...
Оглавление | ||
---|---|---|
|
Общие команды IPS/IDS
clear security ips counters
Данной командой выполняется сброс счетчиков работы правил сервиса IPS/IDS.
Синтаксис
clear security ips counters
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear security ips counters
esr# 15: 2023-09-11T12:21:00.000+07:00 %IPS-I-INFO: Counters have been cleared completely !
|
description
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
...
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPS-CATEGORY
CONFIG-IPS-CATEGORY-RULE
...
CONFIG-IPS-UPGRADE-USER-SERVER
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist" |
...
Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
IPS/IDS-сервис не активирован.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
CONFIG-IPS-CATEGORY-RULE
...
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
Блок кода |
---|
esr(config-ips)# enable |
...
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS, распространяемых по коммерческой лицензии.
Синтаксис
show security ips content-provider
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ips content-provider Server: content-provider Last MD5 of received files: 93633ab9a73248ea50d58c25b1ac806c Next update: 06 October 2020 12:27:40 |
...
Данной командой выполняется просмотр информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии. При отсутствии действующей лицензии список будет пуст.
Синтаксис
show security ips content-provider rules-info
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ips content-provider rules-info Vendor : kaspersky Category : IoTURLsDF Count of rules : 8000 Description : Kasperksy Lab IoTURLsDF feed IoTURLsDF URL feed - a set of URLs with context covering malware that infects IoT (Internet of Things) devices Category : MaliciousHashDF Count of rules : 1 Description : Kasperksy Lab MaliciousHashDF feed Malicious Hash feed - a set of hashes of malicious objects Category : PhishingURLsDF Count of rules : 11167 Description : Kasperksy Lab PhishingURLsDF feed Phishing URL feed - a set of URLs with context that cover phishing websites and web pages |
...
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ips counters TCP flows processed : 34687 Alerts generated : 456 Blocked by ips engine : 78 Accepted by ips engine : 1356436 |
...
Данной командой выполняется просмотр числа правил, используемых в текущий момент системой IPS/IDS.
Синтаксис
show security ips status [detailed]
...
detailed – показывает расширенную информацию об используемых правилах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ips status Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 esr# show security ips status detailed Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 Rules processed: 21727 IP-only inspecting: 1 Payload inspecting: 3980 Application layer inspecting: 18951 Decoder event: 0 |
...
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.
Синтаксис
show security ips user-server [<WORD>]
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# sh security ips user-server Server name Files MD5 Next update -------------------------------- -------------------------------- -------------------------------- content-provider 93633ab9a73248ea50d58c25b1ac806c 06 October 2020 12:27:40 TH 919f51bdf44052bfc0953362aef11c0d 06 October 2020 12:36:40 Traffic-ID e5e2f6472a397227c0d96f5df430a207 06 October 2020 12:36:40 Aggressive cfc3547b50f3f9fec366ba5a1e51cd1f 06 October 2020 12:36:40 JA3-Fingerprint 439aa6e57c66826b92337672937d505b 05 October 2020 16:51:40 C2-Botnet 39e118bd3884b3dc1df4ca3a03c05df1 05 October 2020 16:51:40 SSL-BlackList 1d9c969f25791b9ee8c8c0ab8449d849 05 October 2020 16:51:40 ET-Open d53d92248a1f7cdc040d669a76cf27bc 06 October 2020 12:36:40 |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules
Необходимый уровень привилегий
15
Командный
...
режим
ROOT
Пример
Блок кода |
---|
esr# update security ips content-provider rules |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
Блок кода |
---|
esr# update security ips content-provider rules-info |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips user-server rules <WORD>
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
Блок кода |
---|
esr# update security ips user-server rules ET-Open |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.
Синтаксис
category <CATEGORY>
no category { <CATEGORY> | all }
Параметры
<CATEGORY> – категория правил.
Список доступных категорий можно посмотреть в контекстной подсказке или командой:
Блок кода |
---|
show security ips content-provider rules-info |
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR
Пример
Блок кода |
---|
esr(config-ips-vendor)# category MobileBotnetCAndCDF |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
external network-group <OBJ-GROUP-NETWORK-NAME>
no external network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
Блок кода |
---|
esr(config-ips-policy)# external network-group WAN |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
protect network-group <OBJ-GROUP-NETWORK-NAME>
no protect network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
Блок кода |
---|
esr(config-ips-policy)# protect network-group LAN |
rules
...
