FORTINET NIDS User Guide

FortiGate!NIDS!Guide
FortiGate NIDS 指南
FortiGate 用户手册 第四卷
版本 2.50 MR2
2003 8 6
© Copyright 2003 美国飞塔有限公司版权所有。
本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司
的许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、
FortiGate NIDS 指南
版本 2.50 MR2
2003 8 8
注册商标
本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。
服从规范
FCC Class A Part 15 CSA/CUS
请访问 http://www.fortinet.com 以获取技术支持。
请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送
techdoc@fortinet.com
目录
目录
概述 ................................................................... 1
NIDS 模块 .................................................................... 1
使用 NIDS 检测模块检测入侵企图 .............................................. 1
使用 NIDS 预防模块预防入侵 .................................................. 1
使用 NIDS 响应模块管理消息 .................................................. 2
NIDS 检测和预防特性 .......................................................... 2
拒绝服务 (DoS) 攻击 ......................................................... 2
嗅探 ....................................................................... 2
权利提升 ................................................................... 3
NIDS 躲避 .................................................................. 3
关于本文档 ................................................................... 3
2.50 版中的新增内容 .......................................................... 3
文档约定 ..................................................................... 4
Fortinet 的文档 .............................................................. 5
Fortinet 技术文档的注释 .................................................... 5
客户服务和技术支持 ........................................................... 6
检测攻击 ............................................................... 7
特征组 ....................................................................... 7
特征举例 ..................................................................... 9
一般配置步骤 ................................................................ 11
NIDS 常规配置 ............................................................... 11
选择要监视的网络接口 ...................................................... 11
禁用 NIDS ................................................................. 11
配置校验和检验 ............................................................ 12
选择一个特征组 .............................................................. 12
查看特征列表 .............................................................. 12
启用和禁用 NIDS 攻击特征 ................................................... 13
更新攻击定义 ................................................................ 14
创建用户定义的特征 .................................................... 15
创建用户自定义的特征 ........................................................ 15
用户定义特征提示 .......................................................... 17
常规配置步骤 ................................................................ 17
用户定义特征的语法 .......................................................... 17
语法约定 .................................................................. 17
完整的特征语法 ............................................................ 17
特征语法的细节 ............................................................ 19
管理用户定义的特征 .......................................................... 24
上载用户定义特征列表 ...................................................... 24
下载用户定义特征列表 ...................................................... 24
FortiGate NIDS 指南
iii
目录
预防攻击 .............................................................. 25
一般配置步骤 ................................................................ 26
启用 NIDS 攻击预防 ........................................................... 26
启用 NIDS 预防特征 ........................................................... 27
配置特征临界值 .............................................................. 31
配置 syn 淹没特征值 .......................................................... 32
举例:NIDS 配置 ............................................................. 33
预防 TCP UDP 攻击........................................................ 33
管理 NIDS 消息 ......................................................... 37
记录攻击消息日志 ............................................................ 37
配置 FortiGate 设备发送报警邮件 .............................................. 38
启用 FortiGate 设备发送入侵报警邮件功能 ...................................... 38
定制报警邮件消息 ............................................................ 39
减少 NIDS 攻击日志和邮件消息的数量 ........................................... 39
自动减少消息 .............................................................. 39
术语表 ............................................................... 41
索引 .................................................................. 43
iv
美国飞塔有限公司
概述

NIDS 模块

FortiGate NIDS 指南 版本 2.50 MR2
FortiGate NIDS 是一个实时的网络入侵探测器,它使用攻击定义库库检测和预防
各种各样的可疑的网络数据流于网络的接攻击。任何时候只要发网络攻击,
FortiGateNIDS 可以将件记录日志并给系统管理发送报警邮件。
NIDS 由检测、预防和响应件模块组。关于 NIDS 模块的概述,请
·使用 NIDS 检测模块检测入侵企图
·使用 NIDS 预防模块预防入侵
·使用 NIDS 响应模块管理消息

使用 NIDS 检测模块检测入侵企图

NIDS 检测模块可以检测各种各样的可疑网络通讯于网络的攻击。 FortiGateNIDS 检测模块的核心是攻击特征。特征是指示出系统可能 到攻击
的传的模或者其他编码。从功能上看,特征类似病毒定义,个特征检测特定类型的攻击。
FortiGate NIDS 使用1000D 个攻击特征。为了保证您使用的是新版本的攻
击特征,您需要定更新的攻击签名文件。可以将 FortiGate 设备配置自动检 查和下载包括了最新的特征的攻击定义的更新文件。或者您也可以手工下载攻击定义 的更新文件。细信息请
您也可以创建自定义的特征。关于创建特征的细信息请第 15 创建
用户定义的特征 。创建了签名可以将它上载到 FortiGate 设备。专业
IT 人员才能创建用户定义的特征。
可以启用 FortiGate NIDS 的攻击消息功能。FortiGate 设备可以配置将攻击
消息记录到攻击日志,并且可以将攻击消息编成报警邮件,最多发送到个电子邮件 地址

使用 NIDS 预防模块预防入侵

FortiGate 设备能够作到的不仅仅简单地检测攻击,它可以预防攻击。NIDS
防模块可以为您预防自于破坏性的网络操作中的常规的 TCPICMPUDP IP 攻击。可以启用 NIDS 预防模块以按照默认的临界值设定预防一列攻击。NIDS 检测到 一个攻击定义配的入侵企图时,访问将拒绝,或者数被丢弃网络破坏
FortiGate 安装和配置指南
FortiGate NIDS 指南
1
NIDS 检测和预防特性 概述
NIDS 预防模块和 NIDS 检测模块一样,使用特征检测攻击,并且生成可以记录
日志或作为报警邮件发送的攻击消息。然而NIDS 预防模块和 NIDS 检测模块 十分相似,它们分别使用各自的特征并生成各自的消息。
FortiGate 设备接到一个件升时,NIDS 预防模块中的特征列表将更新。
新的特征法从 Fortinet 下载或者由用户创建。

使用 NIDS 响应模块管理消息

任何时候当检测或者预防一攻击时,NIDS 响应模块生成一个可以记录攻击日志
生成最多可以发送到个目的地址的电子邮件的消息。系统管理可以利用个信 息及时处理自网络的威胁

NIDS 检测和预防特性

NIDS 可以检测和预防以下类型的攻击:
·拒绝服务 (DoS) 攻击
·嗅探
·权利提升
·NIDS 躲避

拒绝服务 (DoS) 攻击

拒绝服务攻击通过使网络载、CPU 载或者塞满硬盘来试阻止对一个服务
或者一台计算机的访问。攻击者图获得任何信息,是他干扰了对网络资源的 访问。FortiGate NIDS 检测以下常规的 DoS 攻击:
·包淹没,包Smurf 淹没 Smurf 最先使用种攻击的一个程序名称) TCP 手淹没、UDP 淹没和 ICMP 淹没。
·非格式的数包,包括死亡之 ping(Ping of Death)Chargen死亡泪滴 (Tear drop、land 和 WinNuke。
嗅探
嗅探攻击图取得所要攻击或侵入的网络和电的信息。使用所得的信息,攻击者
可以个网络的弱点并加以攻击。FortiGateNIDS 可以检测以下类型的嗅探攻击:
·纹识别
·ping 扫描
·端扫描
·缓冲区溢出,包SMTPFTP POP3
·帐号扫描
·操作系统识别
2
美国飞塔有限公司
概述 关于本文档

