...
| Шаг | Описание | Команда | Ключи | ||
|---|---|---|---|---|---|
| 1 | Создать зоны безопасности. | esr(config)# security zone <zone-name1> esr(config)# security zone <zone-name2> | <zone-name> – до 12 символов. Имена all, any и self зарезервированы. | ||
| 2 | Задать описание зоны безопасности. | esr(config-security-zone)# description <description> | <description> – до 255 символов. | ||
| 3 | Указать экземпляр VRF, в котором будет работать данная зона безопасности (необязательно). | esr(config- security-zone)# ip vrf forwarding <VRF> | <VRF> – имя VRF, задается строкой до 31 символа. | ||
| 4 | Включить счетчики сессий для NAT и Firewall (необязательно, снижает производительность). | esr(config)# ip firewall sessions counters | |||
| 5 | Отключить фильтрацию пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения (необязательно, снижает производительность). | esr(config)# ip firewall sessions unknown <ACTION> | <ACTION> – правило обработки неизвестных сессий для межсетевого экрана: permit – разрешить неизвестные сессии; | ||
6 | Выбрать режим работы межсетевого экрана (необязательно). В режиме stateful проверяется только первый пакет сессии, и если «прямой» трафик разрешён, «ответный» трафик разрешается автоматически. В режиме stateless происходит проверка каждого пакета. «Прямой» и «ответный» трафики требуется разрешать в соответствующих zone-pair (см. шаг 29). Работа межсетевого экрана по списку приложений возможна только в режиме stateless. | esr(config)# ip firewall mode <MODE> | <MODE> – режим работы межсетевого экрана, может принимать значения: stateful, stateless. Значение по умолчанию: stateful. | ||
7 | Определить время жизни сессии для неподдерживаемых протоколов (необязательно). | esr(config)# ip firewall sessions generic-timeout <TIME> | <TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600]. По умолчанию: 60 секунд. | ||
8 | Определить время жизни ICMP-сессии, по истечении которого она считается устаревшей (необязательно). | esr(config)# ip firewall sessions icmp-timeout <TIME> | <TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд. | ||
9 | Определить время жизни ICMPv6-сессии, по истечении которого она считается устаревшей (необязательно). | esr(config)# ip firewall sessions icmpv6-timeout <TIME> | <TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд. | ||
10 | Определить размер таблицы сессий, ожидающих обработки (необязательно). | esr(config)# ip firewall sessions max-expect <COUNT> | <COUNT> – размер таблицы, принимает значения [1..8553600]. По умолчанию: 256. | ||
11 | Определить размер таблицы отслеживаемых сессий (необязательно). | esr(config)# ip firewall sessions max-tracking <COUNT> | <COUNT> – размер таблицы, принимает значения [1..8553600]. | ||
12 | Определить время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей (необязательно). | esr(config)# ip firewall sessions tcp-connect-timeout <TIME> | <TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается», принимает значения в секундах [1..8553600]. По умолчанию: 60 секунд. | ||
13 | Определить время жизни TCP-сессии в состоянии «соединение закрывается», по истечении которого она считается устаревшей (необязательно). | esr(config)# ip firewall sessions tcp-disconnect-timeout <TIME> | <TIME> – время жизни TCP-сессии в состоянии «соединение закрывается» принимает значения в секундах [1..8553600]. | ||
14 | Определить время жизни TCP-сессии в состоянии «соединение установлено», по истечении которого она считается устаревшей (необязательно). | esr(config)# ip firewall sessions tcp-established-timeout <TIME> | <TIME> – время жизни TCP-сессии в состоянии «соединение установлено», принимает значения в секундах [1..8553600]. По умолчанию: 120 секунд. | ||
15 | Определить время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий (необязательно). | esr(config)# ip firewall sessions tcp-latecome-timeout <TIME> | <TIME> – время ожидания, принимает значения в секундах [1..8553600]. По умолчанию: 120 секунд. | ||
16 | Включить функцию отслеживания сессий уровня приложений для отдельных протоколов (необязательно). | esr(config)# ip firewall sessions tracking | <PROTOCOL> – протокол уровня приложений [ftp, h323, pptp, netbios-ns, tftp], сессии которого должны отслеживаться. <OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060. Вместо имени отдельного протокола можно использовать ключ «all», который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов. По умолчанию – отключено для всех протоколов. | ||
17 | Определить время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей (необязательно). | esr(config)# ip firewall sessions udp-assured-timeout <TIME> | <TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600]. По умолчанию: 180 секунд. | ||
