入侵防御简介

什么是IPS入侵防御系统

入侵防御系统 (IPS) 可帮助企业识别恶意流量并主动拦截此类流量进入企业网络。IPS通过特征库检测来识别流量中是否存在漏洞和漏洞利用程序;如果检测到威胁,则按照安全防御策略采取适当的措施,比如阻止访问。

入侵防御特征库

选择“系统管理”-->“FortiGuard”-->“许可证信息”,在“入侵防御”菜单下可以查看IPS特种库的版本及IPS引擎的版本。

image-20230104153449637

选择“安全配置文件”-->“IPS特征库”,可以查看具体的特征,将鼠标悬停在某一个特征上,可以查看该特征的详细信息。

image-20230104154012994

入侵防御配置文件

入侵防御默认有一些配置文件,这些配置文件应用的目标各有不同,也可以根据自身的业务需求创建新的配置文件。

image-20230104160002756

在high_security配置文件中,IPS阻断严重级别是Critical/High/Medium的特征库,严重级别是Low的则是保持特征的默认动作。

image-20230104160224623

在protect_http_server配置文件中,IPS将对象过滤器的属性设置为服务器,协议过滤器的属性设置为HTTP,因此过滤器仅包含适用于服务器的HTTP协议的签名,动作是使用特征默认的动作。

image-20230104160539858

用户也可以根据自身的需求创建配置文件,选择“安全配置文件”-->“入侵防御”,点击“新建”,这里保护linux服务器的HTTP服务。

  1. 创建IPS过滤器

    在”IPS特征库与过滤器“选项下,点击“新建”,类型选择过滤器,动作设置为阻断,协议过滤器设置为FTP,OS过滤器设置为Linux。

    image-20230104163410121

    确定保存。

    image-20230104163625725

  2. 指定某一个IPS具体的特征

    这里以eicar做测试。类型选择签名,动作设置为阻断,在搜索框中搜索eicar,将过滤出eicar的特征:Eicar.Virus.Test.File,然后右击该特征,点击“添加已选”,表示选中该特征。

    image-20230104165342599

    特征选中后,会有绿色勾选的标识,以及“已选”标签会标识出特征的数量,然后点击确认。

    image-20230104165600785

    确定保存。

    image-20230104165720859

  3. IPS规则的顺序

    如下图,严重级别过滤器设置为信息,该过滤器包含了eicar,动作是允许;单独设置eicar特征的动作是阻断;那么最终eicar的动作是允许。IPS规则是由上到下匹配的。

    image-20230104180946116

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-01-05 15:19:38

results matching ""

    No results matching ""