...
- 1-9 уровни – позволяют использовать все команды мониторинга (show …);
- 10-14 уровни – позволяют использовать все команды кроме команд перезагрузки устройства, управления пользователями и ряда других;
- 15 уровень – позволяет использовать все команды.
Scroll Pagebreak
Алгоритм настройки
Для изменения минимального уровня привилегий необходимого для выполнения команды CLI используется команда:
...
| Команда | Описание |
|---|---|
| ip firewall screen dos-defense icmp-threshold | Данная команда включает защиту от ICMP flood-атак. При включенной защите ограничивается количество ICMP-пакетов всех типов в секунду для одного source-адреса. Атака приводит к перегрузке хоста и выводу его из строя из-за необходимости обрабатывать каждый запрос и отвечать на него. |
| firewall screen dos-defense land | Данная команда включает защиту от land-атак. При включенной защите блокируются пакеты с одинаковыми source и destination IP-адресами и флагом SYN в заголовке TCP. Атака приводит к перегрузке хоста и выводу его из строя из-за необходимости обрабатывать каждый TCP SYN пакет и попыток хоста установить TCP-сессию с самим собой. |
| ip firewall screen dos-defense limit-session-destination | Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение числа пакетов, передаваемых за секунду на один адреса назначения, которое смягчает DoS-атаки. |
| ip firewall screen dos-defense limit-session-source | Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение числа пакетов, передаваемых за секунду с одного адреса источника, которое смягчает DoS-атаки. |
| ip firewall screen dos-defense syn-flood | Данная команда включает защиту от SYN flood-атак. При включенной защите ограничивается количество TCP-пакетов с установленным флагом SYN в секунду для одного адреса назначения. Атака приводит к перегрузке хоста и выводу его из строя из-за необходимости обрабатывать каждый TCP SYN пакет и попыток установить TCP-сессии. |
| ip firewall screen dos-defense udp-threshold | Данная команда включает защиту от UDP flood-атак. При включенной защите ограничивается количество UDP-пакетов в секунду для одного адреса назначения. Атака приводит к перегрузке хоста и выводу его из строя из-за массивного UDP-трафика. |
| ip firewall screen dos-defense winnuke | Данная команда включает защиту от winnuke-атак. При включенной защите блокируются TCP-пакеты с установленным флагом URG и 139 портом назначения. Атака приводит к выходу из строя старых версий Windows (до 95 версии). |
| ip firewall screen spy-blocking fin-no-ack | Данная команда включает блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK. Такие пакеты являются нестандартными, и по ответу можно определить операционную систему жертвы. |
| ip firewall screen spy-blocking icmp-type destination-unreachable | Данная команда включает блокировку всех ICMP-пакетов 3 типа (destination-unreachable), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
| ip firewall screen spy-blocking icmp-type echo-request | Данная команда включает блокировку всех ICMP-пакетов 8 типа (echo-request), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
| ip firewall screen spy-blocking icmp-type reserved | Данная команда включает блокировку всех ICMP-пакетов 2 и 7 типов (reserved), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
| ip firewall screen spy-blocking icmp-type source-quench | Данная команда включает блокировку всех ICMP-пакетов 4 типа (source quench), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
| ip firewall screen spy-blocking icmp-type time-exceeded | Данная команда включает блокировку всех ICMP-пакетов 11 типа (time exceeded), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
| ip firewall screen spy-blocking ip-sweep | Данная команда включает защиту от IP sweep-атак. При включенной защите, если в течение заданного в параметрах интервала приходит более 10 ICMP-запросов от одного источника, первые 10 запросов пропускаются маршрутизатором, а 11 и последующие отбрасываются на оставшееся время интервала. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
ip firewall screen spy-blocking port-scan | Данная команда включает защиту от port scan-атак. Если в течение первого заданного интервала времени (<threshold>) на один источник приходит более 10 TCP-пакетов с флагом SYN на разные TCP-порты или более 10 UDP-пакетов на разные UDP-порты, то такое поведение фиксируется как port scan-атака, и все последующие пакеты такого рода от источника блокируются на второй заданный интервал времени (<TIME>). Злоумышленник не сможет быстро просканировать открытые порты на устройстве. |
ip firewall screen spy-blocking spoofing | Данная команда включает защиту от ip spoofing-атак. При включенной защите маршрутизатор проверяет пакеты на соответствие адреса источника и записей в таблице маршрутизации, и в случае несоответствия пакет отбрасывается. Например, если пакет с адресом источника 10.0.0.1/24 приходит на интерфейс Gi1/0/1, а в таблице маршрутизации данная подсеть располагается за интерфейсом Gi1/0/2, то считается, что адрес источника был подменен. Защищает от вторжений в сеть с подмененными source IP-адресами. |
