使用规则调整入侵策略

“使用规则调整入侵策略”一章深入介绍入侵规则调整基础知识和规则类型。它提供有关 Snort 3 中的自定义规则、入侵规则操作、入侵策略中的入侵事件通知过滤器、将 Snort 2 自定义规则转换为 Snort 3 以及将具有自定义规则的规则组添加到入侵策略的信息。

入侵规则调整基础知识

您可以为共享对象规则、标准文本规则和检查器规则配置规则状态和其他设置。

通过将规则状态设置为“警报”或“阻止”来启用规则。启用规则后,系统将对与该规则匹配的流量生成事件。禁用规则将停止该规则的处理。您还可以设置入侵策略,以便在内联部署中设置为阻止的规则在匹配流量时生成事件并丢弃该匹配流量。

您可以对规则进行过滤来显示规则的一个子集,这样就能选择要更改其规则状态或规则设置的确切规则集。

当入侵规则或规则参数要求禁用的检查器时,系统会自动使用其当前设置,即使其在网络分析策略网络界面中保持禁用状态。

入侵规则类型

入侵规则是系统用于检测利用网络漏洞企图的一组指定关键字和参数。当系统分析网络流量时,它将数据包与每个规则中指定的条件相比较,并在数据包满足规则中指定的所有条件的情况下触发规则。

入侵策略包含:

  • 入侵规则,可细分为共享对象规则标准文本规则

  • 检查器规则,与数据包解码器的检测选项或与系统随附的检查器相关联

下表总结了这些规则类型的属性:

表 1. 入侵规则类型

类型

生成器 ID (GID)

Snort ID (SID)

来源

可以复制?

可以编辑?

共享对象规则

3

低于 1000000

思科 Talos 情报小组 (Talos)

有限

标准文本规则

1

(全局域或旧式 GID)

低于 1000000

Talos 协作

有限

1000 - 2000

(后代域)

1000000 或更高

由用户创建或导入

预处理器规则

特定于解码器或预处理器

低于 1000000

Talos 协作

1000000 或更高

由系统在选项配置期间生成

无法保存对 Talos 创建的任何规则所做的更改,但是可以将已修改的规则的副本另存为自定义规则。可以修改在规则或规则报头信息中使用的变量(例如源和目标端口及 IP 地址)。在多域部署中,Talos 所创建的规则属于全局域。后代域中的管理员可以保存随后可编辑的规则的本地副本。

对于所创建的规则,Talos 在每个默认入侵策略中分配默认规则状态。大多数预处理器规则在默认情况下已禁用,如果希望系统为预处理器规则生成事件并在内联部署中丢弃违规的数据包,则必须启用这些规则。

入侵规则的许可证要求

威胁防御 许可证

IPS

经典许可证

保护

入侵规则的要求和必备条件

型号支持

任意。

支持的域

任意

用户角色

  • 管理员

  • 入侵管理员 (Intrusion Admin)

Snort 3 中的自定义规则

您可以通过以下方式创建自定义入侵规则。规则文件可以具有 .txt.rules 扩展名。无论您使用哪种创建方法,系统都会将自定义规则保存在本地规则类别中。自定义规则必须属于规则组。但是,自定义规则也可以是两个或多个组的一部分。

当您创建自定义入侵规则时,系统会为它分配唯一的规则编号(其格式为 GID:SID:Rev)。此编号的元素如下:

  • GID—生成器 ID。对于自定义规则,无需指定 GID。上传规则时,系统会根据您是在全局域还是子域中自动生成 GID。对于所有标准文本规则,此值为 2000。

  • SID—Snort ID。指示规则是否为系统规则的本地规则。创建新规则时,请为该规则分配唯一的 SID。

    本地规则的 Snort ID 号从 1000000 开始,且每个本地新规则的 SID 号以 1 递增。

  • Rev—修订号。对于新规则,修订号为 1。每修改一次自定义规则,修订号就增加一。

在自定义标准文本规则中,可以设置规则报头设置、规则关键字和规则参数。您可以通过规则报头设置将规则设置为仅匹配使用特定协议以及发往或来自特定 IP 地址或端口的流量。



