ESR-Series Documentation 1.17.3
Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 4

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
  • reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
  • pass – прохождение трафика разрешается;
  • drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

...

Данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS.

Использование отрицательной формы команды (no) удаляет назначенное действие.

...

<COUNT> – число правил. Минимальное значение 1, максимальное значение завист зависит от категории правил.

Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:

show security ips content-provider rules-info

...

Данной командой определяется вендор правил IPS/IDS, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данного вендора.

Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.

...

<TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP;

...

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv4- ipv4-адрес интерфейса с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv6- ipv6-адрес интерфейса с которого отправляются пакеты;

...

inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;

monitor - режим работы сервиса IPS/IDS, корда когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т.е. сервис работает в режиме IDS.

Необходимый уровень привилегий

...

<HOSTNAME> – DNS-имя устройства, задаётся строкой до 255 символов;.

Необходимый уровень привилегий

...

Примечание

Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или выводе команд show интерфейса командной строки EDM-Issue https://docs.eltex-co.ru/x/MAFtCw.

Синтаксис
location <WORD>
no location

...

Для использования с системой IPS/IDS  на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.

Использование отрицательной формы команды (no) останавливает сохранение правил.

...

Данной командой задаётся текстовое имя устройства, которое передаётся на сервер EDM-Issue.

Использование отрицательной формы команды (no) присваивает этому имени значение по умолчанию.

Примечание

Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или выводе команд show интерфейса командной строки EDM-Issue https://docs.eltex-co.ru/x/MAFtCw.

Синтаксис
system-name <WORD>
no system-name

...

По умолчанию значение system-name совпадает с hostname.

Необходимый уровень привилегий

...

  • файл правил с расширение .rule,
  • файл классификатора правил с именем classification.config,
  • каталог на сервере содержащий файлы правил и/или файл классификатора правил.

...

[no] ip http content-filter
Параметры

<NAME> – Имя имя профиля контентной фильтрации, задаётся строкой до 31 символа.

...

Данной командой устанавливаются значения метода доступа по протоколу httpHTTP, для которых должно срабатывать правило.

...

<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

...

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и LEN принимает значения [1..32].;

<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.;

destination-address policy-object-group protect устанавливает в качестве адресов отправителя, protect адреса определенные в политике IPS/IDS.

destination-address policy-object-group external устанавливает в качестве адресов отправителя, external адреса определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

...

  • by-src – считать пороговое значение для пакетов с одинаковым IP- IP отправителя;
  • by-dst – считать пороговое значение для пакетов с одинаковым IP- IP получателя.
Необходимый уровень привилегий

...

  • threshold – выдавать сообщение каждый раз по достижении порога;
  • limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
  • both – комбинация threshold и limit. Сообщение будет генерироваться, если в течении течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени;.
Необходимый уровень привилегий

...

Данная команда описывает правило обработки трафика в формате SNORT 2.X / Suricata 4.X.

Использование отрицательной формы команды (no) отменяет назначение.

...