此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
“使用规则调整入侵策略”一章深入介绍入侵规则调整基础知识和规则类型。它提供有关 Snort 3 中的自定义规则、入侵规则操作、入侵策略中的入侵事件通知过滤器、将 Snort 2 自定义规则转换为 Snort 3 以及将具有自定义规则的规则组添加到入侵策略的信息。
您可以为共享对象规则、标准文本规则和检查器规则配置规则状态和其他设置。
通过将规则状态设置为“警报”或“阻止”来启用规则。启用规则后,系统将对与该规则匹配的流量生成事件。禁用规则将停止该规则的处理。您还可以设置入侵策略,以便在内联部署中设置为阻止的规则在匹配流量时生成事件并丢弃该匹配流量。
您可以对规则进行过滤来显示规则的一个子集,这样就能选择要更改其规则状态或规则设置的确切规则集。
当入侵规则或规则参数要求禁用的检查器时,系统会自动使用其当前设置,即使其在网络分析策略网络界面中保持禁用状态。
入侵规则是系统用于检测利用网络漏洞企图的一组指定关键字和参数。当系统分析网络流量时,它将数据包与每个规则中指定的条件相比较,并在数据包满足规则中指定的所有条件的情况下触发规则。
入侵策略包含:
入侵规则,可细分为共享对象规则和标准文本规则
检查器规则,与数据包解码器的检测选项或与系统随附的检查器相关联
下表总结了这些规则类型的属性:
|
类型 |
生成器 ID (GID) |
Snort ID (SID) |
来源 |
可以复制? |
可以编辑? |
|---|---|---|---|---|---|
|
共享对象规则 |
3 |
低于 1000000 |
思科 Talos 情报小组 (Talos) |
是 |
有限 |
|
标准文本规则 |
1 (全局域或旧式 GID) |
低于 1000000 |
Talos 协作 |
是 |
有限 |
|
1000 - 2000 (后代域) |
1000000 或更高 |
由用户创建或导入 |
是 |
是 |
|
|
预处理器规则 |
特定于解码器或预处理器 |
低于 1000000 |
Talos 协作 |
否 |
否 |
|
1000000 或更高 |
由系统在选项配置期间生成 |
否 |
否 |
无法保存对 Talos 创建的任何规则所做的更改,但是可以将已修改的规则的副本另存为自定义规则。可以修改在规则或规则报头信息中使用的变量(例如源和目标端口及 IP 地址)。在多域部署中,Talos 所创建的规则属于全局域。后代域中的管理员可以保存随后可编辑的规则的本地副本。
对于所创建的规则,Talos 在每个默认入侵策略中分配默认规则状态。大多数预处理器规则在默认情况下已禁用,如果希望系统为预处理器规则生成事件并在内联部署中丢弃违规的数据包,则必须启用这些规则。
IPS
保护
任意。
任意
管理员
入侵管理员 (Intrusion Admin)
您可以通过以下方式创建自定义入侵规则。规则文件可以具有 .txt 或 .rules 扩展名。无论您使用哪种创建方法,系统都会将自定义规则保存在本地规则类别中。自定义规则必须属于规则组。但是,自定义规则也可以是两个或多个组的一部分。
当您创建自定义入侵规则时,系统会为它分配唯一的规则编号(其格式为 GID:SID:Rev)。此编号的元素如下:
GID—生成器 ID。对于自定义规则,无需指定 GID。上传规则时,系统会根据您是在全局域还是子域中自动生成 GID。对于所有标准文本规则,此值为 2000。
SID—Snort ID。指示规则是否为系统规则的本地规则。创建新规则时,请为该规则分配唯一的 SID。
本地规则的 Snort ID 号从 1000000 开始,且每个本地新规则的 SID 号以 1 递增。
Rev—修订号。对于新规则,修订号为 1。每修改一次自定义规则,修订号就增加一。
在自定义标准文本规则中,可以设置规则报头设置、规则关键字和规则参数。您可以通过规则报头设置将规则设置为仅匹配使用特定协议以及发往或来自特定 IP 地址或端口的流量。
