Snort 3 入侵策略入门

“Snort 3 入侵策略”一章深入介绍入侵策略的基础知识。它提供有关创建自定义 Snort 3 入侵策略、更改入侵策略的检测模式以及访问控制规则配置以执行入侵防御的信息。

入侵策略基础知识

入侵策略是已定义的几组入侵检测和防护配置，用于检查流量是否存在安全违规，以及在内联部署中阻止或修改恶意流量。入侵策略供访问控制策略调用，是系统在允许流量到达目标之前的最后一道防线。

每个入侵策略的中心是入侵规则。启用的规则导致系统为匹配规则的流量生成入侵事件（或阻止该流量）。禁用规则将停止该规则的处理。

系统提供几种基本入侵策略，使您可以利用 Cisco Talos 情报组 (Talos) 的经验。对于这些策略，Talos 设置入侵和检查器规则状态（启用或禁用），并提供其他高级设置的初始配置。

提示	系统提供的入侵和网络分析策略具有类似的名称，但包含不同的配置。例如，“平衡安全性和连接”(Balanced Security and Connectivity) 网络分析策略和“平衡安全性和连接”(Balanced Security and Connectivity) 入侵策略共同发挥作用，均可在入侵规则更新中更新。但是，网络分析策略管理的主要是预处理选项，而入侵策略管理的主要是入侵规则。

如果创建自定义入侵策略，您可以：

通过启用和禁用规则，以及撰写和添加您自己的规则来调整检测。
遵从安全防火墙的建议，将您的网络中检测到的操作系统、服务器和客户端应用协议与为保护这些资产而特别编写的规则相关联。

入侵策略以丢弃匹配的数据包和生成入侵事件。要配置入侵或预处理器丢弃规则，请将其状态设置为“阻止”。

当定制入侵策略时，特别是在启用和添加规则时，请记住一些入侵规则要求首先以某种方式对流量进行解码或预处理。在入侵策略检查数据包之前，数据包根据网络分析策略中配置对其进行预处理。如果您禁用一个必需的检查其，虽然该检查器在网络分析策略网络界面中保持禁用，但系统仍自动通过其当前设置使用它。

小心	由于预处理和入侵检查密切相关，因此用于检查单个数据包的网络分析和入侵策略必须相互补充。定制预处理（特别是使用多个自定义网络分析策略）是一个高级任务。

在配置自定义入侵策略后，可以在访问控制配置过程中通过以下方式使用该策略：将入侵策略与一个或多个访问控制规则或访问控制策略的默认操作相关联。这会强制系统在某个允许的流量到达最终目的地之前使用入侵策略检查该流量。与入侵策略共同使用的变量集，用于准确地反映您的家庭和外部网络以及网络上的服务器（如果适当）。

请注意，默认情况下，系统禁用加密负载的入侵检查。当加密连接与已配置入侵检查的访问控制规则匹配时，这有助于减少误报和提高性能。

有关其他支持和信息，请参阅 Snort 3 入侵策略概述。

入侵策略的要求和必备条件

型号支持

威胁防御

支持的域

任意

用户角色

管理员
入侵管理员 (Intrusion Admin)