无法编辑 Snort 3 自定义规则。确保自定义规则在规则文本中具有 classtype 的有效分类消息。如果导入没有分类或错误分类的规则,请删除并重新创建该规则。


查看入侵策略中的 Snort 3 入侵规则

您可以调整规则在入侵策略中的显示方式。也可以显示特定规则的详细信息,以便查看规则设置、规则文档和其他规则详情。

过程


步骤 1

依次选择策略 > 入侵

步骤 2

单击策略旁边的 Snort 3 版本

步骤 3

查看规则时,您可以执行以下操作:

  • 过滤器规则。
  • 选择其他规则组以查看与该组相关的规则。
  • 查看入侵规则的详细信息。
  • 查看规则备注。
  • 查看规则文档。

入侵规则操作

通过入侵规则操作,您可在个别入侵策略中启用或禁用规则,以及指定受监控条件触发该规则时系统采取的操作。

Cisco Talos 情报组 (Talos) 设置每个默认策略中每个入侵和检查器规则的默认操作。例如,一条规则可能会在 Security over Connectivity 默认策略中启用而在 Connectivity over Security 默认策略中禁用。Talos 有时会使用规则更新来更改默认策略中一条或多条规则的默认策略。如果允许规则更新对基本策略进行更新,则意味着当用于创建策略的默认策略中的默认操作发生更改时,也允许规则更新更改策略中的规则默认操作。但请注意,如果您已经更改了规则操作,规则更新不会覆盖您的更改。

创建入侵规则时,它会继承用于创建策略的默认策略中相应规则的默认操作。

入侵规则操作选项

在入侵策略中,可以将规则的状态设置为以下值:

警报

您希望系统检测特定入侵企图,并在其发现匹配流量时生成入侵事件。当恶意数据包通过网络并触发该规则时,数据包被发送到其目标,系统生成入侵事件。该恶意数据包到达其目标,但是您通过事件日志记录收到通知。

阻止

您希望系统检测特定入侵企图,丢弃包含攻击的数据包,并在其发现匹配流量时生成入侵事件。该恶意数据包永远不会到达其目标,并且您通过事件日志记录收到通知。

禁用 (Disable)

您不希望系统评估匹配流量。



选择 警报阻止 选项可启用规则。选择禁用 (Disable) 会禁用规则。

思科强烈建议不要启用入侵策略中的所有入侵规则。如果启用所有规则,则您的受管设备的性能可能会下降。相反,应调整规则集,使之与网络环境尽可能匹配。


设置入侵规则操作

入侵规则操作为策略特定的。

过程


步骤 1

依次选择策略 > 入侵

步骤 2

单击要编辑的策略旁边的 Snort 3 版本

提示 
此页面指示已禁用规则的总数、设置为“警报”的已启用规则总数、设置为“阻止”的已启用规则总数以及已覆盖规则的总数。
步骤 3

选择要在其中设置规则操作的一条或多条规则。

步骤 4

规则操作 下拉框中选择以下选项之一:

  • 警报
  • 阻止
  • 禁用 (Disable)
步骤 5

点击保存


下一步做什么

部署配置更改;请参阅部署配置更改

入侵策略中的入侵事件通知过滤器

入侵事件的重要性可根据发生频率或者源或目标 IP 地址而定。在某些情况下,直至事件发生一定次数后您可能才会在意。例如,如果有人企图登录服务器,在其失败达到一定次数之前,您可能不会担心。但在其他情况下,也许只需要发生几次,就能让您知道存在普遍性问题。例如,如果有人对网络服务器发动 DoS 攻击,可能只需要发生区区数次入侵事件,您就会明白需要解决这种情况。发生数百次相同事件只会让系统不堪重负。