18 | Определить время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей. | esr(config)# ip firewall sessions udp-wait-timeout <TIME> | <TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд. | ||
| 19 | Создать списки MAC-адресов, которые будут использоваться при фильтрации. | esr(config)# object-group mac <obj-group-name> | <obj-group-name> – до 31 символа. | ||
| 20 | Задать описание списка MAC-адресов (необязательно). | esr(config-object-group-mac)# description <description> | <description> – описание профиля, задается строкой до 255 символов. | ||
| 21 | Внести необходимые MAC-адреса в список. | esr(config-object-group-mac)# mac address <ADDR> <WILDCARD> | <ADDR> – МАС-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. <WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске. | ||
22 | Создать списки IP-адресов, которые будут использоваться при фильтрации. | esr(config)# object-group network <obj-group-name> | <obj-group-name> – до 31 символа. | ||
23 | Задать описание списка IP-адресов (необязательно). | esr(config-object-group-network)# description <description> | <description> – описание профиля, задается строкой до 255 символов. | ||
24 | Внести необходимые IPv4/IPv6-адреса в список. | esr(config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ] | <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..24]. | ||
esr(config-object-group-network)# ip address-range | <FROM-ADDR> – начальный IP-адрес диапазона адресов; <TO-ADDR> – конечный IP-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IP-адрес. Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. <ID> – номер юнита, принимает значения [1..24]. | ||||
esr(config-object-group-network)# ipv6 prefix <IPV6-ADDR/LEN> [ unit <ID> ] | <IPV6-ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128]. <ID> – номер юнита, принимает значения [1..24]. | ||||
esr(config-object-group-network)# ipv6 address-range | <FROM-ADDR> – начальный IPv6-адрес диапазона адресов; <TO-ADDR> – конечный IPv6-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IPv6-адрес. Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. <ID> – номер юнита, принимает значения [1..24]. | ||||
25 | Создать списки сервисов, которые будут использоваться при фильтрации. | esr(config)# object-group service <obj-group-name> | <obj-group-name> – имя профиля сервисов, задается строкой до 31 символа. | ||
26 | Задать описание списка сервисов (необязательно). | esr(config-object-group-service)# description <description> | <description> – описание профиля, задается строкой до 255 символов. | ||
27 | Внести необходимые сервисы (tcp/udp-порты) в список. | esr(config-object-group-service)# port-range <port> | <port> – принимает значение [1..65535]. Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-». | ||
28 | Создать списки приложений, которые будут использоваться в механизме DPI. | esr(config)# object-group application <NAME> | <NAME> – имя профиля приложений, задается строкой до 31 символа. | ||
29 | Задать описание списка приложений (необязательно). | esr(config-object-group-application)# description <description> | <description> – описание профиля, задается строкой до 255 символов. | ||
30 | Внести необходимые приложения в списки. | esr(config-object-group-application)# application < APPLICATION > | <APPLICATION> – указывает приложение, попадающее под действие данного профиля. | ||
31 | Создать список доменных имен, которые будут использоваться при фильтрации. | esr(config)# object-group domain-name <NAME> | <NAME> – имя профиля доменных имен, задается строкой до 31 символа. | ||
32 | Задать описание списка доменных имен (необязательно). | esr(config-object-group-domain-name)# description <description> | <description> – описание профиля, задается строкой до 255 символов. | ||
33 | Внести необходимые доменные имена в списки. | esr(config-object-group-domain-name)# domain <DOMAIN> | <DOMAIN> – доменное имя, строка длинной от 1 до 253 символов. | ||
34 | Включить интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо). | esr(config-if-gi)# security-zone <zone-name> | <zone-name> – до 12 символов. | ||
Отключить функции Firewall на сетевом интерфейсе (физические, логические, E1/Multilink и подключаемые), сервере удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) (если необходимо). | esr(config-if-gi)# ip firewall disable | ||||
Отключить функции Firewall глобально на всех сетевых сущностях (если необходимо). | esr(config)# ip firewall disable | ||||
35 | Создать набор правил межзонового взаимодействия. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Очерёдность обработки трафика для разных zone-pair описана в примечании. | esr(config)# security zone-pair <src-zone-name1> <dst-zone-name2> | <src-zone-name> – до 12 символов. <dst-zone-name> – до 12 символов. | ||
