允许列表 IPS 签名

本文讨论如何创建允许列表规则,以允许具有特定 IPS 签名的流量绕过 IPS 检查引擎。

IPS 允许列表概览

Cato 入侵防御系统 (IPS) 引擎会检查 WAN 和互联网流量,以检测各种网络攻击,并使用不同的预防技术来保护网络。 某些 IPS 保护基于流量签名,这些签名定义了潜在网络攻击的类型。 每当流量模式匹配 IPS 签名 时,IPS 引擎会对流量应用 IPS策略 操作(阻止监控允许)。

对于 IPS 阻止操作,您可以使用 IPS 允许列表规则来配置 IPS 引擎以忽略匹配的流量。 例如,您可以直接在事件屏幕中从 IPS 阻止事件创建一个 IPS 允许列表规则。

注意

注意:对于那些由支持团队预先配置了 IPS 允许列表设置的账户,这些设置会迁移到 IPS 允许列表规则库中。

网络流量和IPS保护范围

您可以根据网络流量的特定范围创建允许列表流量规则,供 IPS 引擎使用。 从 来源(From)目的地(To) 的流量仅根据以下一种网络流量类型列入允许列表:

  • WAN - 跨 Cato 云的站点和主机之间的 WAN 流量

  • 入站 - 从互联网到客户内部网络的流量

  • 出站 - 从客户内部网络到互联网的流量

  • 任何 - 任意网络流量

AllowList_Rulebase.png

IPS白名单规则中的项目

下表解释了您可以用来定义 IPS 允许列表规则设置的项目:

项目

描述

名称

IPS 允许列表规则的名称。

范围

IPS 允许列表适用的流量保护范围。

您无法编辑规则的范围。

来源

该规则流量的来源。

目的地

该规则流量的目的地。

协议/端口

仅适用于与指定协议和端口匹配的流量。 您可以为每个规则定义一个端口或端口范围。 使用单独的规则来定义多个端口,例如一个规则用于 TCP 端口 80,第二个规则用于 TCP 端口 200。

签名 ID

被列入允许列表的 IPS 签名,与此规则匹配的任何具有该签名的流量都将被 IPS 引擎允许。

您可以输入 任何以配置 IPS 引擎允许与此规则匹配的所有流量。

跟踪

当规则被匹配时,生成事件或将电子邮件通知警报发送到指定列表。

More_icon.png

操作选项:启用, 禁用删除

下表显示了您可以为每个 IPS 保护范围的允许列表规则中的来源目的地字段配置的实体:

规则范围

用于来源的可用实体

用于目的地的可用实体

入站

国家

IP范围

远程自治系统号码

子网

任何

浮动子网

主机

接口子网

IP

网络接口

站点

系统组

用户

用户组

SDP 用户

任何

WAN

浮动子网

主机

接口子网

IP

网络接口

站点

系统组

用户

用户组

SDP 用户

任何

浮动子网

主机

接口子网

IP

网络接口

站点

系统组

用户

用户组

SDP 用户

任何

出站

浮动子网

主机

接口子网

IP

网络接口

站点

系统组

用户

用户组

SDP 用户

任何

国家

域名

FQDN

IP 范围

远程自治系统号码

任何

使用IPS白名单规则库

IPS 允许列表规则库包含所有允许 IPS 引擎流量的规则。 所有匹配的 IPS 允许列表规则都将应用于流量,此行为与仅应用第一个匹配规则的按序防火墙规则库不同。 这意味着如果一个连接符合多个允许列表规则,则每个匹配规则都会生成一个事件。

例如,具有被阻止 IPS 签名的连接符合 IPS 允许列表规则 2 和 4。 该连接被 IPS 引擎列入允许列表并允许。 该连接生成两个单独的事件,一个用于规则 2,一个用于规则 4。

从阻止事件创建IPS白名单规则

您可以使用信息搜集来识别阻止流量的 IPS 签名,然后从阻止事件中创建一个 IPS 允许列表规则。 您可以点击事件中的签名 ID 以打开一个窗口,让您配置新 IPS 允许列表规则的设置。 The rule is then added to the IPS allowlist rulebase in the IPS policy (Security > IPS).

从事件中创建一个 IPS 允许列表规则:

  1. 主页 > 事件,显示被阻止流量的 IPS 事件。 这是显示 IPS 事件的示例过程:

    1. 选择预设 下拉菜单中,选择 IPS

    2. 找到 IPS 签名 ID 的事件。

    3. 展开事件。

  2. In signature id, click the link for the signature.

    新允许列表面板打开。 规则的设置基于事件的数据。

    IPS_allow_from_event.png

  3. 检查 IPS 允许列表规则的设置。 范围与事件的流量方向匹配,您无法更改。

  4. 跟踪部分中,您可以选择在允许此签名时生成事件电子邮件通知

  5. 点击 保存。 该规则被添加到 IPS 允许列表规则库。

  6. 要显示 IPS 允许列表规则库,请从导航菜单中点击 安全 > IPS 并选择 允许列表 标签。

管理IPS白名单规则

使用 IPS 允许列表部分在 IPS 策略屏幕中手动创建、编辑和删除 IPS 允许列表规则。

显示IPS白名单规则库

IPS白名单规则库位于IPS策略页面。

显示 IPS 允许列表规则库:

  1. 从导航菜单中,点击 安全 > IPS

  2. 选择 允许列表 标签。 显示 IPS 允许列表规则库。

手动创建IPS白名单规则

您可以向 IPS 允许列表规则库中添加新规则并定义规则的设置。 您无法编辑规则的范围。

IPS 签名 ID 是 Cato 用于 IPS 引擎的自定义签名。 您只能在 IPS 事件中看到签名 ID。

允许IPS地理限制流量

如果您需要为IPS 地理限制策略创建白名单规则,则需要在目标字段中定义一个IP 范围。 如果规则基于 域名 进行定义,流量不会绕过 IPS 检查引擎。 An alternative method of applying geo restrictions based on domains is with the Internet Firewall. 有关详细信息,请参阅互联网和 WAN 防火墙策略 – 最佳实践

手动创建 IPS 允许列表规则:

  1. 从导航菜单中,点击 安全 > IPS

  2. 点击 新建新允许列表面板打开。

  3. 输入规则的名称

  4. 选择规则的范围

  5. 为规则定义签名 ID,请参阅上方IPS 白名单规则中的项目

    如果将签名 ID设置为任何,则 IPS 引擎允许所有匹配流量。

  6. 点击 应用。 IPS 允许列表规则被添加到规则库中。

  7. 点击 保存

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论