入侵事件阈值

您可以为各条规则设置阈值,根据事件在指定时间段内生成的次数来限制系统记录和显示入侵事件的次数。这可以防止因相同事件数量过多而使系统不堪重负。您可以根据共享对象规则、标准文本规则或检查器规则设置阈值。

入侵事件阈值配置

要设置阈值,请先指定阈值类型。

表 2. 阈值选项

选项

说明

限制

为指定时间段内触发规则的指定数量的数据包(由“计数”[Count] 参数指定)记录并显示事件。例如,如果将类型设置为限制 (Limit),将计数 (Count) 设置为 10,并将秒数 (Seconds) 设置为 60,而同一分钟内有 14 个数据包触发规则,则系统在显示发生的前 10 个违反该规则的事件后将停止记录违反该规则的事件。

阈值 (Threshold)

在指定时间段内,当指定数量的数据包(由“计数”[Count] 参数指定)触发规则时,记录并显示一个事件。请注意,达到事件阈值计数且系统记录该事件之后,时间计数器将重新开始计数。例如,将类型设置为阈值 (Threshold),将计数 (Count) 设置为 10,并将秒数 (Seconds) 设置为 60 时,如果到 33 秒时规则触发 10 次,系统将生成一个事件,然后将“秒数”(Seconds) 和“计数”(Count) 计数器重置为 0。其后,该规则在接下来 25 秒内又触发 10 次。由于计数器在第 33 秒时已重置为 0,因此,系统此时会记录另一个事件。

双向

每个指定时间段在指定数量(计数)的数据包触发规则后记录并显示一次事件。例如,如果将类型设置为两者 (Both),将计数 (Count) 设置为 2,并将秒数 (Seconds) 设置为 10,则事件计数结果如下:

  • 如果 10 秒内触发规则一次,系统不会生成任何事件(未达到阈值)

  • 如果 10 秒内触发规则两次,系统将生成一个事件(第二次触发规则时达到阈值)

  • 如果 10 秒内触发规则四次,系统将生成一个事件(第二次触发规则时达到阈值,忽略其后的事件)

接下来,指定跟踪,从而确定事件阈值是按源 IP 地址计算还是按目标 IP 地址计算。

表 3. 阈值 IP 选项

选项

说明

来源

按源 IP 地址计算事件实例计数。

目标

按目标 IP 地址计算事件实例计数。

最后,指定用于定义阈值的实例数和时间段。

表 4. 阈值实例/时间选项

选项

说明

计数

每个跟踪 IP 地址在每个指定时间段内达到阈值所需的事件实例数量。

计数重置之前经过的秒数。如果将阈值类型设置为限制 (limit),将跟踪设置为源 IP (Source IP),将计数 (count) 设置为 10,并将秒数 (seconds) 设置为 10,则系统将记录并显示 10 秒钟内发生的来自指定源端口的前 10 个事件。如果前 10 秒内只发生了 7 个事件,系统将记录并显示这些事件,而如果前 10 秒内发生了 40 个事件,系统将记录并显示 10 个事件,然后在为期 10 秒的时间段过后重新开始计数。

请注意,入侵事件阈值可单独使用,也可与基于速率的攻击防御、detection_filter 关键字和入侵事件抑制的任意组合配合使用。


提示

也可以在入侵事件的数据包视图中添加阈值。


在 Snort 3 中为入侵规则设置阈值

您可以在“规则详细信息”(Rule Detail) 页面中为规则设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。

过程

步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

从入侵规则的警报配置列中,点击 链接。

步骤 4

点击 编辑编辑图标

步骤 5

在警报配置窗口中,点击 阈值 选项卡。

步骤 6

类型 (Type) 下拉列表中,选择要设置的阈值的类型:

  • 选择限制 (Limit) 以将通知限于每个时间段的指定数量的事件实例。

  • 选择阀值 (Threshold) 以在每个时间段内每次事件实例数达到指定数量时提供通知

  • 选择两者 (Both) 以在每个时间段内事件实例数达到指定数量后提供一次通知。

步骤 7

跟踪方式 下拉列表中,选择 目标 以指示希望按源 IP 地址还是目标 IP 地址跟踪事件实例。

步骤 8

计数 字段中,输入要用作阈值的事件实例数。

步骤 9

字段中,输入用于指定跟踪事件实例的时间段的数字(以秒为单位)。

步骤 10

单击确定 (OK)