权利提升

权利提升攻击图利用系统的特征或者缺陷对或网络实未经权的访问。
FortiGate NIDS 能检测以下类型的权利提升攻击:
·暴力攻击
·CGI 本攻击、包PhfEWSinfo2wwwTextCounterGuestBookCount.cgi
handlerwebdist.cgifiles.plnph-test-cginph-publish、任Form Formmail
·服务器攻击。
·页浏览器攻击、包URLHTTPJava 本、FramesJava ActiveX
·简单邮件传送协议 (SMTP)(发送邮件 ) 攻击。
·IMAP/POP 攻击。
·缓冲区溢出攻击。
·DNS 攻击,包括绑定和获。
·IP 欺骗
·洛伊木马攻击,包括后门 (BackOrifice 2K IniKiller NetbusNetSpy
Priority、 Ripper、 Striker、和 SubSeven

NIDS 躲避

关于本文档

随着攻击者越来越老练狡猾,他们新的技术躲避 NIDS
FortiGate NIDS 可以识别出以下躲避 NIDS 的技术:
·特征伪装
·特征编码
·IP 碎片
·TCP/UDP 分解
本指南在以下节中包含一般配置步骤,Web 的管理程序CLI 操作,以及
配置举例:
·检测攻击 述例如如何配置一般的 NIDS 设置以及何配置特征列表以使 FortiGate 设备可以检测攻击。
·创建用户定义的特征 了您当如编写您定义的特征将它添加 FortiGate 设备。在添加了这些特征之,它们可以用于检测攻击。
·预防攻击了如何使用特征预防攻击。
·管理 NIDS 消息了如何配置 NIDS 以记录现攻击时生成的日志消息并把它们发送 到指定的电子邮件地址
·术语表定义本文档中常用的术语。

2.50 版中的新增内容

FortiGate NIDS 指南
以下为 2.50 版中新增的特
3
文档约定 概述

NIDS 攻击 ID 编号

NIDS 攻击有一个 ID 编号检测到攻击时 NIDS 生成这编号,它现在
报警邮件和攻击日志消息中。于检索报警邮件或攻击日志消息中所及的攻击。 请第 12 页 “ 查看特征列表” 。
特征组
NIDS 攻击模块中,攻击特征现在被分列。当您启用一个组时,个组中的
特征将用于检测于网络的攻击。当您禁用一个组时,这些特征将不用于检 测攻击。不能启用或者禁用单独的一个特征。请第 7 页 “ 检测攻击” 。

入侵预防

早期NIDS 版本中,NIDS 能检测攻击,不能预防攻击。现在 NIDS 可以配置 预防破坏性的网络操作的常TCPICMP IP 攻击。请 25 预防
攻击

新的 CLI 命令

2.50 版中命令行了很大改变命令的语法得更加易于使用和更加高 很多命令名和关键词生了变化并且扩充了 CLI 帮助的内容。

文档约定

本指南使用以下约定来描CLI 命令的语法。
·尖括号 <> 的内容替换的关键词
: 要执行 restore config < 文件_ 符串 >
当输入 restore config myfile.bak <xxx_ 符串 > 表示一个 ASCII 字符串键词 <xxx_ 整数 > 表示一个整数关键词 <xxx_ip> 表示一个 IP 地址键词
·竖线波形括号 {|} 表示从波形括号中的内容中任选其一。
set system opmode {nat | transparent} 可以 set system opmode nat set system opmode
transparent
·方括号 [ ] 表示个关键词是可选的
get firewall ipmacbinding [dhcpipmac]
可以 get firewall ipmacbinding get firewall ipmacbinding dhcpipmac
4
美国飞塔有限公司
概述 Fortinet 的文档

Fortinet 的文档

FortiGate 用户手册的以下各卷中可以到关于 FortiGate 产品的应信息:
·
第一卷:FortiGate 安装和配置指南
FortiGate 设备的安装和本配置法。还描了如何使用 FortiGate 的防 火墙策略去控通过 FortiGate 设备的网络通讯,以及何使用防火墙策略通过 FortiGate 设备的网络通讯HTTPFTP 和电子邮件内容应用防病毒保、网内容和电子邮件
·
卷:FortiGate 虚拟用网络 VPN指南
包含FortiGate IPSec VPN 中使用认证、预置密钥和手工密钥的更加详细 的信息。括了 Fortinet VPN 客户配置的本信息,FortiGate PPTP
L2TP VPN 配置的详细信息,以及 VPN 配置的例子。
·
卷:FortiGate 内容指南
了如何配置防病毒保,网内容和电子邮件,以通过
FortiGate 的内容。
第四卷:FortiGate NIDS 指南
·
了如何配置 FortiGate NIDS,以检测自网络的攻击,并保FortiGate 威胁
·
卷:FortiGate 日志和消息参考指南
了如何配置 FortiGate 的日志和报警邮件。括了 FortiGate 日志消息的说
·
卷:FortiGate CLI 参考指南
FortiGate CLI并且还包含一个 FortiGate CLI 命令说明
FortiGate 线帮助也包含使用 FortiGate Web 的管理程序配置和管理 FortiGate 设备的操作步骤说明

Fortinet 技术文档的注释

在本文档或任何 Fortinet 技术文档中发现错误或疏漏之处,欢迎将有 关信息发送到 techdoc@fortinet.com
FortiGate NIDS 指南
5
客户服务和技术支持 概述

客户服务和技术支持

请访问们的技术支持网,以获取防病毒保和网络攻击定义更新、件更新、 产品文档更新,技术支持信息,以及其他资源。网http://support.fortinet.com
您也可以到 http://support.fortinet.com 注册您的 FortiGate 病毒火墙 在任何时间登陆改您的注册信息。
以下电子邮件信用于 Fortinet 电子邮件支持:
amer_support@fortinet.com 美国、墨西哥拉丁和南美地区的客户提
apac_support@fortinet.com 日本、国、中国、中国香港、新马来西亚、以及其
eu_support@fortinet.com 国、斯堪纳维亚半岛欧洲和中地区的客
关于 Fortinet 支持的信息,请访问 http://support.fortinet.com
当您需们的技术支持的时,请以下信息:
·您
·公司名称
·
·电子邮件地址
·号码
·FortiGate 设备
·FortiGate 型号
·FortiGate FortiOS 固件版本
·您到的问说明
务。
他所有亚洲地区的客户提服务。
户提服务。
6
美国飞塔有限公司