创建自定义 Snort 3 入侵策略

过程

步骤 1

依次选择策略 > 入侵。

步骤 2

点击创建策略。

步骤 3

在名称 (Name) 和说明 (Description)（可选）中输入唯一名称和说明。

步骤 4

选择监测模式。

所选操作确定是入侵规则阻止并发出警报（防御模式）还是仅发出警报（检测模式）。

注	在选择预防模式之前，您可能希望阻止规则仅发出警报，以便识别导致大量误报的规则。

步骤 5

选择基本策略。

您可以使用系统提供的策略或其他自定义策略作为您的基本策略。

步骤 6

点击保存。

新策略的设置与其基本策略相同。

下一步做什么

要自定义策略，请参阅编辑 Snort 3 入侵策略。

编辑 Snort 3 入侵策略

从 Snort 2 版本到 Snort 3 版本编辑策略时，所有更改都会立即保存。无需执行其他操作即可保存更改。

过程

步骤 1

依次选择策略 > 入侵。

步骤 2

确保选择入侵策略选项卡。

步骤 3

点击要配置的入侵策略旁边的 Snort 3 版本。

步骤 4

编辑策略：

更改模式 - 点击模式下拉列表以更改检测模式。
- 预防-已触发的阻止规则创建事件（警报）并丢弃连接。
- 检测-已触发阻止规则警报。
  
  您可以在进入防御之前选择检测模式。例如，在选择预防模式之前，您可能希望阻止规则仅发出警报，以便识别导致大量误报的规则。
仅 Snort 3 版本的策略会更改检测模式。现有检测模式在 Snort 2 版本中按原样保留。

修改规则操作-要修改规则操作，请选择以下任一操作：

批量编辑 - 选择一个或多个规则，然后从规则操作下拉列表中选择所需的操作；然后点击保存。

注	仅前 500 条规则支持批量规则操作更改。

单个规则编辑-从规则操作列的下拉框中选择规则的操作。

规则操作是：

阻止-生成事件，阻止此连接中的当前匹配数据包和所有后续数据包。
警报-仅对匹配的数据包生成事件，而不丢弃数据包或连接。
禁用-不针对此规则匹配流量。不生成事件。
恢复为默认-恢复为系统默认操作。
通过-不生成事件，允许数据包通过，而且不使用任何后续 Snort 规则进行进一步评估。
丢弃-生成事件，丢弃匹配的数据包，但不阻止此连接上的后续流量。
反对-生成事件，丢弃匹配的数据包，阻止此连接上的后续流量，并将 TCP 重置事件或无法连接的 ICMP 端口发送到源和目的主机。

与客户端或服务器相关的不同防火墙模式和 IP 地址或源或目标中的拒绝行为：在路由、内联和桥接接口的情况下，Snort 会向客户端和服务器发送 RST 数据包。Snort 发送两个 RST 数据包。客户端方向的 RST 数据包将源设置为服务器的 IP，目的设置为客户端的 IP。服务器方向的 RST 数据包将源设置为客户端的 IP，目的设置为服务器的 IP。
重写-生成事件，并根据规则中的替代选项覆盖数据包内容。

如果有任何反应规则转换为警报操作。

搜索规则 - 使用搜索字段过滤显示内容。您可以输入 GID、SID 或参考信息。例如，GID:1; SID:9621 - 仅显示规则 1:962；SID:9621,9622,9623 - 显示具有不同 SID 的多个规则。您可以选择以下其中一个选项：
- 应用过滤器操作 = 警报或操作：阻止
- 应用禁用规则过滤器
- 显示自定义/用户定义的规则
- 按 GID、SID 或 GID:SID 过滤
- 按 cve 过滤
- 按备注过滤
搜索规则组 - 输入关键字以搜索规则组，或选择搜索栏下方的以下任何预设过滤器选项：
- 已排除 - 适用于已排除的规则组
- 包含 - 适用于包含的规则组
- 覆盖 - 覆盖规则组配置
设置规则组的安全级别 - 在左侧窗格中导航到所需的规则组并选择它。点击规则组安全级别旁边的编辑，以根据系统定义的规则设置提高或降低安全级别。
管理中心自动更改已配置安全级别的规则组规则的操作。每次更改安全级别时，请注意预设过滤器中阻止规则和禁用规则的计数。
查看过滤的规则 - 选择任何预设过滤器以查看设置为警报、阻止、禁用、覆盖、重写、通过、丢弃或拒绝的规则。
已覆盖的规则表示规则操作已从默认操作更改为其他操作的规则。请注意，一旦更改，规则操作状态即为已覆盖，即使您将其更改回其原始默认操作也是如此。但是，如果从规则操作下拉列表中选择恢复为默认，则会删除覆盖状态。

