ESR-Series Documentation 1.14.5
Дерево страниц

Сравнение версий

Старая версия 17

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Настроим логирование обнаруженных атак:

Блок кода
esr(config)# iplogging firewall logging screen dos-defense land 
esr(config)# iplogging firewall logging screen dos-defense syn-flood 
esr(config)# iplogging firewall logging screen dos-defense icmp-threshold

...

Блок кода
esr(config)# snmp-server
esr(config)# snmp-server host 192.168.0.10 
esr(config)# snmp-server enable traps screen land 
esr(config)# snmp-server enable traps screen syn-flood 
esr(config)# snmp-server enable traps screen icmp-threshold

Посмотреть статистику по зафиксированным сетевым атакам можно командой:

...

Якорь
Настройка IPS/IDS
Настройка IPS/IDS
Настройка IPS/IDS


Примечание
Данный функционал активируется только при наличии лицензии.


IPS/IDS (Intrusion Prevention System / Intrusion Detection System) – система предотвращения вторжений – программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

...

Шаг

Описание

Команда

Ключи

1

Создать политику безопасности IPS/IDS.

esr(config)# security ips policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов

2

Задать описание политики (не обязательно).

esr(config-ips-policy)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

3

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

4

Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно).

esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.

5

Перейти в режим конфигурирования IPS/IDS.

esr(config)# security ips


6

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов

7

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max

По умолчанию для IPS/IDS отдается половина доступных ядер процессора.

8

Задать внешний носитель для записи логов в формате EVE (параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging storage-path <DEVICE_NAME>

<DEVICE_NAME> имя USB или MMC накопителя.

9

remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP;

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv4-адрес интерфейса с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv6-адрес интерфейса с которого отправляются пакеты;

9Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах

10

Активировать IPS/IDS.

esr(config-ips )# enable


10

Активировать IPS/IDS на интерфейсе.

esr(config-if-gi)# service-ips enable


...

Блок кода
esr(config)# security ips
esr(config-ips)# logging storageremote-patch usb://DATAserver 192.168.10.1
esr(config-ips)# logging update-interval 15
esr(config-ips)# policy OFFICE
esr(config-ips)# enable

...

Блок кода
esr(config-ips)# auto-upgrade
esr(config-auto-upgrade)# user-server ET-Open
esr(config-ips-upgrade-user-server)# description «emerging"emerging threats open rules»rules"
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server Aggressive
esr(config-ips-upgrade-user-server)# description «Etnetera"Etnetera aggressive IP blacklist»blacklist"
esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server SSL-BlackList
esr(config-ips-upgrade-user-server)# description «Abuse"Abuse.ch SSL Blacklist»Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslblacklist.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server C2-Botnet
esr(config-ips-upgrade-user-server)# description «Abuse"Abuse.ch Botnet C2 IP Blacklist»Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklist.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# exit

...

Блок кода
esr(config-ips-category)# rule 10
esr(config-ips-category-rule)# description «Big"Big ICMP DoS»DoS"

Мы будем отбрасывать пакеты:

...

Блок кода
esr(config-ips-category-rule)# meta log-message «Big"Big ICMP DoS»DoS"
esr(config-ips-category-rule)# meta classification-type successful-dos

...

Блок кода
esr(config-ips-category)# rule-advanced 1
esr(config-ips-category-rule-advanced)# description «Slow"Slow Loris rule 1"
esr(config-ips-category-rule-advanced)# rule-text "alert tcp any any -> any 80 (msg:'Possible Slowloris Attack Detected';
flow:to_server,established; content:'X-a|3a|'; distance:0; pcre:'/\d\d\d\d/'; distance:0; content:'|0d 0a|'; sid:10000001;)"

...