Данной командой указывается количество правил, которое необходимо скачать для данной категории.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules action { alertall | rejectcount <COUNT> | passpercent <PERCENT> | droprecomended }
no rules actionall
Scroll Pagebreak
Параметры:
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
- all – данной командой указывается, что система IPS/IDS будет работать с полным набором правил данной категории;
- count <COUNT> – данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS:
- <COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
- percent <PERCENT> – данной командой указывается процентное соотношение от общего числа правил данной категории, с которым будет работать система IPS/IDS:
<PERCENT> – процент от общего числа правил.
- recomended – данной командой указывается, что система IPS/IDS будет использовать рекомендованное количество правил в данной категории. Рекомендованное количество составляет 42% от общего числа правил.
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
Блок кода |
---|
esr(config-ips-vendor-category)# rules actionpercent drop25 |
rules
...
action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего правилам данной категории.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules count <COUNT>action { alert | reject | pass | drop }
no rules countaction
Параметры:
<COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:
...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
Блок кода |
---|
esr(config-ips-vendor-category)# rules countaction 8000drop |
security ips policy
Данной командой создается политика настроек сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования политики.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.
Синтаксис
[no] security ips policy <POLICY_NAME>
Параметры
<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security ips policy OFFICE |
...
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
Синтаксис
vendor <VENDOR>
no vendor <CATEGORY>
Параметры
<VENDOR> – вендор правил.
...
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
Блок кода |
---|
esr(config-ips-policy)# vendor kaspersky |
...
Данной командой устанавливается уровень важности сообщения для логирования событий IPS/IDS.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
logging ips severity <SEVERITY>
no logging ips severity
Параметры
<SEVERITY> – уровень важности сообщения, принимает значения (в порядке убывания важности):
...
Значение по умолчанию
info
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# logging ips severity error |
security ips
Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.
Синтаксис
security ips
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security ips |
fail-close enable
При использовании данной команды передача трафика через интерфейс, на котором настроен сервис IPS/IDS, в момент начальной загрузки маршрутизатора, будет заблокирована до тех пор, пока сервис IPS/IDS не запустится и не применит хотя бы одно сконфигурированное или существующее правило.
Использование отрицательной формы команды (no) разрешает прохождение трафика при отсутствии загруженных правил IPS/IDS.
Синтаксис
[no] fail-close enable
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
Блок кода |
---|
esr(config-ips)# fail-close enable |
logging remote-server
Данной командой задаются параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).
Использование отрицательной формы команды (no) останавливает отправку статистики.
Синтаксис
logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]
no logging remote-server
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
- TCP – передача данных осуществляется по протоколу TCP;
- UDP – передача данных осуществляется по протоколу UDP;.
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;
<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog -пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;
<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog -пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты;.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
Блок кода |
---|
esr(config-ips)# logging remote-server 192.168.0.101 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
logging update-interval <INTERVAL>
no logging update-interval
Параметры
<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
Значение по умолчанию
10 минут.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
Блок кода |
---|
esr(config-ips)# logging update-interval 10 |
security ips
...
queue-limit
Данной командой определяется предельное количество пакетов для виртуальной очереди одного потока сервиса IPS/IDS и перехода в режим его конфигурирования.
Синтаксис
security ips
. Больший размер очереди позволяет оптимизировать производительность при всплесках трафика, но слишком большая очередь может привести к снижению производительности.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
queue-limit <QUEUE-LIMIT>
no queue-limit
Параметры
<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096].
Значение по умолчанию
1024
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
...
|
...
|
performance max
Данная команда позволяет сервису IPS/IDS использовать все ресурсы устройства для достижения максимальной производительности. Рекомендуется применять, когда устройство используется исключительно в качестве IPS/IDS. Не рекомендуется применять, когда помимо IPS/IDS устройство выполняет другие функции (маршрутизация, BRAS и т. д.).
Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.
Синтаксис
[no] performance max
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
Блок кода |
---|
esr(config-ips)# perfomance max |
...
Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.
Синтаксис
policy <POLICY_NAME>
no policy
Параметры
<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
Блок кода |
---|
esr(config-ips)# policy OFFICE |
...
Данная команда используется для включение включения сервиса IPS/IDS на сетевом интерфейсе.
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
service-ips { inline | monitor }
[no] service-ips
Параметры
inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;
monitor – режим работы сервиса IPS/IDS, когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т. е. сервис работает в режиме IDS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
...
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
Пример
Блок кода |
---|
esr(config-if-gi)# service-ips inline |
...
Данной командой осуществляется переход в режим конфигурирования источника обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
content-provider
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# content-provider |
...
Данной командой задаётся адрес сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host address { <ADDR> | <IPV6-ADDR> | <HOSTNAME><WORD> }
Параметры
<ADDR> – IP-адрес сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<HOSTNAMEWORD> – DNS-имя сервера, задаётся строкой до 255 символов31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-content-provider)# host address edm.eltex-co.ru |
...
Использование отрицательной формы команды (no) удаляет номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host port <PORT>
no host port
Параметры
<PORT> – номер TCP-порта, принимает значения [1..65535];.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-content-provider)# host port 8098 |
...
Примечание |
---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue. |
Синтаксис
location <WORD>
no location
Параметры
<WORD> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-content-provider)# location "Server room in Novokuznetsk office" |
...
При наличии функциональной лицензии IPS/IDS перезагрузки не происходит.
Синтаксис
reboot { immediately | time <TIME> }
Параметры
immediately – перезагружаться сразу после получения лицензии;
...
<TIME> – время перезагрузки в формате HH:MM:SS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-content-provider)# reboot time 05:00:00 |
...
Для использования с системой IPS/IDS IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/<PATH> | mmc://<MMC-NAME>:/<PATH> }
no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc;<PATH> – путь и имя файла на внешнем носителе.
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-content-provider)# storage-device usb://DATA/IPS |
...
Примечание |
---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue. |
Синтаксис
system-name <WORD>
no system-name
Параметры
<WORD> – имя, задаётся строкой до 255 символов253 символа.
Значение по умолчанию
По умолчанию значение system-name совпадает с hostname.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-content-provider)# system-name main-office |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
Блок кода |
---|
esr(config-content-provider)# upgrade interval 36 |
...
Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.
Синтаксис
auto-upgrade
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
Блок кода |
---|
esr(config-ips)# auto-upgrade |
storage-path
Данной командой задается путь на внешнем носителе, по которому будут сохраняться правила IPS/IDS, загружаемые с пользовательских серверов обновлений.
Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }
no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-IPS
Пример
Блок кода |
---|
esr(config-ips)# storage-device usb://DATA/ |
upgrade interval
Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS и/или файла классификатора IPD/IDS для данного URL.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
Блок кода |
---|
esr(config-ips-upgrade-user-server)# upgrade interval 36 |
...
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длинной длиной от 8 до 255 символов.
В качестве URL-ссылки может быть указан:
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config,
- каталог на сервере, содержащий файлы правил и/или файл классификатора правил.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
Блок кода |
---|
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/ |
...
Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила, полученные с этого сервера.
Синтаксис
user-server <WORD>
no user-server { <WORD> | all }
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-AUTO-UPGRADE
Пример
Блок кода |
---|
esr(config-ips-auto-upgrade)# user-server ET-Open |
...