高级过滤器根据轻量级安全软件包 (LSP) 版本、入侵分类和漏洞 (CVE) 提供过滤器选项。

包括或排除规则组 - 显示的规则组是与系统提供的基本入侵策略关联的默认规则组。可以在入侵策略中包括和排除规则组。包含的规则组需要包含在组中才能实施策略中的规则。已从入侵策略中删除已排除的规则组，并且其规则不会应用于流量。有关在管理中心中上传自定义规则的信息，请参阅上传自定义规则。

排除规则组：

导航规则组窗格并选择规则组。
点击右侧窗格中的排除链接。

或者，如果要将规则组中的规则覆盖恢复为默认设置，选中是否要删除规则覆盖？复选框。

注	仅当存在任何已覆盖的规则时，才会显示此复选框。

点击排除。

要包括具有上传的自定义规则的新规则组或先前排除的规则组，请执行以下操作：

点击规则组搜索栏旁边的添加（）。
选中要添加的所有规则组旁边的复选框。
点击保存。

查看规则文档 - 点击规则 ID 或规则文档图标可显示规则的 TALOS 文档。
查看规则详细信息 - 点击规则行中的展开箭头（）图标可查看规则详细信息。
添加规则注释 - 点击“注释”列下的注释（），为规则添加注释。

要更改基本策略，请参阅更改入侵策略的基本策略。

下一步做什么

部署配置更改；请参阅部署配置更改。

规则操作日志记录

从管理中心 7.2.0 开始， 内联结果 列中的事件显示与应用于规则的 IPS 操作相同的名称，以便您可以查看应用于匹配规则的流量的操作。

对于 IPS 操作，下表显示了入侵事件页面的内联结果列中显示的事件，以及统一事件页面中入侵事件类型的操作列中显示的事件。


IPS 操作 (Snort 2)	内联结果管理中心7.1.0 及更早版本	内联结果 -管理中心 7.2.0 及更高版本
警报	通过	警报


IPS 操作 (Snort 3)	内联结果管理中心7.1.0 及更早版本	内联结果 -管理中心 7.2.0 及更高版本
警报	通过	警报
阻止	已丢弃/将已丢弃/部分丢弃	阻止/将阻止/部分阻止
丢弃 (Drop)	已丢弃/将已丢弃	丢弃/将丢弃
拒绝	已丢弃/将已丢弃	拒绝/将拒绝
重写	允许	重写

重要	如果规则没有“替换”选项，则重写操作显示为将重写。如果指定了“替换”选项，但 IPS 策略处于检测模式或设备处于内联 TAP/被动模式，则重写操作也将显示为将重写。

注	在向后兼容的情况下（管理中心 7.2.0 管理威胁防御 7.1.0 设备），所提及的事件仅适用于警报 IPS 操作，其中通过显示为事件的警报。对于所有其他操作，管理中心 7.1.0 的事件适用。