Блок кода
esr(config-ips-category)# rule-advanced 2
esr(config-ips-category-rule-advanced)# description «Slow"Slow Loris rule 2"
esr(config-ips-category-rule-advanced)# rule-text «alert"alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:'SlowLoris.py DoS attempt'; flow:established,to_server,no_stream; content:'X-a:'; dsize:<15; detection_filter:track by_dst, count 3, seconds 30; classtype:denial-of-service; sid: 10000002; rev:1; )"

Якорь
#EDM
#EDM
Настройка взаимодействия с Eltex Distribution Manager

...

ШагОписаниеКомандаКлючи

1

Перейти в конфигурирование контент провайдера.

esr (config)# content-provider

2

Задать IP-адрес edm-сервера.

esr (config-content-provider)# host address <A.B.C.D | WORD | X:X:X:X::X>

<IP-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

WORD(1-31) - DNS имя сервера.

3

Задать порт для подключения к edm-серверу.

esr (config-content-provider)# host port <PORT> 

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

4

Задать тип и раздел внешнего устройства для создания крипто хранилища.

esr (config-content-provider)# storage-device path <DEVICE>

<DEVICE> – лейбл и имя раздела на внешнем носители информации в формате usb://Partion_name:/

mmc://Partion_name:/

На внешнем носителе должна быть создана файловая система в формате exFAT

5

Установить время перезагрузки устройства после получения сертификата.

esr (config-content-provider)# reboot immediately | [time <HH:MM:SS>]

Перезагрузить устройство после получения сертификата.

time <HH:MM:SS> - время, в которое ESR перезагрузится <Часы:минуты:секунды>.

6

Включить контент провайдер.

enable

7

Установить интервал обращения к edm-серверу в часах.

esr (config-content-provider)# upgrade interval <1-240>

8

Установить описание (не обязательно).

esr (config-content-provider)# description edm< LINE >

LINE (1-255) String describing server

9Задать текстовое имя устройства, которое передаётся на сервер EDM-Issue (не обязательно).esr (config-content-provider)# system-name < WORD ><WORD> – имя, задаётся строкой до 255 символов.
10Задать текстовое описание, которое передаётся на сервер EDM-Issue  (не обязательно).esr (config-content-provider)# location < WORD ><WORD> – описание, задаётся строкой до 255 символов.

11

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr (config)# object-group network <WORD>esr (config-object-group-network)# ip prefix <ADDR/LEN>

<WORD> – имя сервера, задаётся строкой до 32 символов.

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

10

На интерфейсе включить service-ips.

esr (config)# interface gigabitethernet 1/0/Xesr (config-if-gi)# service-ips enable

11

Создать политику безопасности IPS/IDS.

esr (config)# security ips policy WORD(1-31)

WORD(1-31)

12

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

13

Войти в раздел конфигурирования вендора.

esr (config-ips-policy)# vendor kaspersky

14

Подключить необходимую категорию.

esr (config-ips-vendor)# category WORD(1-64)

Phishing URL Data Feed – потоки данных Phishing URL

Malicious URL Data Feed – потоки данных Malicious URL

Botnet C&C URL Data Feed – потоки данных Botnet C&C URL

Malicious Hash Data Feed – потоки данных Malicious Hashes

Mobile Malicious Hash Data Feed – потоки данных мобильных Malicious Hashes

IP Reputation Data Feed – потоки данных IP-адресов

Mobile Botnet Data Feed – потоки данных о мобильных Botnet

Ransomware URL Data Feed – поток данных Ransomware URL

Botnet C&C URL Exact Data Feed – поток данных Botnet C&C URL Exact

Phishing URL Exact Data Feed – поток данных Phishing URL Exact

Malicious URL Exact Data Feed – поток данных Malicious URL Exact

Iot URL Data Feed – поток данных IoT URL

15

Задать тип правил.

esr (config-ips-vendor-category)# rules action <ACTION>

<ACTION> - drop | reject | alert | pass - действия, которые будут применяться к пакетам.

  • alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;

  • reject – прохождение трафика запрещается. Если это TCP трафик отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Сервис IPS/IDS генерирует сообщение;

  • pass – прохождение трафика разрешается;

  • drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

16

Задать количество скачиваемых правил.

esr (config-ips-vendor-category)# rules count <number>

<number>

17

Включить категорию.

enable

18

Перейти в режим конфигурирования IPS/IDS.

esr (config)# security ips

19

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

20

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max


21

Задать USB-диск, для записи логов параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging storage-path <DEVICE_NAME>

<DEVICE> - лейбл и имя раздела на внешнем носители информации в формате usb://Partion_name:/

mmc://Partion_name:/

22remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP;

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv4-адрес интерфейса с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv6-адрес интерфейса с которого отправляются пакеты;

22Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах

23

Активировать IPS/IDS.

esr(config- ips )# enable


...

Блок кода
content-provider
  host address edm.eltex-co.ru
  host port 8098
  upgrade interval 1
  storage-devicepath mmc://TEST:/
  reboot immediately
  enable
exit

...

Настройка сервиса контентной фильтрации

Примечание
Данный функционал активируется только при наличии лицензии.

Сервис контентной фильтрации предназначен для ограничения доступа к HTTP-сайтам на основании их содержимого. Для каждого сайта определяется принадлежность его к той или иной категории. В качестве базы категорий сайтов используется база Лаборатории Касперского. Для определения категории сайтов ESR отправляет HTTPS-запросы на сервер Лаборатории Касперского по адресу https://ksn-vt.kaspersky-labs.com.

...

Шаг

Описание

Команда

Ключи

1Определить IP-адрес DNS-сервера, используемого для разрешения DNS-имен.

esr(config)# domain name-server <IP>

<IP> – IP-адрес используемого DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
2Включить разрешение DNS-имен на устройстве

esr(config)# domain lookup enable


3

Создать политику безопасности IPS/IDS.

esr(config)# security ips policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

4

Задать описание политики (не обязательно).

esr(config-ips-policy)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

5

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr (config)# object-group network <WORD>

esr (config-object-group-network)# ip prefix <ADDR/LEN>

<WORD> – имя сервера, задаётся строкой до 32 символов.

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

6

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

7

Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно).

esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.

8Создать профиль категорий контентной фильтрации

esr(config)# object-group content-filter <NAME>

<NAME> – имя профиля контентной фильтрации, задается строкой до 31 символа.

9

Задать описание профиля категорий контентной фильтрации (не обязательно).

esr(config-object-group-content-filter)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

10Задать поставщика категорий контентной фильтрации.

esr(config-object-group-content-filter)# vendor <CONTENT-FILTER-VENDOR>

<CONTENT-FILTER-VENDOR> – название поставщика категорий контентной фильтрации. В текущей версии ПО в качестве поставщика категорий контентной фильтрации может выступать только Лаборатория Касперского.
11Задать необходимые категории контентной фильтрации

esr(config-object-group-cf-kaspersky)# category <CATEGORY>

<CATEGORY> – имя категории. Описание доступных категорий приведено в справочнике команд.

12

Перейти в режим конфигурирования IPS/IDS.

esr(config)# security ips


13

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

14

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max

По умолчанию для IPS/IDS отдается половина доступных ядер процессора.

15

Задать внешний носитель для записи логов параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging storage-path <DEVICE_NAME>

<DEVICE_NAME> – имя USB- или MMC-накопителя.

16

remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP;

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv4-адрес интерфейса с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv6-адрес интерфейса с которого отправляются пакеты;

16Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах

17

Активировать IPS/IDS.

esr(config-ips )# enable


1718

Активировать IPS/IDS на интерфейсе.

esr(config-if-gi)# service-ips enable


1819

Задать имя и перейти в режим конфигурирования набора пользовательских правил.

esr(config)# security ips-category user-defined <WORD>

<WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов.

1920

Задать описание набора пользовательских правил (не обязательно).

esr(config-ips-category)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

2021

Создать правило и перейти в режим конфигурирования правила.

esr(config-ips-category)# rule <ORDER>

<ORDER> – номер правила, принимает значения [1..512].

