...
| Блок кода |
|---|
esr(config-ips)# policy OFFICE |
service-ips
...
Данная команда используется для включение сервиса IPS/IDS на сетевом интерфейсе.
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
service-ips { inline | monitor }
[no] service-ips enable
Параметры
inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик
monitor - режим работы сервиса IPS/IDS, корда устройство подключается к SPAN/RSPAN порту. В этом режиме возможно только детектировать трафик, т.е. сервис работает в режиме IDS
Необходимый уровень привилегий
...
host address { <ADDR> | <IPV6-ADDR> | <HOSTNAME> }Параметры
<ADDR> – IP-адрес устройства, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
host port <PORT>
no host port
Параметры
<PORT> – номер TCP-порта, принимает значения [1..65535];
...
location <WORD>
no location
Параметры
<WORD> – описание, задаётся строкой до 255 символов.
...
reboot { immediately | time <TIME> } Параметры
immediately – перезагружаться сразу после получения лицензии;
...
storage-path { usb://<USB-NAME>:/<PATH> | mmc://<MMC-NAME>:/<PATH> }no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
...
system-name <WORD>
no system-name
Параметры
<WORD> – имя, задаётся строкой до 255 символов.
...
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
...
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
...
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длинной от 8 до 255 символов.
...
no user-server { <WORD> | all }Параметры
<WORD> имя сервера задается строкой от 1 до 64 символа.
...
destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }no destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }no destination-port
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535;
...
direction { one-way | round-trip }no direction
Параметры
- one-way – трафик передаётся в одну сторону;
- round-trip – трафик передаётся в обе стороны.
...
ip dscp <DSCP>
[no] ip dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
...
ip ftp command <COMMAND>
[no] ip ftp command
Параметры
<COMMAND> – может принимать следующие значения:
...
ip ftp-data command <COMMAND>
[no] ip ftp-data command
Параметры
<COMMAND> – может принимать следующие значения:
...
ip http <COMMAND>
[no] ip http
Параметры
<COMMAND> – может принимать следующие значения:
...
[no] ip http content-filter
Параметры
<NAME> – Имя профиля контентной фильтрации задаётся строкой до 31 символа.
...
ip http method <COMMAND>
[no] ip http method
Параметры
<COMMAND> – может принимать следующие значения:
...
ip icmp code <CODE>
[no] ip icmp code
Параметры
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
...
[no] ip icmp code comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
ip icmp id <ID>
[no] ip icmp id
Параметры
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
...
ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
...
ip icmp type <TYPE>
[no] ip icmp type
Параметры
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
...
[no] ip icmp type comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
ip protocol-id <ID>
[no] ip protocol-id
Параметры
<ID> – идентификационный номер IP-протокола [1..255].
...
[no] ip tcp acknowledgment-number
Параметры
<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
...
ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
...
ip tcp window-size <SIZE>
[no] ip tcp window-size
Параметры
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535]
...
Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
...
[no] ip ttl comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
[no] meta classification-type
Параметры
- not-suspicious – не подозрительный трафик;
- unknown – неизвестный трафик;
- bad-unknown – потенциально плохой трафик;
- attempted-recon – попытка утечки информации;
- successful-recon-limited – утечка информации;
- successful-recon-largescale – масштабная утечка информации;
- attempted-dos – попытка отказа в обслуживании;
- successful-dos – отказ в обслуживании;
- attempted-user – попытка получения привилегий пользователя;
- unsuccessful-user – безуспешная попытка получения привилегий пользователя;
- successful-user – успешная попытка получения привилегий пользователя;
- attempted-admin – попытка получения привилегий администратора;
- successful-admin – успешная попытка получения привилегий администратора;
- rpc-portmap-decode – декодирование запроса RPC;
- shellcode-detect – обнаружен исполняемый код;
- string-detect – обнаружена подозрительная строка;
- suspicious-filename-detect – было обнаружено подозрительное имя файла;
- suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
- system-call-detect – обнаружен системный вызов;
- tcp-connection – обнаружено TCP-соединение;
- trojan-activity – был обнаружен сетевой троян;
- unusual-client-port-connection – клиент использовал необычный порт;
- network-scan – обнаружение сетевого сканирования;
- denial-of-service – обнаружение атаки отказа в обслуживании;
- non-standard-protocol – обнаружение нестандартного протокола или события;
- protocol-command-decode – обнаружена попытка шифрования;
- web-application-activity – доступ к потенциально уязвимому веб-приложению;
- web-application-attack – атака на веб-приложение;
- misc-activity – прочая активность;
- misc-attack – прочие атаки;
- icmp-event – общее событие ICMP;
- inappropriate-content – обнаружено неприемлемое содержание;
- policy-violation – потенциальное нарушение корпоративной конфиденциальности;
- default-login-attempt – попытка входа с помощью стандартного логина/пароля.
...
meta log-message <MESSAGE>
[no] mera log-message
Параметры
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
...
[no] payload content <CONTENT>
Параметры
<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.
...
payload data-size <SIZE>
[no] payload data-size
Параметры
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535]
...
[no] payload data-size comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
[no] payload content depth
Параметры
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
...
[no] payload content offset
Параметры
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
...
protocol { any | ip | icmp | http | tcp | udp }[no] protocol
Параметры
- any – правило будет срабатывать для любых протоколов;
- ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
- icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
- http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
- tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
- udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
- ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
- ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data;.
...
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..512].
...
[no] security ips-category user-defined <CATEGORY_NAME>
Параметры
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
...
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }no source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
source-port { any | <PORT> | object-group <OBJ-GR-NAME> }no source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].
...
threshold count <COUNT>
[no] threshold count
Параметры
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535]
...
threshold second <SECOND>
[no] threshold second
Параметры
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
...
threshold track { by-src | by-dst }[no] threshold track
Параметры
- by-src – считать пороговое значение для пакетов с одинаковым IP-отправителя;
- by-dst – считать пороговое значение для пакетов с одинаковым IP-получателя.
...
threshold type { treshhold | limit | both }[no] threshold type
Параметры
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течении интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени;
...
[no] rule-advanced <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4294967295].
...
rule-text <LINE>
[no] rule-text
Параметры
<LINE> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
...