入侵防御配置文件

小乔

入侵防御配置文件是入侵防御功能的核心，用于决定设备对哪些攻击进行防御，如何防御。

入侵防御配置文件的组成

签名过滤器

入侵防御特征库中包含针对各种攻击行为的海量签名信息，但是在实际网络环境中，业务类型可能比较集中，不需要使用所有的签名。如果设备对所有签名都进行防御，可能产生大量无关攻击日志，影响对关键攻击事件的处理和调测。此时需要配置签名过滤器，根据业务情况筛选出需要关注的签名并配置攻击响应动作。设备只防御签名过滤器筛选出的签名。

签名过滤器是一系列过滤签名的条件集合，过滤条件包括：签名的威胁类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才符合条件。一个过滤条件中如果配置多个值，多个值之间是“或”的关系，只要匹配任意一个值，就认为匹配了这个条件。

通常情况下，对于筛选出来的这些签名，在签名过滤器中配置沿用签名本身的缺省动作即可。同时也支持在过滤器中为所有签名统一设置动作。签名过滤器的动作优先级高于签名缺省动作，当签名过滤器的动作不采用签名缺省动作时，以签名过滤器设置的动作为准。

各签名过滤器之间存在优先关系（按照配置顺序，先配置的优先）。如果一个配置文件中的多个签名过滤器包含同一个签名，当报文命中此签名后，设备将根据优先级高的签名过滤器的动作对报文进行处理。

如图6-4所示，例如设备的保护对象是运行Windows操作系统的Web服务器，则可以配置签名过滤器筛选操作系统是Windows、协议是HTTP的签名。

图6-4 签名过滤器

                               
登录/注册后可看大图

例外签名

在签名过滤器中设置的签名动作是统一的，无法修改单个签名动作。考虑到各种例外情况，设备提供例外签名功能。管理员在入侵防御配置文件中将特定签名指定为例外签名，并单独设置动作。例如查看日志发现，正常使用的某个应用软件命中了签名过滤器中某个签名，被误阻断了。此时管理员可将此签名指定为例外签名，并修改动作为放行。

例外签名的动作分为阻断、告警、放行和添加黑名单。其中，添加黑名单是指在阻断流量的同时，将报文的源地址或目的地址添加至黑名单隔离访问。

例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器，则以例外签名的动作为准。

如何确定签名最终响应动作

一个入侵防御配置文件中可以配置多个签名过滤器、多个例外签名，签名最终的响应动作由这些配置决定，优先级从高到低依次为：例外签名动作、签名过滤器动作、签名自身的缺省动作。

如图6-5所示，入侵防御配置文件中配置了两个签名过滤器和一个例外签名，签名最终的响应动作如下：

• 签名a01：当入侵防御配置文件中配置多个签名过滤器时，签名过滤器的优先级按照配置顺序从高到低排列。签名按照签名过滤器的顺序依次匹配过滤器，一旦匹配一个就不再继续。因此对于图6-5，签名a01只会匹配签名过滤器1，动作是告警。
• 签名a02：例外签名优先级高于签名过滤器1的优先级，因此签名a02的动作为告警。
• 签名a03：匹配签名过滤器2，动作为阻断。签名过滤器的统一动作优先级高于签名的缺省动作。
  

图6-5 签名的响应动作

                               
登录/注册后可看大图

当数据流命中多个签名，对该数据流的处理方式如下：

• 如果这些签名的实际动作都为告警时，最终动作为告警。
• 如果这些签名中至少有一个签名的实际动作为阻断时，最终动作为阻断。
  
  

缺省入侵防御配置文件

配置签名过滤器需要对网络和业务非常了解，有一定难度。设备缺省提供满足常见场景的入侵防御配置文件。每个缺省配置文件筛选签名的条件和处理动作如表6-2所示。

表6-2 缺省入侵防御配置文件

配置文件名称	对象	严重性	操作系统	协议	威胁类别	动作	应用场景
video_surveillance	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	DNS、HTTP、FTP、TELNET、SSH、RTSP、SSL、UDP、TCP	全部	采用签名的缺省动作	该配置文件适用于当设备部署在视频监控的场景。
strict	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	全部	全部	阻断	该配置文件适用于需要设备阻断所有命中签名的报文场景。
web_server	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	DNS、HTTP、FTP	全部	采用签名的缺省动作	该配置文件适用于当设备部署在Web服务器前面的场景。
file_server	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	DNS、SMB、NETBIOS、NFS、SUNRPC、MSRPC、FILE、TELNET	全部	采用签名的缺省动作	该配置文件适用于当设备部署在File服务器前面的场景。
dns_server	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	DNS	全部	采用签名的缺省动作	该配置文件适用于当设备部署在DNS服务器前面的场景。
mail_server	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	DNS、IMAP4、SMTP、POP3	全部	采用签名的缺省动作	该配置文件适用于当设备部署在Mail服务器前面的场景。
inside_firewall	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	除TELNET和TFTP之外的协议	全部	采用签名的缺省动作	该配置文件适用于当设备部署在防火墙内侧的场景。
dmz	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	除NETBIOS、NFS、SMB、TELNET和TFTP之外的协议	全部	采用签名的缺省动作	该配置文件适用于当设备部署在DMZ区域前的场景。
outside_firewall	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	全部	除扫描工具之外的威胁类别	采用签名的缺省动作	该配置文件适用于当设备部署在防火墙外侧的场景。
ids	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	全部	全部	告警	该配置文件适用于当设备以IDS（旁路）模式部署时的通用场景。
default	全部	低、中、高	Unix-like、Windows、Android、iOS、Other	全部	全部	采用签名的缺省动作	该配置文件适用于当设备以IPS（直路）模式部署时的通用场景。

应用入侵防御配置文件

需要在安全策略中引用入侵防御配置文件，入侵防御功能才生效。也就是设备对符合安全策略匹配条件的流量，进行入侵防御。

当配置引用入侵防御配置文件的安全策略时，注意安全策略的方向是访问发起的方向，而非攻击发起的方向。例如：企业内网PC访问外网服务器遭到恶意攻击，虽然攻击方向是从外网到内网，但是因为发起访问的方向是从内网到外网，因此入侵防御配置文件需要应用到内网访问外网的安全策略中，具体配置如表6-3所示。

表6-3 保护内网PC的安全策略[td]

源安全区域	源地址	目的安全区域	目的地址	动作	入侵防御配置文件
内网trust区域	内网网段	外网untrust区域	any	允许	应用入侵防御配置文件