更改入侵策略的基本策略

可以选择其他系统提供的策略或自定义策略作为基本策略。

可以链接最多五个自定义策略，这五个策略中有四个使用其余四个之一以前创建的策略作为其基本策略；第五个策略必须使用系统提供的策略作为其基础。

过程

步骤 1	依次选择策略 > 入侵。
步骤 2	点击想要配置的入侵策略旁边的编辑（）。
步骤 3	从基本策略下拉列表中选择策略。
步骤 4	点击保存。

下一步做什么

部署配置更改；请参阅部署配置更改。

更改 Snort 2 和 Snort 3 版本的入侵策略检测模式

可以为现有入侵策略选择不同的检测模式。成功部署后，更改将应用于设备。遵循本主题中的步骤更改 Snort 2 和 Snort 3 版本的入侵策略的检测模式。

过程

步骤 1	依次选择策略 > 入侵。
步骤 2	点击想要更改的入侵策略旁边的编辑（）。
步骤 3	选择要应用策略的检测类型。
步骤 4	点击保存。

下一步做什么

部署配置更改；请参阅部署配置更改。

管理入侵策略

在“入侵策略”页面（(策略 > 入侵）上，可以查看当前自定义入侵策略以及下列信息：

一些访问控制策略和设备使用入侵策略来检查流量
在多域部署中，创建了策略的域

在多域部署中，系统会显示在当前域中创建的策略，您可以对其进行编辑。系统还会显示在祖先域中创建的策略，您不可以对其进行编辑。要查看和编辑在较低域中创建的策略，请切换至该域。

过程

步骤 1

依次选择策略 > 入侵。

步骤 2

管理入侵策略：

创建 - 点击创建策略 (Create Policy)；请参阅创建自定义 Snort 3 入侵策略。
删除 - 点击要删除的策略旁边的删除（）。如果另一用户在策略中有未保存的更改，则系统会提示您确认并进行通知。点击 OK 确认。

如果控件呈灰色显示，则表明配置属于祖先域，或者您没有修改配置的权限。
编辑入侵策略详细信息 - 点击要编辑的策略旁边的编辑（）。您可以编辑入侵策略的名称、检测模式和基本策略。
编辑入侵策略设置 - 点击 Snort 3 版本；请参阅编辑 Snort 3 入侵策略。
导出 - 如果要导出入侵策略以在另一个管理中心上导入，请点击导出；请参阅最新版本的 Firepower 管理中心配置指南中的导出配置主题。
部署 - 选择部署 > 部署；请参阅部署配置更改。
报告 - 请点击报告；请参阅最新版本的 Firepower 管理中心配置指南中的生成当前策略报告主题。生成两个报告，每个策略版本一个。

用于执行入侵防御的访问控制规则配置

访问控制策略可能有多个与入侵策略相关联的访问控制规则。您可以为任何 Allow 或 Interactive Block 访问控制规则配置入侵检测，这样，您就可在网络中不同类型的流量到达最终目的地之前，使不同的入侵检测配置文件与其匹配。

只要系统使用入侵策略来评估流量，它便会使用关联的变量集。变量集中的变量代表通常在入侵规则中用来识别源 IP 地址、目标 IP 地址、源端口和目标端口的值。您还可以在入侵策略中使用变量表示规则禁止和动态规则状态中的 IP 地址。

提示	即使您使用系统提供的入侵策略，思科也强烈建议您配置系统的入侵变量以准确反映您的网络环境。至少，要修改默认变量集中的默认变量。

了解系统提供的入侵策略和自定义入侵策略

Cisco 通过系统提供多种入侵策略。通过使用系统提供的入侵策略，您可以利用 Cisco Talos 情报组 (Talos) 的经验。对于这些策略，Talos 会设置入侵和预处理器规则状态，并提供高级设置的初始配置。可以按现状使用系统提供的策略，也可以将其用作自定义策略的基础。构建自定义策略可以提高系统在您的环境中的性能，并提供网络上发生的恶意流量和策略违规行为的集中视图。

连接和入侵事件日志记录

当访问控制规则调用的入侵策略检测到入侵并生成入侵事件时，它会将此事件保存到管理中心。无论访问控制规则采用何种日志记录配置，系统都会将发生入侵的连接结束自动记录到管理中心数据库。

访问控制规则配置和入侵策略

请注意，您在单个访问控制策略中可以使用的唯一入侵策略的数量取决于目标设备型号；设备的功能越强大，处理的策略就越多。每个唯一的入侵策略和变量集对均视为一个策略。虽然您可以将不同的入侵策略-变量集对与每条“允许”(Allow) 和“交互式阻止”(Interactive Block) 规则（以及默认操作）相关联，但是，如果目标设备没有足够的资源可按照配置执行检测，则无法部署访问控制策略。