检测攻击

FortiGate NIDS 指南 版本 2.50 MR2
NIDS 检测模块能检测量的可疑网络通讯于网络的攻击。
章描了如何配置常规的 NIDS 设置和 NIDS 检测模块特征列表。在常规 NIDS 设 置中,您需要选择要监视于网络的攻击的接口。您还需定是启用校验和检验 功能。校验和检验功能测试被监视的接口到的数包的完整性。
在特征列表中,可以据需要启用和禁用特征组。个特征组包含一定数量的 特征,或者攻击定义。用一个特征组时,个特征组中所包含的特征将用于检 测于网络的攻击。禁用一个组时,其中所包含的特征将不检测攻击。
论何时NIDS 检测到一个攻击时,它将生成条 NIDS 响应消息。可以将个 消息添加到攻击日志,可以将它编写成电子邮件最多发送到个目的。有关的 细信息请 第 37 页 “ 管理 NIDS 消息” 。
以下内容:
·特征组
·特征举例
·一般配置步骤
·NIDS 常规配置
·选择一个特征组
·更新攻击定义
特征组
FortiGate NIDS 指南
FortiGate NIDS 使用了 1000D 多个攻击特征。这些特征被分列,个组检测
一种不同类型的攻击。NIDS 检测模块中的组使用名称按照母顺序排列。选择查看一个特定的组的细节,将看到它内包含的特征的完整列表。
默认情况下,所有的组都被启用可以选择禁用一个组使得个组中的特征不 检测攻击。法启用或者禁用单独的一个特征。
可以禁用一个特征组,以提高系统的性能,减少 NIDS 生成的日志消息和报警邮
件的数量。例NIDS 检测到量的网服务器攻击。没有提火墙后 的网服务器的访问,可以禁用所有的网服务器攻击特征。
1: NIDS 特征
特征组 说明
后门 检测使用后门技术穿过系统保护机制的攻击。
7
特征组 检测攻击
表 1: NIDS 特征组 ( 续 )
特征组 说明
损伤 检测违反了系统安全策略的攻击。
ddos 检测拒绝服务攻击。 dns 检测使用 DNS 的攻击。 dos 检测拒绝服务攻击。
权利提升 检测于权利提升的攻击。
finger 检测使用 Finger 协议的攻击。 ftp 检测使用 FTP 协议的攻击。 icmp 检测使用 ICMP 协议的攻击。 imap 检测使用 IMAP 协议的攻击。 misc-traffic 检测使用混杂的有通讯技术的攻击。 netbios 检测使用 NETBIOS 协议的攻击。 pop2 检测使用 POP2 协议的攻击。 pop3 检测使用 POP3 协议的攻击。 rlogin 检测用户录以获取计算机网络中的信息的攻击。 rpc 检测使用 RPC 协议的攻击。 scan 检测不类型扫描关的嗅探攻击。 shellcode 检测包含特种操作系统命令解释器的攻击。 smtp 检测使用 SMTP 协议的攻击 snmp 检测使用 SNMP 协议的攻击。 sql 检测利用 SQL 的攻击。FortiGate 设备的网服务器或者
telnet 检测使用 Telnet 协议的攻击。 tftp 检测使用 TFTP 协议的攻击。 web-apache
web-attacks web-cgi
web-client web-coldfusion web-domino web-frontpage web-iis web-misc web-netscape web-php web-tomcat
扫描 检测一个机的一定范内的服务地址发送客户请找出
http 解码 检测使用 HTTP 协议的攻击。 backorifice 检测使用 Back Orifice 木马来监视或Windows 操作系统的攻
rpc 解码 检测包含RPC 记录的攻击。 tcp 检测使用 TCP 协议的攻击。 IP 碎片 检测使用破碎IP 进行的攻击。
其他应用程序MS-SQL 或者 MS-SQL/SMB启用特征组。
检测于网的攻击,包利用 CGI, ColdFusion, FrontPage, IIS, 客户 PHP 的漏进行的攻击。
利用个服务的漏进行的攻击。
击。
8
美国飞塔有限公司
检测攻击 特征举例
表 1: NIDS 特征组 ( 续 )
特征组 说明
格式 检测使用准头的包或者超长进行的攻击。 用户定义 检测新的使用用户自定义的特征的攻击。请第 15 页 “ 创建用
户定义的特征

特征举例

在特征组中包含了独的特征。查看一个定的组,将看到个组包含的 特征的完整列表。个特征有一个 ID 编号名称修订版本编号
以下个表中包含特征的例子:
·2 出了可以用于检测拒绝服务攻击 DoS的特征。
·3 出了可以用检测嗅探攻击的特征。
·4 出了可以用检测漏攻击的特征。
:在列表中包含的值仅为举例。要查看特征组和组中包含的特征的完整的列表,请查看 一个运转中的 FortiGate 设备。
2: DoS 特征举例
攻击类型 特征组名称 特征 ID 举例 特征规举例 拒绝服务 ddos 17563649 DDOS TFN 探测
dos 917505 DOS 动攻击 混合通讯 101974020 混合通讯源端20
ip 碎片 7405573 重复的第一段。格式 7602271 UDP 截断 rpc 解码 6946820 不完整的 RPC
3: 嗅探特征举例
攻击类型 特征组名称 特征 ID 举例 特征规举例 嗅探 finger 101711873 Finger 溢出 (>128) 企图
icmp 17956865 ICMP ISS Pinger rlogin 102236167 rlogin root rpc 286851134 RPC 映射求状态 scan 102367236 扫描理的企图 shellcode 1769486 linux 命令解释器命令 portscan 6553602 (spp_ 扫描 ) 扫描状态 tcpassembly 7274504 秘密活 (FIN 扫描 ) 检测
1024
FortiGate NIDS 指南
9
特征举例 检测攻击
4: 攻击特征
攻击类型 特征组名称 特征 ID 举例 特征规举例 漏攻击 后门 101318672 Back door subseven 22
危害 101384193 Successful gobbles ssh 权利提升
dns 286064641 利用 Solaris tsig 的数 权利提升 101646338 利用 ssh CRC32 溢出 /bin/sh ftp 101777411 有 ? 的 FTP 命令 STAT netbios 102039554 NETBIOS nimda .eml rpc 102301722 RPC snmpXdmi 溢出企图 smtp 102498305 SMTP sendmail 8.6.9 版权利提升 sql 102629377 MS-SQL/SMB sp_start_job - 程序执
telnet 102694920 Telnet 错误 tftp 287309825 TFTP GET Admin.dll web-attacks 102891521 图利用网攻击 ps 命令 web-cgi 102957107 Web-CGI bnbform.cgi 访问 web-coldfusion 103088129 Web-ColdFusion cfcache.map 访问 web-frontpage 103219201 Web-FrontPage rad 溢出企图 web-iis 103284737 Web-IIS repost.asp 文件的访问 web-misc 103350273 Web-Misc. 企图穿点脚本的企图 httpdecode 6684678 (spp_http_decode) URL
backorifice 6881281 (spo_bo) Back Orifice 通讯检测
(GOBBLE)
编码
10
美国飞塔有限公司
检测攻击 一般配置步骤

一般配置步骤

要配置 NIDS 检测网络攻击的功能,必须本的步骤。先您必须配置 常规 NIDS 设置。然后您必须查看特征列表,定启用个组检测攻击 。默认情况 下,所有的特征组都被启用
以下步骤配置 NIDS 以检测攻击:
1 配置常规 NIDS 设置。在选择了您希望 NIDS 监视的接口之可以选择是启用在
这些接口上的校验和检验。请 11 NIDS 常规配置
2 选择希望 NIDS 检测于网络的攻击的特征组。请第 12 页 “ 选择一个特
征组
3 可以选择将 FortiGate 设备配置自动检查新版本的攻击定义。请第 14 页 “
更新攻击定义