| ip firewall screen spy-blocking spoofing exclude <object-group> | Данная команда исключает из защиты от IP-spoofing атак указанную Object Group. В Object Group помещается список из допустимых адресов, которые будут игнорироваться. Команда используется вместе с основной ip firewall screen spy-blocking spoofing, которая включает защиту, иначе она не будет иметь эффекта. В случае, если на маршрутизатор приходит spoofing от разрешённых подсетей (например, частый опрос устройств в сети), пакеты пропускаются. |
ip firewall screen spy-blocking syn-fin | Данная команда включает блокировку TCP-пакетов с установленными флагами SYN и FIN. Такие пакеты являются нестандартными, и по ответу можно определить операционную систему жертвы. |
ip firewall screen spy-blocking tcp-all-flag | Данная команда включает блокировку TCP-пакетов со всеми флагами или с набором флагов: FIN, PSH, URG. Обеспечивается защита от атаки XMAS. |
ip firewall screen spy-blocking tcp-no-flag | Данная команда включает блокировку TCP-пакетов с нулевым полем flags. Такие пакеты являются нестандартными, и по ответу можно определить операционную систему жертвы. |
ip firewall screen suspicious-packets icmp-fragment | Данная команда включает блокировку фрагментированных ICMP-пакетов. ICMP-пакеты обычно небольшого размера и необходимости в их фрагментировании нет. |
ip firewall screen suspicious-packets ip-fragment | Данная команда включает блокировку фрагментированных пакетов. |
ip firewall screen suspicious-packets large-icmp | Данная команда включает блокировку ICMP-пакетов длиной более 1024 байт. |
ip firewall screen suspicious-packets syn-fragment | Данная команда включает блокировку фрагментированных TCP-пакетов с флагом SYN. TCP-пакеты с SYN-флагом обычно небольшого размера и необходимости в их фрагментировании нет. Защита предотвращает накопление фрагментированных пакетов в буфере. |
ip firewall screen suspicious-packets udp-fragment | Данная команда включает блокировку фрагментированных UDP-пакетов. |
ip firewall screen suspicious-packets unknown-protocols | Данная команда включает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более. |
...
Необходимо защитить LAN-сеть и маршрутизатор ESR от сетевых атак land, syn-flood, ICMP flood и настроить оповещение об атаках по SNMP на SNMP-сервер 192.168.0.10.
| Scroll Pagebreak |
|---|
Решение:
Предварительно необходимо настроить интерфейсы и firewall (настройка firewall или ее отсутствие не повлияют на работу защиты от сетевых атак):
| Блок кода |
|---|
esr(config)# security zone LAN esr(config-security-zone)# exit esr(config)# security zone WAN esr(config-security-zone)# exit esr(config)# security zone-pair LAN WAN esr(config-security-zone-pair)# rule 100 esr(config-security-zone-pair-rule)# action permit esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# exit esr(config)# security zone-pair WAN LAN esr(config-security-zone-pair)# rule 100 esr(config-security-zone-pair-rule)# action permit esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# exit esr(config)# exit esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# security-zone LAN esr(config-if-gi)# ip address 192.168.0.1/24 esr(config-if-gi)# exit esr(config)# interface gigabitethernet 1/0/2 esr(config-if-gi)# security-zone WAN esr(config-if-gi)# ip address 10.0.0.1/24 esr(config-if-gi)# exit |
| Scroll Pagebreak |
|---|
Настроим защиту от land, syn-flood, ICMP flood-атак:
...
| Блок кода |
|---|
esr(config)# snmp-server esr(config)# snmp-server host 192.168.0.10 esr(config)# snmp-server enable traps screen land esr(config)# snmp-server enable traps screen syn-flood esr(config)# snmp-server enable traps screen icmp-threshold |
| Scroll Pagebreak |
|---|
Посмотреть статистику по зафиксированным сетевым атакам можно командой:
...
| Блок кода |
|---|
esr(config)# security zone-pair WAN LAN esr(config-security-zone-pair)# rule 1 esr(config-security-zone-pair-rule)# action deny esr(config-security-zone-pair-rule)# match application BLACKLIST esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# rule 2 esr(config-security-zone-pair-rule)# action permit esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# exit |
| Scroll Pagebreak |
|---|
Для установки правил прохождения трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, запрещающее прохождение трафика приложений, и правило, разрешающее прохождение всего остального трафика. Действие правил разрешается командой командой enable:
| Блок кода |
|---|
esr(config)# security zone-pair LAN WAN esr(config-security-zone-pair)# rule 1 esr(config-security-zone-pair-rule)# action deny esr(config-security-zone-pair-rule)# match application BLACKLIST esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# rule 2 esr(config-security-zone-pair-rule)# action permit esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# exit |
...
| Предупреждение |
|---|
Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти. Размер этой области зависит от модели ESR:
Для всех остальных моделей – 100 МБ. Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory. |
...