36 | Создать правило межзонового взаимодействия. | esr(config-security-zone-pair)# rule <rule-number> | <rule-number> – 1..10000. | ||
37 | Задать описание правила (необязательно). | esr(config-security-zone-pair)# description <description> | <description> – до 255 символов. | ||
38 | Указать действие данного правила. | esr(config-security-zone-pair-rule)# action <action> [ log ] | <action> – permit/deny/reject/netflow-sample/sflow-sample/rate-limit/session-limit
log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу. | ||
39 | Установить имя или номер IP-протокола, для которого должно срабатывать правило (необязательно). | esr(config-security-zone-pair-rule)# match [not] protocol <protocol-type> | <protocol-type> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов. | ||
esr(config-security-zone-pair-rule)# match [not] protocol-id <protocol-id> | <protocol-id> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF]. | ||||
40 | Установить IP-адрес отправителя, для которых должно срабатывать правило (необязательно). | esr(config-security-zone-pair-rule)# match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
| address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона. prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128]; object-group network <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа; object-group domain-name <OBJ-GROUP-DOMAIN-NAME> – имя профиля доменных имен, задаётся строкой до 31 символа. При указании значения any правило будет срабатывать для любого IP-адреса получателя. | ||
41 | Установить IP-адрес получателя, для которых должно срабатывать правило (необязательно). | esr(config-security-zone-pair-rule)# match [not] destination-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | | |||
42 | Установить MAC-адрес отправителя, для которого должно срабатывать правило (необязательно). | esr(config-security-zone-pair-rule)# match [not] source-mac {<mac-addr> | <OBJ-GROUP-NAME>} | <mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. <OBJ-GROUP-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа. | ||
43 | Установить MAC-адрес получателя, для которого должно срабатывать правило (необязательно). | esr(config-security-zone-pair-rule)# match [not] destination-mac {<mac-addr> | <OBJ-GROUP-NAME>} | |||
44 | Установить TCP/UDP-порт отправителя, для которого должно срабатывать правило (если указан протокол). | esr(config-security-zone-pair-rule)# match [not] source-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>} | <TYPE> – тип аргумента, устанавливаемый в качестве порта:
<PORT-SET-NAME> – задаётся строкой до 31 символа; <FROM-PORT> – начальный порт диапазона; <TO-PORT> – конечный порт диапазона. | ||
45 | Установить TCP/UDP-порт получателя, для которого должно срабатывать правило (если указан протокол). | esr(config-security-zone-pair-rule)# match [not] destination-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>} | |||
| 46 | Установить профиль приложений, который будет использоваться в механизме DPI. | esr(config-security-zone-pair-rule)# match [not] application <OBJ-GROUP-NAME> | <OBJ-GROUP-NAME> – имя профиля приложений, задаётся строкой до 31 символа. | ||
47 | Установить тип и код сообщений протокола ICMP, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (необязательно). | esr(config-security-zone-pair-rule)# match [not] icmp <ICMP_TYPE> <ICMP_CODE> | <ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255]; <ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP. | ||
48 | Установить тип и код сообщений протокола ICMPv6, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (необязательно). | esr(config-security-zone-pair-rule)# match [not] icmpv6 <ICMP_TYPE> <ICMP_CODE> | <ICMP_TYPE> – тип сообщения протокола ICMPv6, принимает значения [0..255]; <ICMP_CODE> – код сообщения протокола ICMPv6, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP. | ||
49 | Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя. | esr(config-security-zone-pair-rule)# match [not] destination-nat | |||
50 | Установить фильтрацию только для фрагментированных IP-пакетов (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> any). | esr(config-security-zone-pair-rule)# match [not] fragment | |||
51 | Установить фильтрацию для IP-пакетов, содержащих ip-option (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> any). | esr(config-security-zone-pair-rule)# match [not] ip-option | |||
52 | Включить правило межзонового взаимодействия. | esr(config-security-zone-pair-rule)# enable | |||
53 | Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (необязательно). | esr(config-bridge)# ports firewall enable |
...
| Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Перейти в конфигурирование контент- провайдера. | esr (config)# content-provider | |
2 | Задать IP-адрес edm-сервера. | esr (config-content-provider)# host address <A.B.C.D | WORD | X:X:X:X::X> | <IP-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. WORD(1-31) – DNS-имя сервера. |
3 | Задать порт для подключения к edm-серверу. | esr (config-content-provider)# host port <PORT> | <PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. |
4 | Задать тип и раздел внешнего устройства для создания крипто-хранилища. | esr (config-content-provider)# storage-path <DEVICE> | <DEVICE> – лейбл и имя раздела на внешнем носителе информации в формате usb://Partion_name:/ mmc://Partion_name:/. На внешнем носителе должна быть создана файловая система в формате exFAT. |
5 | Установить время перезагрузки устройства после получения сертификата. | esr (config-content-provider)# reboot immediately | [time <HH:MM:SS> | <WEEK_DAY>] | Перезагрузить устройство после получения сертификата. time <HH:MM:SS> – время, в которое ESR перезагрузится <Часы:минуты:секунды>. <WEEK_DAY> - день недели, принимает значения: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday. |
6 | Включить контент провайдер. | enable | |
7 | Установить интервал обращения к edm-серверу в часах. | esr (config-content-provider)# upgrade interval <1-240> | |
8 | Установить описание (необязательно). | esr (config-content-provider)# description < LINE > | LINE (1-255) String describing server |
| 9 | Задать текстовое имя устройства, которое передаётся на сервер EDM (необязательно). | esr (config-content-provider)# system-name < WORD > | <WORD> – имя, задаётся строкой до 255 символов. |
| 10 | Задать текстовое описание, которое передаётся на сервер EDM (необязательно). | esr (config-content-provider)# location < WORD > | <WORD> – описание, задаётся строкой до 255 символов. |
11 | Создать списки IP-адресов, которые будут использоваться при фильтрации. | esr (config)# object-group network <WORD> esr (config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ] | <WORD> – имя сервера, задаётся строкой до 32 символов. <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..24]. |
10 | На интерфейсе включить service-ips. | esr (config)# interface gigabitethernet 1/0/Xesr (config-if-gi)# service-ips enable | |
11 | Создать политику безопасности IPS/IDS. | esr (config)# security ips policy WORD(1-31) | WORD(1-31) |
12 | Задать профиль IP-адресов, которые будет защищать IPS/IDS. | esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов. |
13 | Войти в раздел конфигурирования вендора. | esr (config-ips-policy)# vendor kaspersky | |
14 | Подключить необходимую категорию. | esr (config-ips-vendor)# category WORD(1-64) | Категории, доступные по текущей подписке, можно посмотреть в контекстной подсказке или командой: show security ips content-provider rules-info |
15 | Задать тип правил. | esr (config-ips-vendor-category)# rules action <ACTION> | <ACTION> - drop | reject | alert | pass – действия, которые будут применяться к пакетам.
|
16 | Задать количество скачиваемых правил. | esr (config-ips-vendor-category)# rules { all | count <COUNT> | percent <PERCENT> | recomended } |
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой: show security ips content-provider rules-info |
17 | Включить категорию. | enable | |
18 | Перейти в режим конфигурирования IPS/IDS. | esr (config)# security ips | |
19 | Назначить политику безопасности IPS/IDS. | esr(config-ips)# policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов. |
20 | Использовать все ресурсы ESR для IPS/IDS (необязательно). | esr(config-ips)# perfomance max | |
21 | Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (необязательно). | esr(config-ips)# logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ] | <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты. |
| 22 | Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (необязательно). | esr(config-ips)# logging update-interval <INTERVAL> | <INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах. |
23 | Активировать IPS/IDS. | esr(config- ips )# enable |
...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Определить IP-адрес DNS-сервера, используемого для разрешения DNS-имен. | esr(config)# domain nameserver <IP> | <IP> – IP-адрес используемого DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 2 | Включить разрешение DNS-имен на устройстве. | esr(config)# domain lookup enable | |
3 | Создать политику безопасности IPS/IDS. | esr(config)# security ips policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 31 символа. |
4 | Задать описание политики (необязательно). | esr(config-ips-policy)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. |
5 | Создать списки IP-адресов, которые будут использоваться при фильтрации. | esr (config)# object-group network <WORD> esr (config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ] | <WORD> – имя сервера, задаётся строкой до 31 символов. <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – <ID> – номер юнита, принимает значения значения [1..24]. |
6 | Задать профиль IP-адресов, которые будет защищать IPS/IDS. | esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 31 символов. |
7 | Задать профиль IP-адресов, внешних для IPS/IDS (необязательно). | esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 31 символов. |