NIDS 常规配置

要启用 FortiGate NIDS必须至少选择一个要监视自网络的攻击的接口。要 禁用 FortiGate NIDS必须取消任何一个接口的选定。
最多可以监视四个接口 (FortiGate-50 只能监视一个接口)。

选择要监视的网络接口

1 NIDS > 检测 > 常规。
2 选择要检测网络攻击的网络接口。
可以选择一个或个网络接口。
3 单击应用以
使用 CLI
set nids detection interface < 名称 _ 字符串 > status enable

禁用 NIDS

1 NIDS > 检测 > 常规。
2 取消所有监视的接口的选定。
3 击 应用
使用 CLI
FortiGate NIDS 指南
set nids detection interface < 名称 _ 符串 > status disable
11
选择一个特征组 检测攻击

配置校验和检验

校验和验试通过 FortiGate 的文件,他们在传送过程中没有NIDS 可以在 IPTCPUDP ICMP 据流进行校验和检查。进行最大的检查, 可以启用所有类型据流的校验和检查。然而FortiGate 进行校验和 验可以关掉部或者全部类型的数据流的校验和验样可以提网络传 性能。FortiGate 安装在一个进行校验和验由器后面没 有进行校验和验
1 NIDS > 检测 > 常规。
2 选中要验校验和的数据流类型
3 击 应用
1: FortiGate-300 设备的 NIDS 检测配置举例

选择一个特征组

查看特征列表

12
使用 CLI
set nids detection checksum
FortiGate NIDS 检测模块使用的特征组1000 多个特征。默认情况下,所有 的组都被启用
为了化系统性能,可以禁用一组。禁用一个组,FortiGate NIDS 将不使用个组中包含的特征进行入侵企图的检测。不能启用或者禁用组中的
一个特征。
按如操作NIDS 特征组列表和个特征组的成员
1 NIDS > 检测 > 特征列表。
{none | ip,tcp,udp,icmp}
美国飞塔有限公司
检测攻击 选择一个特征组
2 查看列表中的特征组的名称状态
NIDS 使用列表中所有选中启用列的特征组进行攻击检测。
:用户定义的特征组是特征列表中的最后。请第 15 页 “ 创建用户定义的特
3 选择查看细节 可以示一个特征组的特征成员
特征组成员列表了每一个组成员的攻击 ID,规名称,和修订版本
2: 特征组成员列表举例

启用和禁用 NIDS 攻击特征

默认情况下,所有的特征组都被启用。禁用不要的 NIDS 攻击特征组可以提高 系统的性能,减少 FortiGate NIDS 生成的日志消息的数量和报警邮件的数量。例
NIDS 检测到了大量的网服务器攻击。没有在您的防火墙后的网络中提 服务,可以禁用全部服务器攻击特征。
为了保您的 NIDS 特征设置,Fortinet 建议您在更新固件之NIDS 攻击特征设置。
可以在完更新之恢复的配置。
以下步骤禁用 NIDS 攻击特征:
1 NIDS > 检测 > 特征列表。 2 卷动特征列表,到要禁用的特征。
攻击日志和报警邮件中的特征名称ID 号与攻击列表中的相对应。可以易地通 过 ID 在特征列表中到特定的特征定义。
3 取消特征旁边动选的选中。 4 定。 5 一个要禁用的 NIDS 攻击特征组重复步骤 2 和步骤 4。
全部选中 可以启用特征列表中的全部NIDS 攻击特征组。全部取消 可以取消特征列表中的全部NIDS 攻击特征组的选中。
:攻击消息可以记录到攻击日志和用电子邮件发送给系统管理。请第 37 管理
NIDS 消息
FortiGate NIDS 指南
使用 CLI
13
更新攻击定义 检测攻击
set nids rule < 组_ 符串 > status {enable | disable}

更新攻击定义

可以将 FortiGate 设备配置自动检查新版本的攻击定义。FortiGate 发现新版本的攻击定义,它将自动下载和安装新版本的攻击定义。您也可以手工更新攻
击定义。
关于攻击定义更新的配置的细信息,请
:更新攻击定义更新攻击检测特征,不更新攻击预防特征。
FortiGate 安装和配置指南。
14
美国飞塔有限公司

创建用户定义的特征

特征是用判断系统可能到攻击的,它可以是传模版或者其他
可以将用户自定义的特征规添加FortiGate NIDS 以检测没有包含在 攻击定义文件中的攻击类型
可以使用本中所述的语法在一个文本文件中创建用户自定义的特征规然 后个文本文件上载到 FortiGate 设备中。FortiGate 设备文件中的个规
配一个一的 ID并且将它添加到特征组列表中的用户自定义组中。
创建上载用户定义的特征列表,可以从 FortiGate 设备中将用户定义 特征列表下载并保到管理中的一个备文件中。然后您可以在这个用户定义 特征列表中或者添加新的特征规可以将它上载到 FortiGate 设备。
:用户定义的特征是一高级功能,熟悉程序的概和网络入侵检测系统IT 专业事才能创建和添加用户自定义特征。
FortiGate NIDS 指南 版本 2.50 MR2
章描了如下内容:
·创建用户自定义的特征
·常规配置步骤
·用户定义特征的语法
·管理用户定义的特征

创建用户自定义的特征

可以使用简单轻巧的规述语创建用户自定义的特征。
FortiGate NIDS 指南
15
创建用户自定义的特征 创建用户定义的特征
使用规述语记以下条原则
·用户自定义的特征本可以看
·每个特征必须单独的一入。Fortinet 器不知道多行
的规
·一个特征包两个逻辑段,规和规。规包含一个动作(永远是威胁记录到日志和发送一报警消息本的元素本的元素 协议和可选的IP 地址和目的 IP 地址,以及。规则选段包的 内容,大多数用检测数包中的威胁元素
·特征的所有元素于要执行威胁的检测和动作(威胁记录日志发送警报)都必须
·单一的特征中的元素成了一个逻辑。特征列表中的所有特征的集合成了 一个逻辑或表
3 用户定义的特征中的各种元素图示。
3: 用户自定义的特征举例
目的口关字和值 ( 可选 )
协议字和值 ( 必须 )
的内容
FortinetIDS (FRI) 指示
可选关键字
可选值
记录日志动字和值 ( 必须 )
程操作用关字和值 ( 可选 )
内容结束
16
美国飞塔有限公司
创建用户定义的特征 常规配置步骤

用户定义特征提示

·每个特征必须FRI Fortinet IDS 指示符开
·特征的内容 FRI 分)必须括号括
·一个单独连词符 “-”引入一个关字字符(例如,-p),一个双连词符 “--” 入一个关键词称(例如--log-prefix)
·用于特征的元素 字和值的组
·用于可以在任何组必须号分的可选
·符串内包的字符串可以包含
·号“*”可以配任何字,任意多个字。问号匹一字。一个惊叹反转配的结果 (匹指定值的所有值
·每个特征少要包元素协议和日志动。其他的所有元素是可选的。例 FRI (-p < 协议 _ 字符串 > -j LOG --log-prefix “ 前缀 _ 字符串 ”)
·通讯是从到目的地址非您在规段包含--bi-dir

常规配置步骤

按如下步骤配置用户定义的特征:
1 使用在本指南中描述的语法创建一个包含用户定义的特征的文本文件,请 17
页 “ 用户定义特征的语法
2 将用户定义特征文本文件从管理上载到 FortiGate 设备。请第 24 页 “
管理用户定义的特征

