...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
...
Данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS.
Использование отрицательной формы команды (no) удаляет назначенное действие.
...
<COUNT> – число правил. Минимальное значение 1, максимальное значение завист зависит от категории правил.
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
...
Данной командой определяется вендор правил IPS/IDS, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данного вендора.
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
...
<TRANSPORT> – протокол передачи данных, по умолчанию - – UDP, принимает значения:
- TCP – передача данных осуществляется по протоколу TCP;
- UDP – передача данных осуществляется по протоколу UDP;
...
<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv4- ipv4-адрес интерфейса с которого отправляются пакеты;
<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv6- ipv6-адрес интерфейса с которого отправляются пакеты;
...
inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;
monitor - – режим работы сервиса IPS/IDS, корда когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т.е. сервис работает в режиме IDS.
Необходимый уровень привилегий
...
<HOSTNAME> – DNS-имя устройства, задаётся строкой до 255 символов;.
Необходимый уровень привилегий
...
Примечание |
---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или выводе команд show интерфейса командной строки EDM-Issue https://docs.eltex-co.ru/x/MAFtCw. |
Синтаксис
location <WORD>
no location
...
Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
Использование отрицательной формы команды (no) останавливает сохранение правил.
...
Данной командой задаётся текстовое имя устройства, которое передаётся на сервер EDM-Issue.
Использование отрицательной формы команды (no) присваивает этому имени значение по умолчанию.
Примечание |
---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или выводе команд show интерфейса командной строки EDM-Issue https://docs.eltex-co.ru/x/MAFtCw. |
Синтаксис
system-name <WORD>
no system-name
...
По умолчанию значение system-name совпадает с hostname.
Необходимый уровень привилегий
...
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config,
- каталог на сервере содержащий файлы правил и/или файл классификатора правил.
...
[no] ip http content-filter
Параметры
<NAME> – Имя имя профиля контентной фильтрации, задаётся строкой до 31 символа.
...
Данной командой устанавливаются значения метода доступа по протоколу httpHTTP, для которых должно срабатывать правило.
...
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
...
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].;
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.;
destination-address policy-object-group protect устанавливает в качестве адресов отправителя, protect адреса определенные в политике IPS/IDS.
destination-address policy-object-group external устанавливает в качестве адресов отправителя, external адреса определенные в политике IPS/IDS.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
...
- by-src – считать пороговое значение для пакетов с одинаковым IP- IP отправителя;
- by-dst – считать пороговое значение для пакетов с одинаковым IP- IP получателя.
Необходимый уровень привилегий
...
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течении течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени;.
Необходимый уровень привилегий
...
Данная команда описывает правило обработки трафика в формате SNORT 2.X / Suricata 4.X.
Использование отрицательной формы команды (no) отменяет назначение.
...