有关其他支持和信息,请参阅视频 Snort 3 抑制和阈值


下一步做什么

部署配置更改;请参阅部署配置更改

查看和删除入侵事件阈值

您可能需要查看或删除一个规则的现有阈值设置。可以使用“规则详细信息”(Rules Details) 视图显示为阈值配置的设置,看其是否适合系统。如果不适合,可以添加新的阈值来覆盖现有值。

过程

步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

选择具有 警报配置 列中所述已配置阈值的规则。

步骤 4

要删除规则的阈值,请点击 警报配置 列中的 阈值 链接。

步骤 5

请点击 编辑编辑图标

步骤 6

点击 阈值 选项卡。

步骤 7

点击重置

步骤 8

点击保存


下一步做什么

部署配置更改;请参阅部署配置更改

入侵策略抑制配置

您可以在特定 IP 地址或 IP 地址范围触发特定规则或检查器时抑制入侵事件通知。这对杜绝误报十分有用。例如,如果邮件服务器传输的数据包看起来像某种特定的漏洞,则可能会在邮件服务器触发该事件时抑制对其发出的事件通知。所有数据包都会触发该规则,但您只会看到真正的攻击事件。

入侵策略抑制类型

请注意,入侵事件抑制可单独使用,也可与基于速率的攻击防御、detection_filter 关键字和入侵事件阈值的任意组合配合使用。


提示

可以在入侵事件的数据包视图中添加抑制。您还可以使用入侵规则编辑器页面上的 警报配置 列(对象 > 入侵规则 > Snort 3 所有规则)访问抑制设置。


在 Snort 3 中为入侵规则设置抑制

可以为入侵策略中的规则设置一个或多个抑制。

开始之前

确保创建要添加用于源或目标抑制的所需网络对象。

过程

步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

点击入侵规则的警报配置列中的 链接。

步骤 4

点击 编辑编辑图标

步骤 5

抑制 选项卡中,点击以下任何选项旁边的添加图标 (+):

  • 选择 将抑制由指定源 IP 地址发出的数据包生成的事件。

  • 选择 目标网络 将抑制由发往指定目标 IP 地址的数据包生成的事件。

步骤 6

网络 下拉列表中选择任何预设网络。

步骤 7

点击保存

步骤 8

(可选)如果需要,请重复最后三个步骤。

步骤 9

点击警报配置窗口中的 保存


下一步做什么

部署配置更改;请参阅部署配置更改

查看和删除抑制条件

您可能需要查看或删除现有抑制条件。例如,由于某个邮件服务器通常会传输看起来像漏洞的数据包,因此可以抑制由该邮件服务器 IP 地址发出的数据包的事件通知。如果以后停用该邮件服务器并将此 IP 地址重新分配给其他主机,应删除对该源 IP 地址的抑制条件。

过程

步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

选择要查看或删除其抑制的规则。

步骤 4

点击 警报配置 列中的 抑制

步骤 5

请点击 编辑编辑图标

步骤 6

点击 抑制 选项卡。

步骤 7

通过点击抑制旁边的 清除清除图标 删除 抑制。

步骤 8

点击保存


下一步做什么

部署配置更改;请参阅部署配置更改

添加入侵规则注释

可以向入侵策略中的规则添加注释。按这种方式添加的注释是策略特定的;即添加到一个入侵策略的规则中的注释在其他入侵策略中不可见。

过程


步骤 1

依次选择策略 > 入侵

步骤 2

单击要编辑的策略旁边的 Snort 3 版本

步骤 3

选择要在其中添加注释的一条规则。

步骤 4

点击 注释 列下方的 注释注释图标

步骤 5

注释 字段中,输入规则注释。

步骤 6

点击添加注释 (Add Comment)