 注 |
无法编辑 Snort 3 自定义规则。确保自定义规则在规则文本中具有 classtype 的有效分类消息。 |
您可以调整规则在入侵策略中的显示方式。也可以显示特定规则的详细信息,以便查看规则设置、规则文档和其他规则详情。
| 步骤 1 |
依次选择。 |
| 步骤 2 |
单击策略旁边的 Snort 3 版本 。 |
| 步骤 3 |
查看规则时,您可以执行以下操作:
|
通过入侵规则操作,您可在个别入侵策略中启用或禁用规则,以及指定受监控条件触发该规则时系统采取的操作。
Cisco Talos 情报组 (Talos) 设置每个默认策略中每个入侵和检查器规则的默认操作。例如,一条规则可能会在 Security over Connectivity 默认策略中启用而在 Connectivity over Security 默认策略中禁用。Talos 有时会使用规则更新来更改默认策略中一条或多条规则的默认策略。如果允许规则更新对基本策略进行更新,则意味着当用于创建策略的默认策略中的默认操作发生更改时,也允许规则更新更改策略中的规则默认操作。但请注意,如果您已经更改了规则操作,规则更新不会覆盖您的更改。
创建入侵规则时,它会继承用于创建策略的默认策略中相应规则的默认操作。
在入侵策略中,可以将规则的状态设置为以下值:
您希望系统检测特定入侵企图,并在其发现匹配流量时生成入侵事件。当恶意数据包通过网络并触发该规则时,数据包被发送到其目标,系统生成入侵事件。该恶意数据包到达其目标,但是您通过事件日志记录收到通知。
您希望系统检测特定入侵企图,丢弃包含攻击的数据包,并在其发现匹配流量时生成入侵事件。该恶意数据包永远不会到达其目标,并且您通过事件日志记录收到通知。
您不希望系统评估匹配流量。
注 |
选择 警报 或 阻止 选项可启用规则。选择禁用 (Disable) 会禁用规则。 思科强烈建议不要启用入侵策略中的所有入侵规则。如果启用所有规则,则您的受管设备的性能可能会下降。相反,应调整规则集,使之与网络环境尽可能匹配。 |
入侵规则操作为策略特定的。
| 步骤 1 |
依次选择。 |
||
| 步骤 2 |
单击要编辑的策略旁边的 Snort 3 版本 。
|
||
| 步骤 3 |
选择要在其中设置规则操作的一条或多条规则。 |
||
| 步骤 4 |
从 规则操作 下拉框中选择以下选项之一:
|
||
| 步骤 5 |
点击保存。 |
部署配置更改;请参阅部署配置更改。
入侵事件的重要性可根据发生频率或者源或目标 IP 地址而定。在某些情况下,直至事件发生一定次数后您可能才会在意。例如,如果有人企图登录服务器,在其失败达到一定次数之前,您可能不会担心。但在其他情况下,也许只需要发生几次,就能让您知道存在普遍性问题。例如,如果有人对网络服务器发动 DoS 攻击,可能只需要发生区区数次入侵事件,您就会明白需要解决这种情况。发生数百次相同事件只会让系统不堪重负。
您可以为各条规则设置阈值,根据事件在指定时间段内生成的次数来限制系统记录和显示入侵事件的次数。这可以防止因相同事件数量过多而使系统不堪重负。您可以根据共享对象规则、标准文本规则或检查器规则设置阈值。
要设置阈值,请先指定阈值类型。
|
选项 |
说明 |
|---|---|
|
限制 |
为指定时间段内触发规则的指定数量的数据包(由“计数”[Count] 参数指定)记录并显示事件。例如,如果将类型设置为限制 (Limit),将计数 (Count) 设置为 |
|
阈值 (Threshold) |
在指定时间段内,当指定数量的数据包(由“计数”[Count] 参数指定)触发规则时,记录并显示一个事件。请注意,达到事件阈值计数且系统记录该事件之后,时间计数器将重新开始计数。例如,将类型设置为阈值 (Threshold),将计数 (Count) 设置为 |
|
双向 |