用户定义特征的语法

本节用于创建用户定义特征的语法。本节分为以下
·语法约定用于本的语法约定。
·完整的特征语法一个完整的不任何述的语法例子。
·特征语法的细节了每个语法元素说明

语法约定

本指南使用以下约定来描述特征语法:
·尖括号 <> 表示可字或值。
·竖线波型括号 {|} 隔二选 一的、互斥的关字或值。
·方括号 [] 表示关字或值是可选的。

完整的特征语法

FortiGate NIDS 指南
以下语法包含用于创建用户定义特征的所有可用的元素
17
用户定义特征的语法 创建用户定义的特征
FRI
(
-p < 协议 _ 符串 > [-s < -ip_ 围 / 网络>] [-d < 目的 -ip_ 围 / 网络>] [--sport < 始 - 口 _ 整数 : 结束 - 口 _ 整数 >] [--dport < 始 - 口 _ 整数 : 结束 - 口 _ 整数 >] [--bi-dir]
-j LOG --log-prefix “ 前缀 _ 符串 ” [--rev < 版本 _ 整数 >] [--reference < 系统 _ 符串 ><id_ 符串 >] [--content “ 内容 _ 符串 ”] [--offset < 偏移量 _ 整数 >] [--depth < 深度 _ 整数 >] [--uri “URI_ 符串 ”] [--nc --regex] [--sameip] [--fragment < 特值 _ 字符串 > [-ttl <ttl_ 整数 >] [-tos <tos_ 整数 > -id <id_ 整数 >] [-ip-option <ipoption_ 符串 >] [-dsize [<>]< 小 _ 整数 >[<>< 小 _ 整数 >]] [--tcp-flags < 标志 _ 符串 >[,< _ 符串 >]] [--tcp-seq < 次序 _ 整数 >] [--tcp-ack < 答 _ 整数 >] [--tcp-session < 会话 _ 整数 >]
[--rpc < 应用程序 _ 整数 > [,< 进程 _ 整数 >|*] [,< 版本 _ 整数 >|*]]
[--icmp-type < 类型 _ 整数 >] [--icmp-code < 码 _ 整数 > --icmp-id <id_ 整数 >] [--icmp-seq <seq_ 整数 >] )
18
美国飞塔有限公司
创建用户定义的特征 用户定义特征的语法

