三层技术-IP业务配置指导"中的"域名解析".
【举例】#配置手动离线升级IPS特征库,且采用TFTP方式,IPS特征库文件的远程路径为tftp://192.
168.
0.
10/ips-1.
0.
2-en.
dat.
system-view[Sysname]ipssignatureupdatetftp://192.
168.
0.
10/ips-1.
0.
2-en.
dat#配置手动离线升级IPS特征库,且采用FTP方式,IPS特征库文件的远程路径为ftp://192.
168.
0.
10/ips-1.
0.
2-en.
dat,用户名为user:123,密码为user@abc/123.
system-view[Sysname]ipssignatureupdateftp://user%3A123:user%40abc%2F123@192.
168.
0.
10/ips-1.
0.
2-en.
dat#配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/ips-1.
0.
23-en.
dat,且当前工作路径为cfa0:.
system[Sysname]ipssignatureupdateips-1.
0.
23-en.
dat#配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfa0:/dpi/ips-1.
0.
23-en.
dat,且当前工作路径为cfa0:.
system1-16[Sysname]ipssignatureupdatedpi/ips-1.
0.
23-en.
dat#配置手动离线升级IPS特征库,且采用本地方式,IPS特征库文件的本地路径为cfb0:/dpi/ips-1.
0.
23-en.
dat,当前工作路径为cfa0:.
cdcfb0:/system[Sysname]ipssignatureupdatedpi/ips-1.
0.
23-en.
dat1.
1.
13object-dirobject-dir命令用来通过配置方向选择IPS策略所保护的对象.
undoobject-dir命令用来恢复缺省情况.
【命令】object-dir{client|server}*undoobject-dir【缺省情况】IPS策略保护所有方向上的对象.
【视图】IPS策略视图【缺省用户角色】network-admin【参数】client:表示从服务器到客户端方向上的对象.
server:表示从客户端到服务器方向上的对象.
【举例】#在名称为test的IPS策略中仅保护从服务器到客户端方向上的对象.
system-view[sysname]ipspolicytest[sysname-ips-policy-test]object-dirclient1.
1.
14override-currentoverride-current命令用来配置定期自动在线升级IPS特征库时覆盖当前的特征文件.
undooverride-current命令用来恢复缺省情况.
【命令】override-currentundooverride-current【缺省情况】定期自动在线升级IPS特征库时不会覆盖当前的特征库文件,而是同时将当前的特征库文件备份为上一版本.
1-17【视图】自动升级配置视图【缺省用户角色】network-admin【使用指导】可以通过开启此功能解决升级IPS特征库时设备内存不足的问题.
在设备剩余内存充裕的情况下,不建议配置该功能,因为IPS特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本.
配置此功能后定期自动在线升级IPS特征库时不会将当前的特征库文件备份为上一版本.
【举例】#配置定期自动在线升级IPS特征库时覆盖当前的特征文件.
system-view[Sysname]ipssignatureauto-update[Sysname-ips-autoupdate]override-current【相关命令】ipssignatureauto-update1.
1.
15protect-targetprotect-target命令用来配置IPS策略保护对象的筛选条件.
undoprotect-target命令用来删除IPS策略保护对象的筛选条件.
【命令】protect-target{all|target[subtarget]}undoprotect-target{all|target[subtarget]}【缺省情况】IPS策略中没有配置保护对象的筛选条件,IPS策略保护所有对象.
【视图】IPS策略视图【缺省用户角色】network-admin【参数】all:表示保护所有对象.
target:表示对象分类.
subtarget:表示对象分类中的子对象.
若不指定本参数,则表示保护某对象分类中的所有子对象.
【使用指导】可通过配置保护对象来筛选此IPS策略中需要匹配的IPS特征,从而实现保护某对象的功能,未被选中的对象不受此IPS策略的保护.
在IPS策略视图下执行displaythis命令可查看此策略保护的所有对象.
1-18可多次执行本命令,为IPS策略配置多个保护对象.
【举例】#在名称为test的IPS策略中,配置策略保护的子对象为WebServer对象分类中的WebLogic.
system-view[sysname]ipspolicytest[sysname-ips-policy-test]protected-targetWebServerWebLogic1.
1.
16severity-levelseverity-level命令用来通过配置严重级别选择IPS策略所保护的对象.
undoseverity-level命令用来恢复缺省情况.
【命令】severity-level{critical|high|low|medium}*undoseverity-level【缺省情况】IPS策略保护所有严重级别的对象.
【视图】IPS策略视图【缺省用户角色】network-admin【参数】critical:表示严重级别最高.
high:表示严重级别高.
low:表示严重级别低.
medium:表示严重级别一般.
【举例】#在名称为test的IPS策略中仅保护严重级别为critical和medium的对象.
system-view[sysname]ipspolicytest[sysname-ips-policy-test]severity-levelcriticalmedium1.
1.
17signatureoverridesignatureoverride命令用来修改IPS特征的状态和动作.
undosignatureoverride命令用来恢复指定IPS特征的缺省状态和动作.
