IPS配置

本节介绍IPS相关配置，包括IPS配置准备工作、新建IPS规则、编辑IPS规则、删除IPS规则、升级IPS特征库以及入侵防御全局配置。

IPS配置准备工作

使用IPS功能前，必须完成以下准备工作：

1. 确认StoneOS版本支持IPS功能。
2. 安装IPS许可证，然后重启设备。设备成功重启后，IPS功能即处于开启状态。
   

新建IPS规则

新建IPS规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全入侵防御”，进入入侵防御页面。
2. 点击IPS列表上方的『新建』按钮，弹出<入侵防御配置>对话框。
3. 在<规则名称>对话框输入新建规则的名称。
4. 从<绑定安全域>下拉菜单选择IPS规则生效的安全域，并从后边的<攻击方向>部分选择方向（流入、流出或者双向），使IPS规则对指定安全域指定方向的流量生效。选择完毕安全域和攻击方向，点击『添加』按钮，将其添加进系统。重复该操作添加更多安全域。
5. 从<扫描协议类型>部分选择需要扫描的特征集（某一协议相关的攻击特征的集合）。选中需要扫描的特征集的复选框。
6. 点击『确定』按钮保存所做配置并返回入侵防御页面。
7. 如果需要对特征集进行编辑，从IPS规则列表中规则对应的<协议类型>栏点击特征集名称，进入特征集页面。在该页面对特征集进行编辑，包括该特征集下不同级别攻击特征对应的行为（记录日志、阻断、屏蔽攻击者）、协议相关选项配置以及具体攻击特征对应的行为（优先级高于特征集下配置的行为）。
   协议相关选项配置
   
   协议相关选项配置包括不同级别攻击特征对应的行为配置以及协议相关选项配置。选项说明如下：
   

   选项	说明
   在严重/警告/信息级别攻击下阻断配置	行为：为不同级别的特征指定处理行为，可以是“只记录日志”或者“重置”。 只记录日志：发现入侵攻击后仅记录日志信息。 重置：发现入侵攻击后重置连接（TCP）或者发送目标不可达包（UDP）并且记录日志信息。
   	屏蔽攻击者：选中该选项复选框指定阻断攻击者。 屏蔽对象：指定被屏蔽的对象，可以是攻击者的IP，也可以是攻击者的协议/源IP/目的IP/目的端口。 屏蔽时间：指定对攻屏蔽对象进行阻断的时长，单位为秒，默认时间为60秒。范围是60到3600秒。
   其他配置	对协议的一些相关选项进行配置。不同协议类型的配置选项不同，具体说明请参阅其他配置选项说明。

   具体攻击特征配置
   
   对具体攻击特征的行为进行配置，请按照以下步骤进行操作：

   1. 从特征列表中选中需要配置的特征的复选框，然后点击列表左上方的『编辑』按钮，弹出<入侵防御特征配置>对话框。
   2. 从<行为>部分选择特征对应的动作。选中需要的行为的单选按钮。
   3. 从<屏蔽配置>部分选择对攻击者的屏蔽配置。选中需要的配置的单选按钮。如果选择<屏蔽攻击者>，则继续在选择屏蔽对象以及屏蔽时间。
   4. 配置完成，点击『确定』按钮保存所做配置并返回特征集页面。

   启用/禁用某攻击特征，请按照以下步骤进行操作：

   1. 从特征列表中选中需要启用/禁用的特征对应的复选框。
   2. 点击列表左上角的『启用/禁用』按钮。

   注意：当某特征在全局配置模式下配置为启用状态时，在某特征集下禁用该特征，该特征在该特征集下为禁用状态；当某特征在全局配置模式下配置为禁用状态，无论该特征在特征集下的配置为启用还是禁用，该特征在特征集下均为禁用状态。

为系统配置IPS功能后，当系统发现入侵攻击，会生成相应的IPS日志信息。IPS日志信息中包含检测出的攻击特征ID，根据特征ID，用户可以访问相应的IPS在线帮助页面查看攻击特征的具体信息。查看IPS日志信息，从页面左侧导航树选择并点击“日志攻击IPS日志”，进入IPS日志列表页面。