每个指定时间段在指定数量(计数)的数据包触发规则后记录并显示一次事件。例如,如果将类型设置为两者 (Both),将计数 (Count) 设置为 2,并将秒数 (Seconds) 设置为
|
接下来,指定跟踪,从而确定事件阈值是按源 IP 地址计算还是按目标 IP 地址计算。
|
选项 |
说明 |
|---|---|
|
来源 |
按源 IP 地址计算事件实例计数。 |
|
目标 |
按目标 IP 地址计算事件实例计数。 |
最后,指定用于定义阈值的实例数和时间段。
|
选项 |
说明 |
|---|---|
|
计数 |
每个跟踪 IP 地址在每个指定时间段内达到阈值所需的事件实例数量。 |
|
秒 |
计数重置之前经过的秒数。如果将阈值类型设置为限制 (limit),将跟踪设置为源 IP (Source IP),将计数 (count) 设置为 |
请注意,入侵事件阈值可单独使用,也可与基于速率的攻击防御、detection_filter 关键字和入侵事件抑制的任意组合配合使用。
 提示 |
也可以在入侵事件的数据包视图中添加阈值。 |
您可以在“规则详细信息”(Rule Detail) 页面中为规则设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。
| 步骤 1 |
选择 。 |
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
| 步骤 3 |
从入侵规则的警报配置列中,点击 无 链接。 |
| 步骤 4 |
点击 编辑 ( |
| 步骤 5 |
在警报配置窗口中,点击 阈值 选项卡。 |
| 步骤 6 |
从类型 (Type) 下拉列表中,选择要设置的阈值的类型:
|
| 步骤 7 |
从 跟踪方式 下拉列表中,选择 源或 目标 以指示希望按源 IP 地址还是目标 IP 地址跟踪事件实例。 |
| 步骤 8 |
在 计数 字段中,输入要用作阈值的事件实例数。 |
| 步骤 9 |
在 秒 字段中,输入用于指定跟踪事件实例的时间段的数字(以秒为单位)。 |
| 步骤 10 |
单击确定 (OK)。 有关其他支持和信息,请参阅视频 Snort 3 抑制和阈值 。 |
部署配置更改;请参阅部署配置更改。
您可能需要查看或删除一个规则的现有阈值设置。可以使用“规则详细信息”(Rules Details) 视图显示为阈值配置的设置,看其是否适合系统。如果不适合,可以添加新的阈值来覆盖现有值。
| 步骤 1 |
选择 。 |
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
| 步骤 3 |
选择具有 警报配置 列中所述已配置阈值的规则。 |
| 步骤 4 |
要删除规则的阈值,请点击 警报配置 列中的 阈值 链接。 |
| 步骤 5 |
请点击 编辑( |
| 步骤 6 |
点击 阈值 选项卡。 |
| 步骤 7 |
点击重置。 |
| 步骤 8 |
点击保存。 |
部署配置更改;请参阅部署配置更改。
您可以在特定 IP 地址或 IP 地址范围触发特定规则或检查器时抑制入侵事件通知。这对杜绝误报十分有用。例如,如果邮件服务器传输的数据包看起来像某种特定的漏洞,则可能会在邮件服务器触发该事件时抑制对其发出的事件通知。所有数据包都会触发该规则,但您只会看到真正的攻击事件。
请注意,入侵事件抑制可单独使用,也可与基于速率的攻击防御、detection_filter 关键字和入侵事件阈值的任意组合配合使用。
提示 |
可以在入侵事件的数据包视图中添加抑制。您还可以使用入侵规则编辑器页面上的 警报配置 列()访问抑制设置。 |
可以为入侵策略中的规则设置一个或多个抑制。
确保创建要添加用于源或目标抑制的所需网络对象。
| 步骤 1 |
选择 。 |
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