配置访问控制规则以执行入侵防御

您必须是管理员，访问管理员或网络管理员用户才能执行此任务。

过程

步骤 1	在访问控制策略编辑器中，创建新规则或编辑现有规则；请参阅最新版本的 Firepower 管理中心配置指南中的访问控制规则组件主题。
步骤 2	确保规则操作设置为 Allow、Interactive Block 或 Interactive Block with reset。
步骤 3	点击检测。
步骤 4	选择系统提供的或自定义入侵策略，或选择无以禁用对与访问控制规则相匹配的流量进行的入侵检查。
步骤 5	如果要更改与入侵策略关联的变量集，请从变量集 (Variable Set) 下拉列表中选择值。
步骤 6	单击 Save 保存规则。
步骤 7	单击保存 (Save) 保存策略。

下一步做什么

部署配置更改；请参阅部署配置更改。

部署配置更改

更改配置后，将其部署到受影响的设备。

注	本主题介绍部署配置更改的基本步骤。我们强烈建议您在继续执行这些步骤之前，参考最新版本的 Firepower 管理中心配置指南中的部署配置更改主题，了解部署更改的前提条件和影响。

小心	在部署时，资源需求可能会导致少量数据包未经检测而被丢弃。此外，部署某些配置会重新启动 Snort 进程，这会中断流量检测。流量在此中断期间丢弃还是不进一步检查而直接通过，取决于目标设备处理流量的方式。

过程

步骤 1

在 Cisco Secure Firewall Management Center 菜单栏中，单击部署 (Deploy)，然后选择部署 (Deployment)。

GUI 页面列出了具有待处理状态的过期配置的设备。

修改者列列出了修改策略或对象的用户。展开设备列表时，您可以参照每个策略列表查看修改了策略的用户。

注	没有为已删除的策略和对象提供用户名。

检查中断列指示在部署过程中是否可能导致设备中的流量检查中断。

如果设备的此列中这一条为空白，则表明在部署过程中该设备上不会出现流量检查中断。
上次修改时间列指定上次更改配置的时间。
预览列允许您预览下一次要部署的更改。
状态列提供每个部署的状态。

步骤 2

识别并选择要部署配置更改的设备。

搜索 - 在搜索框中搜索设备名称、类型、域、组或状态。

展开 - 单击展开箭头（展开箭头图标

）以查看要部署的设备特定的配置更改。

选中设备复选框后，该设备下列出的设备的所有更改都会推送到部署中。但是，您可以使用策略选择（策略选择图标）选择部署个别或指定策略或配置，而保留其余的更改不予部署。

注	当检查中断列中的状态指示（是）部署会中断威胁防御设备上的检查并可能中断流量时，展开的列表将用检查中断（）指示导致中断的特定配置。当接口组、安全区或对象发生更改时，受影响的设备在管理中心中显示为过期。为确保这些更改生效，包含这些接口组、安全区或对象的策略也需要随这些更改一起部署。受影响的策略在管理中心的“预览”页上显示为过期。

步骤 3

单击部署 (Deploy)。

步骤 4

如果系统在要部署的更改中发现错误或警告，则会在验证消息窗口中显示它们。要查看完整详细信息，请单击警告或错误前的箭头图标。

有以下选项可供选择：

部署 - 继续部署而无需解决警告情况。如果系统识别错误，则无法继续。
关闭 - 退出而不部署。解决错误和警告情况，并尝试重新部署该配置。

下一步做什么

在部署过程中，如果由于任何原因导致部署失败，则可能会影响流量。不过，这取决于某些条件。如果部署中存在特定的配置更改，则部署失败可能导致流量中断。有关部署过程的详细信息，请参阅 Firepower 管理中心配置指南中的部署配置更改主题。

Cisco 安全防火墙管理中心 Snort 3 配置指南，版本 7.2

非歧视性语言

当地语言翻译版本说明

Book Title

Cisco 安全防火墙管理中心 Snort 3 配置指南，版本 7.2

Chapter Title