编辑IPS规则

编辑IPS规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全入侵防御”，进入入侵防御页面。
2. 从入侵防御列表中选中需要编辑的IPS规则对应的复选框，然后点击列表左上方的『编辑』按钮，弹出<入侵防御配置>对话框。在该对话框进行编辑。
3. 编辑完成点击『确定』按钮保存所做配置。

删除IPS规则

删除IPS规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全入侵防御”，进入入侵防御页面。
2. 从入侵防御列表中选中需要删除的IPS规则对应的复选框，然后点击列表左上方的『删除』按钮。

升级IPS特征库

默认情况下，StoneOS会每日自动更新IPS特征库，用户可以根据需要更改特征库更新配置。Hillstone山石网科提供两个默认特征库更新服务器，分别是update1.hillstonenet.com和update2.hillstonenet.com。StoneOS支持自动升级和本地升级两种方式供用户进行选择。

配置自动升级相关选项，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全入侵防御”，进入入侵防御页面。
2. 从页面右侧辅助栏的<任务>区选择<自动升级>对应的『配置』链接，弹出<入侵防御自动更新配置>对话框。
3. 在该对话框进行配置。
   • 自动升级：指定是否开启自动升级功能。
   • 升级频率：指定升级的时间。可以是每天的某一时间或者每周某天的某一时间。用户可根据需求进行选择。
   • 服务器1：指定更新服务器的IP地址，然后在<虚拟路由器 >下拉菜单选择与更新服务器通信的接口所属的VRouter。
   • 服务器2：指定更新服务器的IP地址，然后在<虚拟路由器 >下拉菜单选择与更新服务器通信的接口所属的VRouter。
   • 服务器3：指定更新服务器的IP地址，然后在<虚拟路由器 >下拉菜单选择与更新服务器通信的接口所属的VRouter。
   • 恢复缺省：点击该按钮恢复自动更新的默认配置。
   • 确定：保存当前所做配置并返回上一级对话框/页面。
   • 取消：取消当前所做配置并返回上一级对话框/页面。
4. 配置完成，点击『确定』按钮保存所做配置并关闭对话框。

自动更新配置完成后，系统将根据配置的时间自动更新IPS特征库。

本地更新IPS特征库，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全入侵防御”，进入入侵防御页面。
2. 从页面右侧辅助栏的<任务>区选择<本地升级>对应的『上传』链接，弹出<入侵防御本地升级配置>对话框。
3. 点击『浏览』按钮，浏览并选择储存在本地的特征库文件，然后点击『上传』按钮。

立即升级特征库，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全入侵防御”，进入入侵防御页面。
2. 从页面右侧辅助栏的<任务>区点击『升级特征库』按钮，系统立即升级特征库。

入侵防御全局配置

配置入侵防御全局配置选项，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全入侵防御”，进入入侵防御页面。
2. 从页面右侧辅助栏的<任务>区的<入侵防御全局配置>部分进行配置。
   • 入侵防御：选中/取消选中该选项复选框开启/关闭设备的IPS防护功能。
   • 日志：选中/取消选中该选项复选框开启/关闭日志功能。
   • 强制检查：选中该选项复选框开启IPS强制检查功能。IPS强制检查功能开启后，当IPS功能不能正常检测时（例如特征库升级或者配置更新），系统将会丢弃需要进行IPS检测的流量。默认情况下，该功能为关闭状态，即当IPS功能不能正常检测时，需要进行IPS检测的流量仍可正常通过设备。
   • 模式：指定系统的IPS工作模式，可以是：
     入侵防御- 在该模式下，系统在提供协议异常和网络攻击行为的告警、日志功能的同时，还对检出攻击做重置和阻断操作。该模式为系统默认模式。
     只记录日志 - 在该模式下，系统提供协议异常和网络攻击行为的告警、日志功能，不对检出攻击做重置和阻断操作。
3. 配置完成，点击『确定』按钮。