步骤 7

点击保存

提示 

系统将并在注释列中的规则旁显示 注释 (注释图标)


下一步做什么

部署配置更改;请参阅部署配置更改

将 Snort 2 自定义规则转换为 Snort 3

您可以一次性将 管理中心 中所有不同入侵策略的所有自定义 Snort 2 规则转换为 Snort 3,也可以将每个入侵策略的 Snort 2 自定义规则单独转换为 Snort 3。按照适合您的步骤操作。

将所有入侵策略中的所有 Snort 2 自定义规则转换为 Snort 3

过程


步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

确保在左侧窗格中选择 更新

步骤 4

点击 任务 下拉列表,然后选择:

  • 转换并导入 - 将所有入侵策略中的所有 Snort 2 自定义规则自动转换为 Snort 3,并将其作为 Snort 3 自定义规则导入 管理中心

  • 转换并下载 - 将所有入侵策略中的所有 Snort 2 自定义规则自动转换为 Snort 3,并将其下载到本地系统。

步骤 5

单击确定 (OK)

 
  • 如果在上一步中选择了 转换并导入 ,则所有转换后的规则都将保存在 本地规则下新创建的规则组 所有 Snort 2 转换后的全局 下。

  • 如果在上一步中选择了 转换并下载 ,则在本地保存规则文件。您可以在下载的文件中查看转换后的规则,然后按照 上传自定义规则中的步骤进行上传。

有关其他支持和信息,请参阅视频 将 Snort 2 规则转换为 Snort 3


下一步做什么

部署配置更改;请参阅部署配置更改

将单个入侵策略的 Snort 2 自定义规则转换为 Snort 3

过程


步骤 1

选择 策略 > 入侵

步骤 2

入侵策略 选项卡中,点击 显示 Snort 3 同步状态

步骤 3

点击入侵策略的 同步 图标(snort 版本不同步)。

 

如果入侵策略的 Snort 2 和 Snort 3 版本已同步,则 同步 图标为绿色 (snort 版本同步)。它表示没有要转换的自定义规则。

步骤 4

仔细阅读摘要,然后点击 自定义规则 选项卡。

步骤 5

选择:

  • 将转换后的规则导入到此策略-将入侵策略中的 Snort 2 自定义规则转换为 Snort 3,并将其作为 Snort 3 自定义规则导入 管理中心

  • 下载转换后的规则-将入侵策略中的 Snort 2 自定义规则转换为 Snort 3,并将其下载到本地系统中。您可以在下载的文件中查看转换后的规则,然后通过点击上传图标上传文件。

步骤 6

点击 重新同步


下一步做什么

部署配置更改;请参阅部署配置更改

上传自定义规则

管理中心 中上传自定义规则会将您在本地创建的自定义规则添加到所有 Snort 3 规则的列表中。

过程


步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

点击 任务 下拉列表。

步骤 4

点击上传

步骤 5

拖放包含已创建的 Snort 3 自定义规则的 .txt.rules 文件。

 
您也可以点击虚线框浏览到本地文件夹以选择文件。
步骤 6

单击确定 (OK)

 
如果所选文件中有任何错误,则无法继续。您可以下载有错误的文件,并在修复错误后将其 替换
步骤 7

选择本地规则组以将新规则添加到该组。

您还可以创建新的自定义规则组(通过点击 创建新的自定义规则组 链接),然后将规则添加到新组。

 
如果没有现有的本地规则组,请点击 创建新的自定义规则组以继续。为该搜索输入一个 名称 ,然后点击 保存
步骤 8

选择以下其中一个选项:

  • 合并规则 以合并您要添加的新规则与规则组中的现有规则。

  • 将组中的所有规则替换为文件内容 以将所有现有规则替换为您添加的新规则。

 