特征语法的细节

以下包含用于创建用户定义特征的全部的可用的元素说明分为
两部分:规头元素和规项元素
头元素
了基本的元素 (协议和可选的IP 地址和目的 IP 地址,规
包含一个动元素,它定义了如Fortinet 一个配特征
的数包时的动
·第 20 页 表 5 了基元素的语法。协议元素必须的。
·第 21 页 表 6 元素的语法。Fortinet 规执行一个动
威胁记录到日志发送一报警邮件消息。了启用个动必须指 定一个消息前缀您还可以选择是添加一个规则修订版本和一个外部攻击分类 系统 ID 的引用。
项元素
项元素决Fortinet 要检查数包的判断
在攻击。这些元素是可选的任何规都不是必须这些元素这些元素包的检测的更灵活制功能。
·第 21 7 内容模版元素的语法。它指定Fortinet 规析器何在 文本、制数者中查找基于内容模配内容。可以使用内容模项控制以下内容:
·对包的特定进行匹配的偏移量和深度值的限制
·URI 板匹
·区分大
·通符匹
·源地址和目的地址
· 22 页 表 8 了 IP 元素的语法。它指定了 Fortinet 则分析器如何查找匹配 IP 和有特征。
·第 23 页 表 9 了 TCP 元素的语法。它指定了 Fortinet 何查找匹 配的 TCP 标志、列和会话信息。
·第 23 页 表 10 了 ICMP 元素的语法。它 指定了 Fortinet 何查找 匹配的 ICMP 信息。
FortiGate NIDS 指南
19
用户定义特征的语法 创建用户定义的特征
5: 协议源地址和目的地址 (
说明
-p < 协议 _ 符串 >
-s <-ip_围 / 码 >
-d < 目的 -ip_ / 网络码 >
--sport <始- _整数:结束-_ >
--dport <始- _整数:结束-_ >
--bi-dir
是一个必须目。配指定的由号分协议协议,例
-p tcp,udp,icmp,ip
据源地址地址围匹配数包。
IP 地址可以是单独的一个地址或者一个地址。例
192.168.1.1 匹配单独IP 地址 , 192.168.1.0匹配 192.168.1.0 子网中的地址 , 而 192.168.1.1-192.168.1.10地址内的地址
• 网络可以是/255.xxx.xxx.xxx 格式或者 CIDR 格式/yyyy 是网络的网络一的数字,例如 192.168.1.1/32
使用 ! 可以反转配。例-s !192.22.33.0/24配所有源地址 不在 192.22.33.0 子网的数包。果 -s 没有使用,默认情况 下不配任何源地址
据目的地址地址围匹配数包。
IP 地址可以是单独的一个地址或者一个地址。例
192.168.1.1 匹配单独IP 地址 , 192.168.1.0匹配 192.168.1.0 子网中的地址 , 而 192.168.1.1-192.168.1.10地址内的地址
• 网络可以是/255.xxx.xxx.xxx 格式或者 CIDR 格式/yyyy 是网络的网络一的数字,例如 192.168.1.1/32
使用 ! 可以反转配。例-s !192.22.33.0/24配所有源地址 不在 192.22.33.0 子网的数包。果 -s 没有使用,默认情况 下不配任何源地址
据源端口或口范围匹TCP UDP 包。可以是单独 一个口或者一个口范。例22 22 口,22:80 2280 口。在口范设置中,果省略第一个口,则假为端0。例--sport :80 可以配从 0 80 口。果省略了最
一个口,则假为端口 65535,例 --sport 22: 配从 22 65535 口。
使用 ! 可以反转匹配。例--sport !22 配所有除了 22 的所有口,--sport!22:80 可以22 80 的任何口。
没有使用,默认情况配任何源地址目的口或口范围匹TCP UDP 包。可以是单独
的一个口或者一个口范。例22 22 口,22:80 22 80 口。在口范设置中,果省略第一个口,则假
为端0。例--sport :80 可以配从 0 80 口。果省略 了最后一个口,则假为端65535,例 --sport 22: 配从 22
65535 口。 使用 ! 可以反转配。例--sport !22 配所有22 的所有
口,--sport!22:80 可以配除22 80 的任何口。没有使用,默认情况配任何源地址
配双向地址通讯。使用一选项可以析会话 两侧,例telnet 或者 pop3 会话
20
美国飞塔有限公司
创建用户定义的特征 用户定义特征的语法
6: 日志动元素
说明
-j LOG
--log-prefix “prefix_str”
--rev < 版本 _ 整数 > 在规识别这修订版本。规修订版本
--reference < 系统 _ 符串 ><id_ 符串 >
7: 内容元素 (项)
为这IDS 日志中添加消息。元素必须现在随着协议和目的地址定义之
,在日志前缀符串。例
-p udp --dport 10080:10081 -j LOG “INPUT packets”
关于一步的细信息请
指南
中的 IDS 日志消息。
为这应的 NIDS 报警邮件消息和 IDS 日志消息添 加一个前缀
ID 可以替换和更新特征和有关特征的具体说
包含一个在外部攻击识别系统中的规ID 的引用。例在这中引用在 www.securityfocus.com/bid/
Bugtraq
FortiGate 日志配置和参考
说明
--content “ 内容 _ 字符串 ” 在数包的有索完的内容。内容
--offset < 偏移量 _ 整数 > 使用以字节为单的数字指定使用内容模板对包的有
--depth < 深度 _ 整数 > 指定进行板匹配的最大深度一选限制板匹
--uri “URI_ 符串 ” 在数包的资源指示 URI中使用内容模索。
--nc
--regex
--sameip
符串可以包含混合制数据(以字节编码形式出 现,符“|”围来的内容)和字符。例如:
--content “|90C8 C0FF FFFF|/bin/sh”
不要在内容字符串中使用以下字 ; \ “ ” 使用惊叹号
可以配不包含内容字符串中指定的内容的数包。
!"GET" 配所有不包含 GET 单词的数包。 使用 --nc 可以设置考虑使用了通
--regex
内容进行匹配时,索启始位置从数包的有内容的
点的偏移量。例3 可以从第四个字节处用 内容模板进行匹配。
功能使用定的内容字符串进行索的范。例20 可以将索限制在 20 个字节之内。
一选在请URI 进行搜索,避了来自服 务器数文件的虚假警报。
使用 --nc 可以设置考虑使用了通 需要--regex
使用惊叹号“”可以反转匹配,使得 Fortinet 配任何不包含指定内容的 URI 符串
配功能处理内容字符串/ URI 符串的时 大写和写字区别
在内容字符串/ URI 符串中使用一个板进 行匹配。使用--regexFortinet 析器使号“*”匹配内容字符串或 URI 字符串中的任数量 的任何字,使用问号“”匹配任何单一的字符。
/ 目的 IP 地址相同的数包。在规消息前缀 一选可以写成 “SRC IP = DST IP”
FortiGate NIDS 指南
21
用户定义特征的语法 创建用户定义的特征
表 8: IP 元素 ( 项 )
说明
--fragment < 特值 _ 字符串 > 匹IP 中的段和留位
-ttl <ttl_ 整数 > IP 中的有效期 (TTL的值。一选用于检测企
-tos <tos_ 整数 > IP 中的服务类型 (TOS
-id <id_ 整数 > IP 中的ID 的值。有客工
-ip-option <ip 项 _ 符串 > 匹IP 项域
-dsize [<|>]< 小 _ 整数 > [<|>]< _ 整数 >
•M:
•R:留位
•D: 隔位
值字符串中列一个或位 (不使用逗号)。例--fragment MR 段和留位
使用惊叹号“可以配没有置。例-- fragment !R 配没有置留位
图使用 traceroute 的数包。
位;很多客常使用 31337 个值。
rr: 记录
eol: 列表结尾
•nop:
ts: 标记
sec: IP
lsrr: 松散
ssrr: 格源
satid: 流识别符
-ip-option lsrr IP 项域设置lsrr 的数包。松散格源由选互联网应用程序不常
用,所以 NIDS 经常监这些上的攻击。个规 指定一个选
配有尺寸合某一数值或在一数值范内的
IP 包。使用号来表示范。例如果个服务有一个指定范缓冲区,可以通过设定个选监视缓冲区溢出攻击。一选试缓冲区溢出速 度比内容检查要
和小号操作符是可选的。例dsize >400<500所有的有荷部400 500 字节之的数
包。 对流重建的数包的结果永远假。
22
美国飞塔有限公司
创建用户定义的特征 用户定义特征的语法
9: TCP 元素
说明
--tcp-flags <标志 _ 符串 >[,< _ 符串 >]
--tcp-seq < 列 _ 整数 > TCP 的值。
--tcp-ack < 答 _ 整数 > TCP 答域的值。用检测 NMAP TCP ping,
--rpc <应用程序_整数> [,<进程_ >|*] [,< 版本 _ 整数 >|*]
配数包中的 TCP 标志设置。
F: FIN
S: SYN
R: RST
P: PSH
A: ACK
U: URG)
2: reserved bit 2
1: reserved bit 1
0: no TCP flags set
可以使用以下逻辑运算符
+ 配指定的标志和其他任标志。
* 配任一个指定的标志。
• ! 在指定标志没有置的时候才匹配。
--tcp-flags SA SYNACK标志置
配。
--tcp-flags A+ ACK 和任何其他标志置
配。
--tcp-flags !SA S 和 A 标志没有置
配。
可以指定一个可选标志,以指定规检测会话包,如直接拥指示 (ECN) 包 ( 留位的第 一、二比特置SYN 。例如希望SYN 包,不管它的留位的值是少,可以
Fortinet 器检查 s,12 标志的值。
它将此域设置发送一个TCP ACK 标志的数 包以判断网络中的机是动中。
检查程过程RPC配应用程序
程序的版本。可以时使用过程和版本。例rpc 100000,*,3
FortiGate NIDS 指南
表 10: ICMP 元素 ( 项 )
说明
--icmp-type < 类型 _ 整数 > ICMP 类型的值。RFC792 指定数值,有
弃了可以范的值以检测有DoS 和淹没攻击
使用的法范的值。
--icmp-code < 编码 _ 整数 > ICMP 编码域的值,类似类型域的值。可以设置
一个范的值以检测可疑的通讯
--icmp-id <id_ 整数 > ICMP ECHO 包的 ICMP ID,有隐蔽程序
通讯时使用ICMP
--icmp-seq <seq_ 整数 > ICMP ECHO 包中的 ICMP 的值。有隐蔽
程序通讯时使用ICMP
23
管理用户定义的特征 创建用户定义的特征

管理用户定义的特征

创建或完用户定义特征列表可以将它们上载到 FortiGate 设备。用户定
义特征列表的功能类似NIDS 中的一个特征组。其他任何一个特征组一样,它可 以启用和禁用。
您还可以从 FortiGate 设备中下载用户定义特征列表。在特征列表中辑或添加了
的特征之可以将它上载到 FortiGate 设备中。

上载用户定义特征列表

以下步骤将用户定义特征列表从管理上载到 FortiGate 设备:
1 NIDS > 检测 > 用户定义特征列表。 2 击上载 3 入用户定义特征列表的文本文件的和文件,或者浏览以定文件。 4 定以将用户定义特征列表的文本文件上载到 FortiGate 设备。 5 示上载的用户定义特征列表。
4: 用户定义特征列表举例
24
使用 CLI:
execute restore nidsuserdefsig < 名称 _ 字符串 > <tftp_ip>

下载用户定义特征列表

以下步骤下载用户定义特征列表:
1 NIDS > 检测 > 用户定义特征列表。 2 击下载
FortiGate 将用户定义特征列表下载到管理脑并保文本文件。可以指定下载
的文本文件置。
3 辑完特征列表可以将它上载,请 24 管理用户定义的特
使用 CLI:
execute backup nidsuserdefsig < 名称 _ 字符串 > <tftp_ip>
美国飞塔有限公司