| 8 | Создать профиль категорий контентной фильтрации. | esr(config)# object-group content-filter <NAME> | <NAME> – имя профиля контентной фильтрации, задается строкой до 31 символа. |
9 | Задать описание профиля категорий контентной фильтрации (необязательно). | esr(config-object-group-content-filter)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. |
| 10 | Задать поставщика категорий контентной фильтрации. | esr(config-object-group-content-filter)# vendor <CONTENT-FILTER-VENDOR> | <CONTENT-FILTER-VENDOR> – название поставщика категорий контентной фильтрации. В текущей версии ПО в качестве поставщика категорий контентной фильтрации может выступать только Лаборатория Касперского. |
| 11 | Задать необходимые категории контентной фильтрации. | esr(config-object-group-cf-kaspersky)# category <CATEGORY> | <CATEGORY> – имя категории. Описание доступных категорий приведено в справочнике команд. |
12 | Перейти в режим конфигурирования IPS/IDS. | esr(config)# security ips | |
13 | Назначить политику безопасности IPS/IDS. | esr(config-ips)# policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов. |
14 | Использовать все ресурсы ESR для IPS/IDS (необязательно). | esr(config-ips)# perfomance max | По умолчанию для IPS/IDS отдается половина доступных ядер процессора. |
15 | Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (необязательно). | esr(config-ips)# logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ] | <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты. |
| 16 | Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (необязательно). | esr(config-ips)# logging update-interval <INTERVAL> | <INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах. |
| 17 | Настроить параметры кэширования сервиса контентной фильтрации. | esr(config-ips)# content-filter | |
| 18 | Установить количество хранящихся в кэше записей. | esr(config-ips-content-filter)# uri cache-size <NUMBER> | <NUMBER> – количество записей, хранящихся в кэше, принимает значения [1..32768]. |
| 19 | Установить среднее время, в течение которого запись URI будет действительной в кэше. | esr(config-ips-content-filter)# uri reachable-interval <DAYS> | <DAYS> – количество дней, в течение которых запись будет действительной, принимает значения [1..365]. |
| 20 | Активировать IPS/IDS. | esr(config-ips )# enable | |
| 21 | Активировать IPS/IDS на интерфейсе. | esr(config-if-gi)# service-ips enable | |
| 22 | Задать имя и перейти в режим конфигурирования набора пользовательских правил. | esr(config)# security ips-category user-defined <WORD> | <WORD> – имя набора пользовательских правил, задаётся строкой до 31 символов. |
| 23 | Задать описание набора пользовательских правил (необязательно). | esr(config-ips-category)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. |
| 24 | Создать правило и перейти в режим конфигурирования правила. | esr(config-ips-category)# rule <ORDER> | <ORDER> – номер правила, принимает значения [1..512]. |
| 25 | Задать описание правила (необязательно). | esr(config-ips-category-rule)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. |
| 26 | Указать действие данного правила. | esr(config-ips-category-rule)# action { alert | reject | pass | drop } |
|
| 27 | Установить в качестве протокола HTTP/HTTPS. | esr(config-ips-category-rule)# protocol { http | tls } |
|
| 28 | Установить IP-адреса отправителя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# source-address | <ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть отправителя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. <OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя. |
| 29 | Установить номера TCP/UDP-портов отправителя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# source-port {any | <PORT> | object-group <OBJ-GR-NAME> } | <PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя. |
| 30 | Установить IP-адреса получателя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# destination-address | <<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть получателя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. < OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса получателя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя. |
| 32 | Установить номера TCP/UDP-портов получателя, для которых должно срабатывать правило. Обычно для протокола http используется значение TCP-порт 80. В случаях когда когда используются web-сервера на нестандартных портах надо пописывать эти порты тоже. | esr(config-ips-category-rule)# destination-port {any | <PORT> | object-group <OBJ-GR-NAME> } | <PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя. |
| 33 | Установить направление потока трафика, для которого должно срабатывать правило. | esr(config-ips-category-rule)# direction { one-way | round-trip } |
|
| 34 | Определить сообщение которое IPS/IDS будет записывать в лог, при срабатывании этого правила. | esr(config-ips-category-rule)# meta log-message <MESSAGE> | <MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов. |
| 35 | Назначить профиль категорий контентной фильтрации. | esr(config-ips-category-rule)# ip { http | tls } content-filter <NAME> |
<NAME> – имя профиля контентной фильтрации задаётся строкой до 31 символа. any – правило будет срабатывать для HTTP/HTTPS-сайтов любой категории. |
| 36 | Активировать правило. | esr(config-ips-category-rule)# enable |
...