| 步骤 3 |
点击入侵规则的警报配置列中的 无 链接。 |
| 步骤 4 |
点击 编辑 ( |
| 步骤 5 |
在 抑制 选项卡中,点击以下任何选项旁边的添加图标 (+):
|
| 步骤 6 |
在 网络 下拉列表中选择任何预设网络。 |
| 步骤 7 |
点击保存。 |
| 步骤 8 |
(可选)如果需要,请重复最后三个步骤。 |
| 步骤 9 |
点击警报配置窗口中的 保存 。 |
部署配置更改;请参阅部署配置更改。
您可能需要查看或删除现有抑制条件。例如,由于某个邮件服务器通常会传输看起来像漏洞的数据包,因此可以抑制由该邮件服务器 IP 地址发出的数据包的事件通知。如果以后停用该邮件服务器并将此 IP 地址重新分配给其他主机,应删除对该源 IP 地址的抑制条件。
| 步骤 1 |
选择 。 |
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
| 步骤 3 |
选择要查看或删除其抑制的规则。 |
| 步骤 4 |
点击 警报配置 列中的 抑制 。 |
| 步骤 5 |
请点击 编辑( |
| 步骤 6 |
点击 抑制 选项卡。 |
| 步骤 7 |
通过点击抑制旁边的 清除 ( |
| 步骤 8 |
点击保存。 |
部署配置更改;请参阅部署配置更改。
可以向入侵策略中的规则添加注释。按这种方式添加的注释是策略特定的;即添加到一个入侵策略的规则中的注释在其他入侵策略中不可见。
| 步骤 1 |
依次选择。 |
||
| 步骤 2 |
单击要编辑的策略旁边的 Snort 3 版本 。 |
||
| 步骤 3 |
选择要在其中添加注释的一条规则。 |
||
| 步骤 4 |
点击 注释 列下方的 注释( |
||
| 步骤 5 |
在 注释 字段中,输入规则注释。 |
||
| 步骤 6 |
点击添加注释 (Add Comment)。 |
||
| 步骤 7 |
点击保存。
|
部署配置更改;请参阅部署配置更改。
您可以一次性将 管理中心 中所有不同入侵策略的所有自定义 Snort 2 规则转换为 Snort 3,也可以将每个入侵策略的 Snort 2 自定义规则单独转换为 Snort 3。按照适合您的步骤操作。
| 步骤 1 |
选择 。 |
||
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
||
| 步骤 3 |
确保在左侧窗格中选择 更新 。 |
||
| 步骤 4 |
点击 任务 下拉列表,然后选择:
|
||
| 步骤 5 |
单击确定 (OK)。
有关其他支持和信息,请参阅视频 将 Snort 2 规则转换为 Snort 3 。 |
部署配置更改;请参阅部署配置更改。
| 步骤 1 |
选择 。 |
||
| 步骤 2 |
在 入侵策略 选项卡中,点击 显示 Snort 3 同步状态 。 |
||
| 步骤 3 |
点击入侵策略的 同步 图标(
|
||
| 步骤 4 |
仔细阅读摘要,然后点击 自定义规则 选项卡。 |
||
| 步骤 5 |
选择:
|
||
| 步骤 6 |
点击 重新同步。 |
部署配置更改;请参阅部署配置更改。
在 管理中心 中上传自定义规则会将您在本地创建的自定义规则添加到所有 Snort 3 规则的列表中。
| 步骤 1 |
选择 。 |
||
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
||
| 步骤 3 |
点击 任务 下拉列表。 |
||
| 步骤 4 |
点击上传。 |
||
| 步骤 5 |
拖放包含已创建的 Snort 3 自定义规则的 .txt 或 .rules 文件。
|
||
| 步骤 6 |
单击确定 (OK)。
|
||
| 步骤 7 |
选择本地规则组以将新规则添加到该组。 您还可以创建新的自定义规则组(通过点击 创建新的自定义规则组 链接),然后将规则添加到新组。