预防攻击

FortiGate NIDS 指南 版本 2.50 MR2
NIDS 预防模块可以为您抵御破坏性的网络操作的各种常TCPICMPUDP
IP 攻击。可以启用NIDS 预防模块以使用一组默认的临界值预防默认设置 中的攻击。您还可以单独启用和设置个攻击特征的临界值。
类似NIDS 检测模块,NIDS 预防模块使用特征检测攻击,并且还生成可以记
录到日志和作为电子邮件发送的攻击消息。然而NIDS 预防模块和 NIDS 检测模 块行方式十分相似,它们使用各自的特征并生成各自的消息。
FortiGate 设备接到一个新版本的件的时,它更新 NIDS 预防模块的特征
列表。不能从 Fortinet 下载新特征或者由用户自创建。
了如下内容:
·一般配置步骤
·启用 NIDS 攻击预防
·启用 NIDS 预防特征
·配置特征临界值
·配置 syn 淹没特征值
·举例:NIDS 配置
FortiGate NIDS 指南
25
一般配置步骤 预防攻击

一般配置步骤

少要启动 NIDS 预防模块。然后您可以定启用和禁用特征。可以
特征的临界值。
按如下步骤配置 FortiGate 设备预防网络攻击的功能:
1 启用 NIDS 预防模块。
默认情况个模块是禁用的,请 26 启用 NIDS 攻击预防
2 启用希望来保的网络,抵御特定类型的攻击的 NIDS 特征。
些特征在默认配置中已经启用。其它的必须手工选定。请第 27
NIDS 预防特征
3 可以选择是配置特征的临界值设置。
个临界值时,NIDS 预防模块将阻塞您的网络上的对应的攻击。请见 31
页 “ 配置特征临界值
4 可以选择配置淹没特征的临界值。
临界值之,淹没特征有其他可以配置的值设置,请第 32 配置
syn 淹没特征值
:在 FortiGate 设备新启动NIDS 预防模块和淹没预防功能自动禁用。

启用 NIDS 攻击预防

新启动一个 FortiGate 设备时,必须手工启动它。
按如下步骤启动 NIDS 攻击预防:
1 NIDS > 预防。 2 的启用。
使用 CLI:
NIDS 预防模块在默认情况下是禁用的。当您配置一个新的 FortiGate 设备,或者
set nids prevention status enable
26
美国飞塔有限公司
预防攻击 启用 NIDS 预防特征

启用 NIDS 预防特征

NIDS 预防模块包来保的网络攻击的一特征。有特征在默认情况经启用,其它的必须手工启用。关于 NIDS 预防特征及其说明的完整列表请
28 页 “ NIDS 预防特征说明
了启用和禁用特征之您还可以改它们。些特征,您还可以改他们 的临界值。请第 31 页 “ 配置特征临界值” 。于 SYN 淹没攻击预防,可以 改临界值,长度时设置。请第 32 配置 syn 淹没特征值” 。

启用 NIDS 预防特征

1 NIDS > 预防。 2 选中要启用的特征旁边的启用列的 3 全部选中 可以启用 NIDS 预防特征列 表中的全部特征。 4 全部取消 可以禁用 NIDS 预防特征列表中的全部特征。 5 击设置为默认值可启用默认的 NIDS 预防特征将临界值恢复默认值。
5: NIDS 预防特征列表举例
FortiGate NIDS 指南
:攻击消息可以记录到攻击日志和邮给系统管理。请第 37 页 “ 管理 NIDS 消
使用 CLI
set nids prevention < 协议 _ 符串 > < 攻击 _ 字符串 > status {enable | disable}
27
启用 NIDS 预防特征 预防攻击
set nids prevention reset