Рекомендуемые открытые источники обновления правил
SSL Blacklist
Чёрный список SSL (SSLBL) – это проект abuse.ch, целью которого является обнаружение вредоносных SSL-соединений путём идентификации и внесения в чёрный список SSL-сертификатов, используемых серверами управления ботнетами.
...
/blacklist/sslblacklist_tls_cert.rules – набор правил SSL-сертификатов от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка SSL-сертификата. Набор правил SSL-сертификатов генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.
...
...
/blacklist/ja3_fingerprints.rules – набор правил JA3 FingerprintRuleset от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка JA3. Набор правил для отпечатков пальцев Suricata JA3 генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.
| Предупреждение |
|---|
Отпечатки JA3, внесённые в чёрный список SSLBL, были собраны путём анализа более 25 000 000 PCAP-файлов с образцами вредоносного ПО. Эти отпечатки ещё не были протестированы на известном безопасном трафике и могут привести к значительному количеству ложных срабатываний. |
| Scroll Pagebreak |
|---|
Feodo Tracker
Feodo Tracker – это проект abuse.ch, целью которого является обмен информацией о серверах управления ботнетами, связанными с Dridex, Emotet (также известным как Heodo), TrickBot, QakBot (также известным как QuakBot/Qbot) и BazarLoader (также известным как BazarBackdoor).
...
...
...
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-attack_response.rules
...
Правила, детектирующие поведение хоста после успешно проведенных атак.
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-chat.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-current_events.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dns.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dos.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-exploit.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-ftp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-games.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp_info.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-imap.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-inappropriate.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-info.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-malware.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-misc.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-mobile_malware.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-netbios.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-p2p.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-policy.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-poprules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-rpc.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scada.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scan.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-shellcode.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-smtp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-sql.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-telnet.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-tftp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-trojan.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-user_agents.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-l.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_client.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_server.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_specific_apps.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-worm.rules
...
downloads/feodotracker.rules – набор правил используется для обнаружения и/или блокировки сетевых подключений к хост-серверам (комбинация IP-адреса и порта). Набор правил генерируется каждые 5 минут. Рекомендуется обновлять набор правил IDS каждые 5–15 минут, чтобы обеспечить лучшую защиту от Dridex, Emotet, TrickBot, QakBot и BazarLoader.
| Примечание |
|---|
Поскольку IP-адреса перерабатываются и используются повторно, в этот список блокировки входят только C2-серверы ботнетов, которые либо активны, либо в последний раз использовались в течение последних 30 дней. Таким образом, процент ложных срабатываний в этом списке блокировки должен быть низким. |
https://feodotracker.abuse.ch/downloads/feodotracker_aggressive.rules – набор правил IDS с полным списком всех C2-серверов ботнетов. Однако, поскольку IP-адреса используются повторно, количество ложных срабатываний в этом наборе правил намного выше.
| Предупреждение |
|---|
Не рекомендуется использовать агрессивную версию индикаторов компрометации ботнета C2 (IOC), так как она определённо вызовет ложные срабатывания. |
Travis Green
Travis Green – набор правил для поиска угроз от специалиста по кибербезопасности Тревиса Грина.
https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules
Etnetera Core
Набор правил с «агрессивными» IP-адресами от центра кибербезопасности компании Etnetera Core.
https://security.etnetera.cz/feeds/etn_aggressive.rules
Пример настройки IPS/IDS с автообновлением правил
Задача:
Организовать защиту локальной сети с автообновлением правил из открытых источников.
192.168.1.0/24 – локальная сеть.
Решение:
Создадим профиль адресов защищаемой локальной сети
Пример настройки IPS/IDS с автообновлением правил
Задача:
Организовать защиту локальной сети с автообновлением правил из открытых источников.
192.168.1.0/24 – локальная сеть.