|
||
| 步骤 8 |
选择以下其中一个选项:
|
||
| 步骤 9 |
点击下一步。 查看摘要以了解正在添加的新规则 ID,并可选择下载。 |
||
| 步骤 10 |
点击完成。 |
重要 |
所有已上传规则的规则操作均处于禁用状态。您必须将其更改为所需的状态,以确保规则处于活动状态。 |
在 管理中心 中上传自定义规则会将您创建的自定义规则添加到所有 Snort 3 规则的列表中。要对流量实施这些自定义规则,请在所需的入侵策略中添加并启用这些规则。有关将具有自定义规则的规则组添加到入侵策略的信息,请参阅 将具有自定义规则的规则组添加到入侵策略。有关启用自定义规则的详细信息,请参阅 管理 Snort 3 中的自定义规则。
部署配置更改;请参阅部署配置更改。
有关其他支持和信息,请参阅 Snort 3 自定义规则导入 视频。
必须在入侵策略中启用系统中上传的自定义规则,才能对流量实施这些规则。在 管理中心上传自定义规则后,在入侵策略中添加具有新自定义规则的规则组。
| 步骤 1 |
依次选择。 |
| 步骤 2 |
在 入侵策略选项卡 中,点击入侵策略的 Snort 3 版本 。 |
| 步骤 3 |
点击规则组搜索栏旁边的 添加 (+)。 |
| 步骤 4 |
展开 本地规则 组。 |
| 步骤 5 |
选中已上传的自定义规则组旁边的复选框。 |
| 步骤 6 |
点击保存。 有关其他支持和信息,请参阅视频 Snort 3 入侵规则组 。 |
部署配置更改;请参阅部署配置更改。
系统中上传的自定义规则必须添加到入侵策略并启用,以启用对流量实施这些规则。您可以跨所有策略或选择性地对单个策略启用已上传的自定义规则。
按照以下步骤在一个或多个入侵策略中启用自定义规则:
| 步骤 1 |
选择 。 |
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
| 步骤 3 |
展开 本地规则。 |
| 步骤 4 |
选择所需的规则组。 |
| 步骤 5 |
通过选中规则旁边的复选框来选择规则。 |
| 步骤 6 |
从 规则操作 下拉框中,选择 按照入侵策略 。 |
| 步骤 7 |
选择:
|
| 步骤 8 |
设置规则操作:
|
| 步骤 9 |
或者,在 注释 文本框中添加注释。 |
| 步骤 10 |
点击保存。 |
在设备上部署更改。请参阅部署配置更改。
| 步骤 1 |
选择 。 |
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
| 步骤 3 |
展开左侧窗格中的 本地规则 。 |
| 步骤 4 |
选择包含规则的文件夹。 |
| 步骤 5 |
选中要删除的策略的复选框。 |
| 步骤 6 |
确保所选的所有规则的规则操作均为 禁用。 如果需要,请按照以下步骤为多个选定规则禁用规则操作:
|
| 步骤 7 |
从 规则操作 下拉框中,选择 删除。 |
| 步骤 8 |
在删除规则弹出窗口中点击 删除 。 |
部署配置更改;请参阅部署配置更改。
从包含该规则组的所有入侵策略中排除要删除的规则组。有关从入侵策略中排除规则组的步骤,请参阅 编辑 Snort 3 入侵策略。
| 步骤 1 |
选择 。 |
| 步骤 2 |
点击 Snort 3 所有规则 选项卡。 |
| 步骤 3 |
展开左侧窗格中的 本地规则 。 |
| 步骤 4 |
选择要删除的规则组。 |
| 步骤 5 |
在继续之前,请确保将组中所有规则的规则操作设置为 禁用 。 如果任何规则的规则操作不是 禁用,则无法删除规则组。如果需要,请按照以下步骤禁用所有规则的规则操作:
|
| 步骤 6 |
点击规则组旁边的 删除 ( |
| 步骤 7 |
在 Delete Rule Group 弹出窗口中点击 OK 。 |
部署配置更改;请参阅部署配置更改。
)
)
)
)
)。
)。它表示没有要转换的自定义规则。
)
反馈