如果在上一步中选择了多个规则组,则只有 合并规则 选项可用。

步骤 9

点击下一步

查看摘要以了解正在添加的新规则 ID,并可选择下载。

步骤 10

点击完成



重要

所有已上传规则的规则操作均处于禁用状态。您必须将其更改为所需的状态,以确保规则处于活动状态。


下一步做什么

有关其他支持和信息,请参阅 Snort 3 自定义规则导入 视频。

将具有自定义规则的规则组添加到入侵策略

必须在入侵策略中启用系统中上传的自定义规则,才能对流量实施这些规则。在 管理中心上传自定义规则后,在入侵策略中添加具有新自定义规则的规则组。

过程


步骤 1

依次选择策略 > 入侵

步骤 2

入侵策略选项卡 中,点击入侵策略的 Snort 3 版本

步骤 3

点击规则组搜索栏旁边的 添加 (+)。

步骤 4

展开 本地规则 组。

步骤 5

选中已上传的自定义规则组旁边的复选框。

步骤 6

点击保存

有关其他支持和信息,请参阅视频 Snort 3 入侵规则组


下一步做什么

部署配置更改;请参阅部署配置更改

管理 Snort 3 中的自定义规则

系统中上传的自定义规则必须添加到入侵策略并启用,以启用对流量实施这些规则。您可以跨所有策略或选择性地对单个策略启用已上传的自定义规则。

按照以下步骤在一个或多个入侵策略中启用自定义规则:

过程


步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

展开 本地规则

步骤 4

选择所需的规则组。

步骤 5

通过选中规则旁边的复选框来选择规则。

步骤 6

规则操作 下拉框中,选择 按照入侵策略

步骤 7

选择:

  • 所有策略-对要添加的所有规则具有相同的规则操作。

  • 按入侵策略-为每个入侵策略设置不同的规则操作。

步骤 8

设置规则操作:

  • 如果在上一步中选择了所有策略,请从 选择覆盖状态 下拉列表中选择所需的规则操作。

  • 如果在上一步中选择了按入侵策略,则根据策略名称选择 规则操作 。要添加更多策略,请点击 添加其他

步骤 9

或者,在 注释 文本框中添加注释。

步骤 10

点击保存


下一步做什么

在设备上部署更改。请参阅部署配置更改

删除自定义规则

过程


步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

展开左侧窗格中的 本地规则

步骤 4

选择包含规则的文件夹。

步骤 5

选中要删除的策略的复选框。

步骤 6

确保所选的所有规则的规则操作均为 禁用

如果需要,请按照以下步骤为多个选定规则禁用规则操作:

  1. 规则操作 下拉框中,选择按 入侵策略

  2. 选择 所有策略 单选按钮。

  3. 选择覆盖状态 下拉列表中选择 禁用

  4. 点击保存

  5. 选中要删除的策略的复选框。

步骤 7

规则操作 下拉框中,选择 删除

步骤 8

在删除规则弹出窗口中点击 删除


下一步做什么

部署配置更改;请参阅部署配置更改

删除规则组

开始之前

从包含该规则组的所有入侵策略中排除要删除的规则组。有关从入侵策略中排除规则组的步骤,请参阅 编辑 Snort 3 入侵策略

过程


步骤 1

选择 对象 > 入侵规则

步骤 2

点击 Snort 3 所有规则 选项卡。

步骤 3

展开左侧窗格中的 本地规则

步骤 4

选择要删除的规则组。

步骤 5

在继续之前,请确保将组中所有规则的规则操作设置为 禁用

如果任何规则的规则操作不是 禁用,则无法删除规则组。如果需要,请按照以下步骤禁用所有规则的规则操作:

  1. 选中 规则操作 下拉列表下方的复选框,以选择组中的所有规则。

  2. 规则操作 下拉框中,选择按 入侵策略

  3. 选择 所有策略 单选按钮。

  4. 选择覆盖状态 下拉列表中选择 禁用

  5. 点击保存

步骤 6

点击规则组旁边的 删除删除图标

步骤 7

在 Delete Rule Group 弹出窗口中点击 OK


下一步做什么

部署配置更改;请参阅部署配置更改