【命令】signatureoverride{pre-defined|user-defined}signature-id{{disable|enable}[{block-source|drop|permit|redirect|reset}|capture|logging]*}undosignatureoverride{pre-defined|user-defined}signature-id1-19【缺省情况】预定义IPS特征使用系统预定义的状态和动作,自定义IPS特征的动作和状态在管理员导入的特征库文件中定义.
【视图】IPS策略视图【缺省用户角色】network-admin【参数】pre-defined:表示预定义的IPS特征.
user-defined:表示自定义的IPS特征.
signature-id:IPS特征的编号,取值范围为1~4294967295.
disable:表示禁用此IPS特征.
在某些网络环境中,如果一些IPS特征暂时不会被用到,而且又不想将其从IPS策略中删除时,可以使用disable参数来禁用这些规则.
enable:表示启用此IPS特征.
block-source:阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单.
如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效.
有关IP黑名单过滤功能的详细介绍请参见"安全命令参考"中的"攻击检测与防范",有关block-period命令的详细介绍请参见"DPI深度安全"中的"应用层检测引擎".
drop:表示丢弃报文的动作.
permit:表示允许报文通过的动作.
redirect:表示重定向报文的动作,把符合特征的报文重定向到指定的Web页面上.
reset:表示通过发送TCP的reset报文使TCP连接断开.
capture:表示捕获报文的动作.
logging:表示生成报文日志的动作.
【使用指导】管理员可以根据实际的网络需求,通过配置IPS策略修改此IPS策略中已有IPS特征的动作属性和生效状态属性,但是缺省IPS策略中的IPS特征的动作属性和生效状态属性不能被修改.
当IPS策略中的IPS特征被禁用后,此IPS特征对用户报文不生效.
在同一个IPS策略视图中对同一IPS特征多次执行此命令,最后一次执行的命令生效.
经过设备的报文与某个IPS特征匹配成功后,设备将根据此IPS特征的动作对该报文进行处理.
如果报文未与任何IPS特征匹配成功,则设备直接允许此报文通过.
如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作对此报文进行处理.
但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行.
动作优先级从高到低的顺序为:重置>重定向>(源阻断/丢弃)>允许,其中源阻断与丢弃的优先级相同.
【举例】#在名称为ips1的IPS策略中,配置编号为2的预定义IPS特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息.
1-20system-view[Sysname]ipspolicyips1[Sysname-ips-policy-ips1]signatureoverridepre-defined2enabledropcapturelogging【相关命令】blacklistglobalenable(安全命令参考/攻击检测与防范)ipsparameter-profileipspolicy1.
1.
18signatureoverrideallsignatureoverrideall命令用来配置IPS策略动作.
undosignatureoverrideall命令用来恢复缺省情况.
【命令】signatureoverrideall{{block-source|drop|permit|redirect|reset}|capture|logging}*undosignatureoverrideall【缺省情况】IPS策略执行特征中定义的动作.
【视图】IPS策略视图【缺省用户角色】network-admin【参数】block-source:阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单.
如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效.
有关IP黑名单过滤功能的详细介绍请参见"安全命令参考"中的"攻击检测与防范",有关block-period命令的详细介绍请参见"DPI深度安全"中的"应用层检测引擎".
drop:表示丢弃报文的动作.
permit:表示允许报文通过的动作.
redirect:表示重定向报文的动作,把符合特征的报文重定向到指定的Web页面上.
reset:表示通过发送TCP的reset报文使TCP连接断开.
capture:表示捕获报文的动作.
logging:表示生成报文日志的动作.
【使用指导】若为某IPS策略配置了动作,则设备将根据IPS策略中配置的动作对与此策略中特征匹配成功的报文进行处理.
否则,设备将根据IPS策略中特征的预定义动作对与此特征匹配成功的报文进行处理.
当IPS特征中的动作被修改后,无论是否IPS策略中配置了动作,设备都将根据IPS特征中自定义的动作对与此特征匹配成功的报文进行处理.
1-21【举例】#配置名称为text的IPS策略的动作为丢弃,并生成日志信息和捕获报文.
system-view[sysname]ipspolicytest[sysname-ips-policy-test]signatureoverridealldroploggingcapture【相关命令】blacklistglobalenable(安全命令参考/攻击检测与防范)ipsparameter-profile1.
1.
19updatescheduleupdateschedule命令用来配置定期自动在线升级IPS特征库的时间.
undoupdateschedule命令用来恢复缺省情况.
【命令】updateschedule{daily|weekly{fri|mon|sat|sun|thu|tue|wed}}start-timetimetingleminutesundoupdateschedule【缺省情况】设备在每天02:01:00至04:01:00之间自动在线升级IPS特征库.
【视图】自动升级配置视图【缺省用户角色】network-admin【参数】daily:表示自动升级周期为每天.
weekly:表示以一周为周期,在指定的一天进行自动升级.
fri:表示星期五.
mon:表示星期一.
sat:表示星期六.
sun:表示星期日.
thu:表示星期四.
tue:表示星期二.
wed:表示星期三.
start-timetime:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59.
tingleminutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟.
在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00.
1-22【举例】#配置IPS特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟.
system-view[Sysname]ipssignatureauto-update[Sysname-ips-autoupdate]updatescheduleweeklymonstart-time20:30:00tingle10【相关命令】ipssignatureauto-update