允许列表 IPS 签名

本文讨论如何创建允许列表规则,以允许具有特定 IPS 签名的流量绕过 IPS 检查引擎。

IPS 允许列表概览

Cato 入侵防御系统 (IPS) 引擎会检查 WAN 和互联网流量,以检测各种网络攻击,并使用不同的预防技术来保护网络。 某些 IPS 保护基于流量签名,这些签名定义了潜在网络攻击的类型。 每当流量模式匹配 IPS 签名 时,IPS 引擎会对流量应用 IPS策略 操作(阻止监控允许)。

对于 IPS 阻止操作,您可以使用 IPS 允许列表规则来配置 IPS 引擎以忽略匹配的流量。 例如,您可以直接在事件屏幕中从 IPS 阻止事件创建一个 IPS 允许列表规则。

注意

注意: 在 IPS 允许列表规则中使用域名或 FQDN 不适用于所有 IPS 保护和签名。 相反,请确保使用 IP 范围以便规则允许所有 IPS 保护。

网络流量和IPS保护范围

您可以根据网络流量的特定范围创建允许列表流量规则,供 IPS 引擎使用。 从 来源(From)目的地(To) 的流量仅根据以下一种网络流量类型列入允许列表:

  • WAN - Cato Cloud 上站点和主机之间的 WAN 流量
  • 入站 - 从互联网到内部客户网络的流量
  • 出站 - 从内部客户网络到互联网的流量
  • 任何 - 任何网络流量
AllowList_Rulebase.png

IPS白名单规则中的项目

下表解释了您可以用来定义 IPS 允许列表规则设置的项目:

项目 描述
名称 在 IPS 规则的允许列表里设置的名称。
范围

在 IPS 允许列表应用于该流量的保护范围。

不能编辑 DNS 策略的范围。

来源 DNS 策略的流量来源。
目的地 DNS 策略的流量目的地。
协议/端口 仅应用于匹配指定协议和端口的流量。 可以为每个规则定义单个端口或多个端口。 使用单独的规则定义多个端口,例如一个用于 TCP 端口 80,另一个用于 TCP 端口 200。
签名 ID

允许 IPS 签名的规则匹配并通过 IPS 引擎的流量。

输入 任何,配置 IPS 引擎允许所有匹配规则的流量。

跟踪 当规则匹配后,生成事件或发送电子邮件通知至指定列表。
More_icon.png 启用、禁用或删除的选项。

下表显示了您可以为每个 IPS 保护范围的允许列表规则中的来源目的地字段配置的实体:

规则范围 来源的可用实体 目的地的可用实体
入站

国家

IP范围

远程自治系统号码

子网

任何

浮动子网

管理员组

主机

接口子网

IP

网络接口

站点

系统群组

用户

用户组

SDP 用户

任何

WAN

浮动子网

管理员组

主机

接口子网

IP

网络接口

站点

系统群组

用户

用户组

SDP 用户

任何

浮动子网

管理员组

主机

接口子网

IP

网络接口

站点

系统群组

用户

用户组

SDP 用户

任何

出站

浮动子网

管理员组

主机

接口子网

IP

网络接口

站点

系统群组

用户

用户组

SDP 用户

任何

国家

域名

完全限定域名 (FQDN)

IP范围

远程自治系统号码

任何

使用IPS白名单规则库

IPS 允许列表规则库包含所有允许 IPS 引擎流量的规则。 所有匹配的 IPS 允许列表规则都将应用于流量,此行为与仅应用第一个匹配规则的按序防火墙规则库不同。 这意味着如果一个连接符合多个允许列表规则,则每个匹配规则都会生成一个事件。

例如,具有被阻止 IPS 签名的连接符合 IPS 允许列表规则 2 和 4。 该连接被 IPS 引擎列入允许列表并允许。 该连接生成两个单独的事件,一个用于规则 2,一个用于规则 4。

从阻止事件创建IPS白名单规则

您可以使用信息搜集来识别阻止流量的 IPS 签名,然后从阻止事件中创建一个 IPS 允许列表规则。 您可以点击事件中的签名 ID 以打开一个窗口,让您配置新 IPS 允许列表规则的设置。 The rule is then added to the IPS allowlist rulebase in the IPS policy (Security > IPS).

创建 IPS 允许列表规则从事件中:

  1. 主页 > 事件,显示已阻止流量的 IPS 事件。 这是个显示 IPS 事件的样例程序:
    1. 从下拉菜单里选择 选择预设,选择 IPS
    2. 找到 IPS 签名 ID 的事件。
    3. 展开事件。
  2. In signature id, click the link for the signature.

    新允许列表面板打开。 规则的设置基于事件的数据。

    IPS_allow_from_event.png
  3. 查看 IPS 允许列表规则的设置。 范围 符合事件的 流量方向,不可修改。
  4. 跟踪 部分,你可以选择生成 事件电子邮件通知 当此签名被允许时。
  5. 点击 保存。 规则已添加到 IPS 允许列表规则库。
  6. 要显示 IPS 允许列表规则库,从导航菜单中点击 安全性 > IPS 并选择 允许列表 标签页。

管理IPS白名单规则

使用 IPS 允许列表部分在 IPS 策略屏幕中手动创建、编辑和删除 IPS 允许列表规则。

显示IPS白名单规则库

IPS白名单规则库位于IPS策略页面。

显示 IPS 允许列表规则库:

  1. 从导航菜单中,点击 安全性 > IPS
  2. 选择 允许列表 标签页。 IPS 允许列表规则库被显示。

手动创建IPS白名单规则

您可以向 IPS 允许列表规则库中添加新规则并定义规则的设置。 您无法编辑规则的范围。

IPS 签名 ID 是 Cato 用于 IPS 引擎的自定义签名。 您只能在 IPS 事件中看到签名 ID。

允许IPS地理限制流量

如果您需要为IPS 地理限制策略创建白名单规则,则需要在目标字段中定义一个IP 范围。 如果规则基于 域名 进行定义,流量不会绕过 IPS 检查引擎。 An alternative method of applying geo restrictions based on domains is with the Internet Firewall. 有关详细信息,请参阅互联网和 WAN 防火墙策略 – 最佳实践

手动创建 IPS 允许列表规则:

  1. 从导航菜单中,点击 安全性 > IPS > 允许列表
  2. 点击 新建。 新允许列表面板打开。
  3. 输入 名称 为规则。
  4. 选择规则的范围
  5. 定义规则的签名 ID,请参见上面的IPS 白名单规则中的项目

    如果将签名 ID设置为任何,则 IPS 引擎允许所有匹配流量。

  6. 点击 应用。 IPS 白名单规则已添加到规则库。
  7. 点击 保存

这篇文章有帮助吗?

6 人中有 3 人觉得有帮助

0 条评论