Решение:
Создадим профиль адресов защищаемой локальной сети:
| Блок кода |
|---|
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit |
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
| Блок кода |
|---|
esr(config)# domain lookup enable
esr(config)# domain nameserver 8.8.8.8 |
Создадим политику безопасности IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips policy OFFICE
esr(config-ips-policy)# description "My Policy"
esr(config-ips-policy)# protect network-group LAN |
Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:
| Блок кода |
|---|
esr(config)# bridge 1object-group network LAN esr(config-bridge)# service-ips inline |
Настроим параметры IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips esr(config-ipsobject-group-network)# loggingip remote-serverprefix 192.168.101.10/24 esr(config-ipsobject-group-network)# logging update-interval 15 exit |
| Scroll Pagebreak |
|---|
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
| Блок кода |
|---|
esr(config-ips)# policy OFFICE esr(config-ips)# enable |
Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:
| Блок кода |
|---|
domain lookup enable esr(config-ips)# domain perfomance max |
| Scroll Pagebreak |
|---|
...
nameserver 8.8.8.8 |
Создадим политику безопасности IPS/IDS:
| Блок кода |
|---|
esr(config-ips)# auto-upgrade esr(config-auto-upgrade)# user-server ET-Opensecurity ips policy OFFICE esr(config-ips-upgrade-user-serverpolicy)# description "emerging threats open rulesMy Policy" esr(config-ips-upgrade-user-serverpolicy)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exitprotect network-group LAN |
Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:
| Блок кода |
|---|
esr(config)# bridge 1
esr(config-bridge)# service-ips inline |
Настроим параметры IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips esr(config-auto-upgradeips)# userlogging remote-server Aggressive192.168.10.1 esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"logging update-interval 15 esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rulespolicy OFFICE esr(config-ips)# enable |
Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:
| Блок кода |
|---|
-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# perfomance max |
Настроим автообновление правил с сайтов etnetera.cz и Abuse.ch:
| Блок кода |
|---|
enable esr(config-ips-upgrade-user-server)# exitauto-upgrade esr(config-auto-upgrade)# user-server SSL-BlackListAggressive esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL BlacklistEtnetera aggressive IP blacklist" esr(config-ips-upgrade-user-server)# url https://sslblsecurity.abuseetnetera.chcz/blacklistfeeds/sslblacklistetn_aggressive.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exit esr(config-auto-upgrade)# user-server C2SSL-BotnetBlackList esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2SSL IP Blacklist" esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklistsslblacklist_tls_cert.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exit |
Алгоритм настройки базовых пользовательских правил
...
| Блок кода |
|---|
esr(config-ips-category-rule)# action drop |
...
Настроим сообщение об атаке:
...
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 23040 esr(config-ips-category-rule)# threshold second 60 esr(config-ips-category-rule)# threshold track by-dst esr(config-ips-category-rule)# threshold type both |
| Scroll Pagebreak |
|---|
Активизируем правило:
| Блок кода |
|---|
esr(config-ips-category-rule)# enable |
...
| Блок кода |
|---|
security ips policy policy0
protect network-group objectgroup0
vendor kaspersky
category MaliciousURLsDF
rules action alert
rules all
enable
exit
category MobileBotnetCAndCDF
rules action alert
rules recomended
enable
exit
category BotnetCAndCURLsDF
rules action alert
rules percent 50
enable
exit
category IPReputationDF
rules action alert
rules recomended
enable
exit
category IoTURLsDF
rules action alert
rules percent 15
enable
exit
category MaliciousHashDF
rules action alert
rules count 1
enable
exit
category MobileMaliciousHashDF
rules action alert
rules count 1
enable
exit
category PSMSTrojanDF
rules action alert
rules count 1
enable
exit
category PhishingURLsDF
rules action alert
rules count 1000
enable
exit
category RansomwareURLsDF
rules action alert
rules count 1000
enable
exit
exit
exit |
| Scroll Pagebreak |
|---|
Назначить сервису IPS-политику для работы и включить его:
...
| Блок кода |
|---|
esr(config)# object-group content-filter Black esr(config-object-group-content-filter)# vendor kaspersky-lab esr(config-object-group-cf-kaspersky)# category addictive-substances esr(config-object-group-cf-kaspersky)# category addictive-substances narcotics esr(config-object-group-cf-kaspersky)# category scam esr(config-object-group-cf-kaspersky)# category gambling casino |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esr(config)# security ips-category user-defined USER |
| Scroll Pagebreak |
|---|
Создадим правило:
| Блок кода |
|---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# description "Content-Filter Block" |
...