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { alert | reject | pass | drop }
no action
Scroll Pagebreak
Параметры
...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# action reject |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
destination-address policy-object-group protect – устанавливает в качестве адресов назначения protect-адреса, определенные в политике IPS/IDS;
destination-address policy-object-group external – устанавливает в качестве адресов назначения external-адреса, определенные в политике IPS/IDS;
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# destination-address ip 10.10.10.1 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no destination-port
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535];
<OBJ_GR_NAME> – имя профиля TCP/UDP-портов получателя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# destination-port 22 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
direction { one-way | round-trip }
no direction
Параметры
- one-way – трафик передаётся в одну сторону;
- round-trip – трафик передаётся в обе стороны.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# direction one-way |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip dscp <DSCP>
[no] ip dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip dscp 8 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp command <COMMAND>
[no] ip ftp command
Параметры
<COMMAND> – может принимать следующие значения:
- <retr> – скачать файл;
- <stor> – залить файл;
- <mkd> – создать директорию;
- <rmd> – удалить директорию;
- <appe> – добавить в конец файла (с созданием);
- <dele> – удалить файл.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# protocol ftp esr(config-ips-category-rule)# ip ftp command allo |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp-data command <COMMAND>
[no] ip ftp-data command
Параметры
<COMMAND> – может принимать следующие значения:
- <retr> – скачать файл;
- <stor> – залить файл;
- <appe> – добавить в конец файла (с созданием).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# protocol ftp-data esr(config-ips-category-rule)# ip ftp-data command stor |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http <COMMAND>
[no] ip http
Параметры
<COMMAND> – может принимать следующие значения:
...
Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X/Suricata 4.X.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# payload content "HTTP/1.0" esr(config-ips-category-rule)# ip http protocol |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http content-filter <NAME>
[no] ip http content-filter
Параметры
<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.
any – правило будет срабатывать для http-сайтов любой категории.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip http content-filter Black-List |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http method <COMMAND>
[no] ip http method
Параметры
<COMMAND> – может принимать следующие значения:
- <GET> – запрашивает представление ресурса. Запросы с использованием этого метода могут только извлекать данные;
- <HEAD> – запрашивает ресурс так же, как и метод GET, но без тела ответа;
- <POST> – используется для отправки сущностей к определённому ресурсу;
- <PUT> – заменяет все текущие представления ресурса данными запроса;
- <DELETE> – удаляет указанный ресурс;
- <CONNECT> – устанавливает «туннель» к серверу, определённому по ресурсу;
- <OPTIONS> – используется для описания параметров соединения с ресурсом;
- <TRACE> – выполняет вызов возвращаемого тестового сообщения с ресурса;
- <PATCH> – используется для частичного изменения ресурса.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip http method get |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp code <CODE>
[no] ip icmp code
Параметры
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip icmp code 5 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp code comparison-operator { greater-than | less-than }
[no] ip icmp code comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip icmp code 5 esr(config-ips-category-rule)# ip icmp code comparison-operator less-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp id <ID>
[no] ip icmp id
Параметры
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip icmp id 65000 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip icmp sequence-id 8388608 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp type <TYPE>
[no] ip icmp type
Параметры
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip icmp type 12 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp type comparison-operator { greater-than | less-than }
[no] ip icmp type comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip icmp type 14 esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip protocol-id <ID>
[no] ip protocol-id
Параметры
<ID> – идентификационный номер IP-протокола [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip protocol-id 250 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp acknowledgment-number <ACK-NUM>
[no] ip tcp acknowledgment-number
Параметры
<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip tcp acknowledgment-number 32 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip tcp sequence-id 2542 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp window-size <SIZE>
[no] ip tcp window-size
Параметры
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip tcp window-size 50 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Scroll Pagebreak |
---|
Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip ttl 8 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip ttl comparison-operator { greater-than | less-than }
[no] ip ttl comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# ip ttl 5 esr(config-ips-category-rule)# ip ttl comparison-operator less-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }
[no] meta classification-type
Параметры
- not-suspicious – не подозрительный еподозрительный трафик;
- unknown – неизвестный трафик;
- bad-unknown – потенциально плохой трафик;
- attempted-recon – попытка утечки информации;
- successful-recon-limited – утечка информации;
- successful-recon-largescale – масштабная утечка информации;
- attempted-dos – попытка отказа в обслуживании;
- successful-dos – отказ в обслуживании;
- attempted-user – попытка получения привилегий пользователя;
- unsuccessful-user – безуспешная попытка получения привилегий пользователя;
- successful-user – успешная попытка получения привилегий пользователя;
- attempted-admin – попытка получения привилегий администратора;
