12.10.6. Настройка СОВ

Настройка системы обнаружения и предотвращения вторжений производится на уровне security-policy intrusion-prevention.

Правила СОВ настраиваются на уровне security-policy intrusion-prevention idps-rules. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Доступны параметры:

Параметр

Описание

PASS

WARNING

DENY

Действие правила СОВ:

  • PASS -- не блокировать трафик.

  • WARNING -- не блокировать трафик и записать информацию в журнал.

  • DENY -- блокировать трафик и записать информацию в журнал.

enabled

Включение/отключение правила:

  • enabled(yes) или enabled(true).

  • enabled(no) или enabled(false).

name

Название правила системы обнаружения и предотвращения вторжений.

Например: name("IDPS rule example").

desc

Описание правила.

Например: desc("Intrusion prevention rule example set via CLI").

src.zone

Зона источника трафика.

Для указания зоны источника, например, Trusted: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

src.ip

Добавление списков IP-адресов, MAC-адресов или доменов источника.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00.

src.geoip

Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).

Коды названий стран доступны по ссылке ISO 3166-1.

dst.zone

Зона назначения трафика.

Для указания зоны назначения трафика, например, Untrusted: dst.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

dst.ip

Добавление списков IP-адресов, MAC-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов источника: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

Для указания MAC-адресов назначения, например 02:00:00:00:00:00, используйте: dst.ip = 02:00:00:00:00:00.

dst.geoip

Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU).

Коды названий стран доступны по ссылке ISO 3166-1.

service

Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов).

Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.

idps­_profiles

Профиля СОВ, которые будут использованы в данном правиле: idps­_profiles("IDPS profile example").

Профили СОВ задаются для правил с действиями Сбросить и Журналировать. Для разрешающих правил задать профиль СОВ невозможно; такая реализация позволяет настроить исключения для определённого типа трафика.

idps­_profiles_exclusions

Список профилей СОВ, сигнатуры которых будут исключены из сигнатур, указанных в профилях СОВ; могут быть использованы только в правилах с действием Сбросить или Журналировать: idps­_profiles_exclusions("Example of IDPS profile with exclusions").

Данная возможность позволяет использовать централизованно создаваемые профили сигнатур, изменять содержимое которых администратор не может, но при этом исключить из этого профиля ряд сигнатур, которые избыточны или создают ложные срабатывания.

Только в CLI доступна настройка режима умного сканирования (сканирование только первых байт каждой сессии). Настройка режима производится на уровне security-policy intrusion-prevention settings. Для настройки используется команда:

Admin@UGOS# set security-policy intrusion-prevention settings

Доступны параметры:

Параметр

Описание

intelligent-mode

Включение/отключение режима умного сканирования:

  • on.

  • off.

intelligent-limit

Количество первых килобайт каждой сессии, которые будет сканировать система обнаружения и предотвращения вторжений; необходимо задать значение от 50 до 200 КБ.

Для просмотра состояния режима:

Admin@UGOS# show security-policy intrusion-prevention settings

По умолчанию режим умного сканирования включен; проверяются первые 200 КБ каждой сессии.