2122

Задать описание правила (не обязательно).

esr(config-ips-category-rule)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

2223

Указать действие данного правила.

esr(config-ips-category-rule)# action { alert | reject | pass | drop }

  • alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
  • reject – прохождение трафика запрещается. Если это TCP-трафик отправителю и получателю посылается пакет  TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Сервис IPS/IDS генерирует сообщение;
  • pass – прохождение трафика разрешается;
  • drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

2324

Установить в качестве IP-протокола, протокол HTTP.

esr(config-ips-category-rule)# protocol http


2425

Установить IP-адреса отправителя, для которых должно срабатывать правило.

esr(config-ips-category-rule)# source-address
{ip <ADDR> | ip-prefix <ADDR/LEN> |  object-group <OBJ_GR_NAME> | policy-object-group  { protect | external } | any }

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ADDR/LEN> – IP-подсеть отправителя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].

<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.

  • protect – устанавливает в качестве адресов отправителя, protect адреса определенные в политике IPS/IDS;
  • external – устанавливает в качестве адресов отправителя, external адреса определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

2526

Установить номера TCP-портов отправителя, для которых должно срабатывать правило.


esr(config-ips-category-rule)# source-port {any | <PORT> | object-group <OBJ-GR-NAME> }

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

2627

Установить IP-адреса получателя, для которых должно срабатывать правило.

esr(config-ips-category-rule)# destination-address
{ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> |
policy-object-group { protect | external } | any }

<<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ADDR/LEN> – IP-подсеть получателя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].

< OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса получателя, задаётся строкой до 31 символа.

  • protect – устанавливает в качестве адресов получателя, protect адреса определенные в политике IPS/IDS;
  • external -устанавливает в качестве адресов получателя, external адреса определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.

2728

Установить номера TCP-портов получателя, для которых должно срабатывать правило.

Обычно для протокола http используется значение TCP-порт 80.

В случаях когда когда используются web-сервера на нестандартных портах надо пописывать эти порты тоже.

esr(config-ips-category-rule)# destination-port  {any | <PORT> | object-group <OBJ-GR-NAME> }

<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.

2829

Установить направление потока трафика, для которого должно срабатывать правило.

esr(config-ips-category-rule)# direction { one-way | round-trip }

  • one-way – трафик передаётся в одну сторону.
  • round-trip – трафик передаётся в обе стороны.

2930

Определить сообщение которое IPS/IDS будет записывать в лог, при срабатывании этого правила.

esr(config-ips-category-rule)# meta log-message <MESSAGE>

<MESSAGE> –  текстовое сообщение, задаётся строкой до 129 символов.

3031Назначить профиль категорий контентной фильтрации

esr(config-ips-category-rule)# ip http content-filter <NAME>

<NAME> – имя профиля контентной фильтрации задаётся строкой до 31 символа.

any – правило будет срабатывать для http-сайтов любой категории.

31
32Активировать правило.

esr(config-ips-category-rule)# enable


...

Блок кода
esr(config)# security ips
esr(config-ips)# logging storage-path usb://DATA
esr(config-ips)# policy OFFICE
esr(config-ips)# enable

...

Блок кода
esr(config-ips-category)# rule 10
esr(config-ips-category-rule)# description «Content"Content-Filter Block»Block"

Scroll Pagebreak
Мы будем отбрасывать пакеты:

...

Блок кода
esr(config-ips-category-rule)# meta log-message «Corporate"Corporate policy violation»violation"

Укажем тип протокола для правила:

...

Настройка сервиса "Антиспам"

Примечание

Данный функционал активируется только при наличии лицензии.


Почтовый антиспам, или спам-фильтр — это программа для определения и фильтрации нежелательных электронных сообщений, которые могут поступать через корпоративные почтовые серверы и публичные сервисы электронной почты (спам, почтовый фишинг и т.п.).

...