- successful-admin – успешная попытка получения привилегий администратора;
- rpc-portmap-decode – декодирование запроса RPC;
- shellcode-detect – обнаружен исполняемый код;
- string-detect – обнаружена подозрительная строка;
- suspicious-filename-detect – было обнаружено подозрительное имя файла;
- suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
- system-call-detect – обнаружен системный вызов;
- tcp-connection – обнаружено TCP-соединение;
- trojan-activity – был обнаружен сетевой троян;
- unusual-client-port-connection – клиент использовал необычный порт;
- network-scan – обнаружение сетевого сканирования;
- denial-of-service – обнаружение атаки отказа в обслуживании;
- non-standard-protocol – обнаружение нестандартного протокола или события;
- protocol-command-decode – обнаружена попытка шифрования;
- web-application-activity – доступ к потенциально уязвимому веб-приложению;
- web-application-attack – атака на веб-приложение;
- misc-activity – прочая активность;
- misc-attack – прочие атаки;
- icmp-event – общее событие ICMP;
- inappropriate-content – обнаружено неприемлемое содержание;
- policy-violation – потенциальное нарушение корпоративной конфиденциальности;
- default-login-attempt – попытка входа с помощью стандартного логина/пароля.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# meta classification-type misc-attack |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta log-message <MESSAGE>
[no] mera log-message
Параметры
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack" |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload content <CONTENT>
[no] payload content <CONTENT>
Параметры
<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# payload content "virus" |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload data-size <SIZE>
[no] payload data-size
Параметры
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# payload data-size 1024 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
payload data-size comparison-operator { greater-than | less-than }
[no] payload data-size comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# payload data-size 1024 esr(config-ips-category-rule)# payload data-size comparison-operator less-than |
payload depth
Данная команда указывает, сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload depth <DEPTH>
[no] payload content depth
Параметры
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 3 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload no-case
[no] payload content no-case
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# payload content "virus" esr(config-ips-category-rule)# payload no-case |
...
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload offset <OFFSET>
[no] payload content offset
Параметры
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 6 esr(config-ips-category-rule)# payload offset 3 |
...
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
protocol { any | ip | icmp | http | tcp | udp }
[no] protocol
Параметры
- any – правило будет срабатывать для любых протоколов;
- ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
- icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
- http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
- tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
- udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
- ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
- ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data;.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# protocol udp |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..512].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY
Пример
Блок кода |
---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.
Синтаксис
[no] security ips-category user-defined <CATEGORY_NAME>
Параметры
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
Примечание |
---|
В текущей версии использование символа «_» (нижнее подчёркивание) в в <CATEGORY_NAME> NAME> недопустимо. |
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security ips-category user-defined PROTOCOL esr(config-ips-category)# |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
destination-address policy-object-group protect – устанавливает в качестве адресов отправителя , protect-адреса, определенные в политике IPS/IDS.
destination-address policy-object-group external – устанавливает в качестве адресов отправителя , external-адреса, определенные в политике IPS/IDS.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
source-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].
<OBJ_GR_NAME> – имя профиля TCP/UDP-портов отправителя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# source-port 22 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold count <COUNT>
[no] threshold count
Параметры
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# threshold count 1024 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold second <SECOND>
[no] threshold second
Параметры
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# threshold second 1 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold track { by_src | by_dst }
[no] threshold track
Параметры
- by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
- by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# threshold track by-src |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold type { treshhold | limit | both }
[no] threshold type
Параметры
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
Блок кода |
---|
esr(config-ips-category-rule)# threshold count 1024 esr(config-ips-category-rule)# threshold second 1 esr(config-ips-category-rule)# threshold track by-src esr(config-ips-category-rule)# threshold type treshold |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule-advanced <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
Блок кода |
---|
esr(config-ips-category)# rule-advanced 10 esr(config-ips-category-rule-advanced)# |
Scroll Pagebreak |
---|
rule-text
Данная команда описывает правило обработки трафика в формате SNORT 2.X/Suricata 4.X.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
rule-text <LINE>
[no] rule-text
Параметры
<LINE> – текстовое сообщение в формате SNORT 2.X/Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
Блок кода |
---|
esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> $HOME_NET any (msg: "ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet"; flow: established, to_server; content:"_auth"; depth: 20; fast_pattern; content: !"|02 00 00 00|"; within: 4; content: "_ctrl"; content: "_ser"; content: "_tim"; content: "_exp"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )' |
...