NIDS 预防特征说明

本节列出了 NIDS 预防特征和说明它们所能预防的攻击类型。它括了一个关系统预防攻击的动上的要。
NIDS 预防特征检测 TCP, UDP, ICMP IP 协议的数包中的
特征在个表中列
· 28 页 表 11 出了基TCP 的攻击的预防特征。
· 29 页 表 12 出了基UDP 的攻击的预防特征
· 29 页 表 13 出了基ICMP 的攻击的预防特征
· 30 页 表 14 出了基IP 的攻击的预防特征
11: TCP NIDS 预防特征
特征名称 特征 攻击 FortiGate NIDS 预防
TCP SYN 淹没
TCP 扫描 portscan 攻击者目标的不口发送数
TCP SYN/Frag synfrag 攻击者在一个包的段中发送 SYN
TCP SYNFIN synfin 攻击者在一个数包中时设置
TCP 标志 noflag 也称做空扫描攻击。攻击者发送将
TCP FIN/NOACK
TCP 会话 srcsession 攻击者建量的会话,增目标的
TCP Winnuke winnuke 攻击者WIDOWS 操作系统
synflood 攻击者发送量的源地址
TCP SYN 包。目标机的缓冲区被
满并且止对后来的服务请作出响 应。
包,以找出目标的口。
目标机接收这个包组。 目标机接到更SYN 段时 它的缓冲区被满并响应服务请
SYN FIN 标志,判断目标操作系统 的指为随后的攻击做准备。
标志都置的数包,于是目标 响应一个 TCP RST 复位包,并给 出源地址口。
finnoack 也称扫描攻击。攻击者发送一个将
FIN 标志设置为无TCP 包。许
多操作系统响应一个源地 址口的 RST 包。
CPU 使用
(通常是 NETBIOS 139 的目标
发送界的数据(OOB),从 使系统崩溃
当每SYN 包数量过 了临界值的时
FortiGate 设备将始代TCP 会话 FortiGate 代理在 时时法接 它的 SYN+ACK 消息的响 应,它将阻塞这会话
SYN 是发送到目的 地址全部口上的时个临界值四于它发送到一个口的
。 攻击者将FortiGate
备所阻塞FortiGate 设备将丢弃这
个数包。
FortiGate 设备将丢弃这 个数包。
FortiGate 设备将丢弃这 个数包。
FortiGate 设备将丢弃这 个数包。
FortiGate 设备将丢弃这 个数包。
FortiGate 设备将丢弃这 个数包。
28
美国飞塔有限公司
预防攻击 启用 NIDS 预防特征
表 11: TCP NIDS 预防特征 ( 续 )
特征名称 特征 攻击 FortiGate NIDS 预防
TCP Land land 攻击者发送以目标的 IP 地址作为源
地址TCP SYN 包,导致目标
循环
FTP 溢出 ftpovfl 攻击者发送一个带478 字节的
数的命令导致目标机的缓冲区
溢出,从使攻击者可以获权访问特 定的命令 (DELEMDTDXMKDRNRF SIZE)。然后攻击者在目标 机上入一个本以获得 ROOT 用户 权限。
SMTP 溢出 smtpovfl 很多 SMTP 服务器都可能产生缓冲区
溢出并且SMTP 命令可能威胁
到服务器的性能或者导致目标崩 溃
TCP URL url 攻击者一个单独URL 地址发送
get 包,增目标机的 CPU 使用
TCP POP3 出pop3ovfl 攻击者发送一个长度超258 字节的
用户导致目标崩溃
FortiGate 设备将丢弃这 个数包。
FortiGate 设备将丢弃复位接。 击的频率超过了临界值,
FortiGate 设备将阻塞 击者。
FortiGate 设备将丢弃复位接。 击的频率超过了临界值,
FortiGate 阻塞攻击 者。
FortiGate 设备将丢弃复位接。 击的频率超过了临界值,
FortiGate 阻塞攻击 者。
FortiGate 设备将丢弃复位接。 击的频率超过了临界值,
FortiGate 阻塞攻击 者。
12: UDP NIDS 预防特征
特征名称 特征 攻击 FortiGate NIDS 预防
UDP 淹没 udpflood 攻击者目标机的任意端口发送
UDP 包。口没有应用
程序,目标机将发送一个目不可ICMP 包到源地址是目的网络的广地址。攻击 者通过发送类似的数包增目标 的 CPU 使用
UDP Land udpland 类似于 TCP Land 攻击。攻击者发送
以目标的 IP 地址作为源地址UDP 包,导致目标循环
UDP 话udpsrcsession攻击者目标机发送量的 UDP
会话尽系统资源
13: ICMP NIDS 预防特征
特征名称 特征 攻击 FortiGate NIDS 预防
ICMP 淹没 icmpflood 攻击者通常使用一攻击手段结合
拒绝服务 DDoS攻击ISP 。攻击者先作为 个管理者获得机的制权, 然后这些作为理,它们 一目的的脚本。攻击者发送ICMP 响应请,使得目标 图发送响应的时候系统资 源载。
FortiGate 阻塞攻击 者。
FortiGate 阻塞攻击 者。
FortiGate 设备将丢弃包。
FortiGate 设备将阻塞 击者。
FortiGate NIDS 指南
29
启用 NIDS 预防特征 预防攻击
表 13: ICMP NIDS 预防特征 ( 续 )
特征名称 特征 攻击 FortiGate NIDS 预防
ICMP 片段 icmpfrag ICMP 少有被分的。攻击者使
弱点来获取访问权或者进行 拒绝服务 DoS攻击。
ICMP Death icmpdeath 攻击者发送65535 字节的 ICMP
包,导致目标崩溃机或者 新启动。
大型 ICMP icmplarge 攻击者通过个代理处发送
ICMP ISP 或网络服务器
ICMP Sweep icmpsweep 攻击者网络中的不机发送
echo 包。攻击者使用 echo
来了解目标网络的或者探 测动的 IP 地址
ICMP 超量话icmpsrcsession对机,攻击者发送
界值的 ICMP 包。
ICMP Land icmpland 类似于 TCP Land 攻击。攻击者发送
使用目标机的 IP 地址作为源 IP
地址ICMP 包,导致目标 循环
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将阻塞 击者。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
14: IP NIDS 预防特征
特征名称 特征 攻击 FortiGate NIDS 预防
IP 记录iprr 来描目标网络的拓扑。攻击
IP 格源
由选
IP 松散源记由选
IP ipstream 类似于一个访问攻击。攻击者使用
IP ipsecurity 攻击者使用 IP 使得机发
IP 标记iptimestamp 攻击者使用 IP 项 4 标记
IP ipunknoption 些操作系统和防火墙易
IP 协议 ipunknproto IP 协议号 101 和之上的号码
ipssrr 来对IP 地址认证处理。
iplsrr 供路由信息。攻击者使用 IP
者使用 IP 项 7 记录)来
数据通过一个网络时经
攻击者使用 IP 9 包传通过地址
3 松散路由使得数包可以使 用任何中网关由的下一个
IP 地址
IP 项 8 SATNET 流识别符),它
使得不支持的 16 SATNET 流识 别符可以通过一个网络。
信息。攻击者可以使用这些信 息进行访问攻击。
一个数包到达目的的时。攻击者通过个信息和
记录信息可以描绘网络的拓扑
IP 的攻击,它能导致目标 崩溃
的。这些协议号的数包可能 着网络攻击。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
30
美国飞塔有限公司
预防攻击 配置特征临界值
表 14: IP NIDS 预防特征 ( 续 )
特征名称 特征 攻击 FortiGate NIDS 预防
IP 欺骗 ipspoofing 攻击者使用使用一个受信任的 IP
目的机发送数包,从而收
目标机的信任关信息,使得目标法提服务,或者接攻击目
机。
IP ipfrag IP 段将 IP MTU 的数
包。因为只有第一个数包带有报由器不剩余的数包。一个数有一个量的偏移
第一个数常值 可能是攻击。
IP Land ipland 类似于 TCP Land 攻击。攻击者发送
使用目标机的 IP 地址作为源地址IP 包,使目标循环
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。
FortiGate 设备将丢弃包。

配置特征临界值

可以15 NIDS 预防特征列表的临界值。临界值攻击的类型 定。于淹没攻击,临界值是到的数包的最大数量。溢出攻击,临界值 是命令缓冲区大型 ICMP 攻击,临界值是许传ICMP 包的限 制。
,将 ICMP 淹没特征的临界值设置500 一个源地址500
echo ,发送到响应 echo 系统的数量是 501 或者更 FortiGate 设备将阻塞攻击者以防止系统行遭破坏
您输入的临界值是或者出了允许的范FortiGate 设备将使用默认值。
15: 有临界值的 NIDS 预防特征
特征 临界值 默认临界值 临界值 最大临界值
synflood 到的 SYN 段的最大数量 200 30 3000 portscan 到的 SYN 段的最大数量 128 10 256 srcsession 源地址TCP 会话数。2048 128 10240
ftpovfl 一个 FTP 命令最大缓冲区大256 128 1024
smtpovfl 一个 SMTP 命令最大缓冲区大512 128 1024
pop3ovfl 一个 POP3 命令最大缓冲区大 512 128 1024 udpflood 源地址的或者发送到
udpsrcsession来源地址的 UDP 会话数。1024 512 102400
icmpflood 源地址的或者发送到
icmpsrcsess ion
一目的地址UDP 包的最大数量。
一目的地址UDP 包的最大数量。
源地址最大 ICMP 会话数。
1024 512 102400
256 128 102400
128 64 2048
FortiGate NIDS 指南
31
配置 syn 淹没特征值 预防攻击
表 15: 有临界值的 NIDS 预防特征 ( 续 )
特征 临界值 默认临界值 临界值 最大临界值
icmpsweep 源地址ICMP 包的最大
数量。
icmplarge 最大 ICMP 包大字节 32000 1024 64000
按照如操作设置预防特征临界值:
1 NIDS > 预防。 2 要设置临界值的特征旁边
有临界值的特征没有 图标。
3 入临界值。 4 击启用 5 定。
6: 特征配置举例
32 16 2048

配置 syn 淹没特征值

32
使用 CLI
set nids prevention <协议_符串> <攻击_字符串> status {enable | disable}
set nids prevention <协议 _符串> <攻击_字符串 > threshold <临界
_ 整数 >
SYN 淹没攻击中,攻击者目标发送无效源地址 TCP 接请。目标机 响应这些是因为源地址无效的,所以作出永远机接
到。因,目标机的接列表快就会后来接将拒绝。
为了SYN 淹没攻击,FortiGate 设备监视它接到的SYN 标志的请接的数包的数量。源地址来的数包的数量超过了临界值的时
FortiGate 设备始启动理功能,它目标机响应连接请FortiGate 设 备在到达超时时后还没有源地址的响应,于是它知道一个攻击 者,并且阻塞这接。
美国飞塔有限公司
预防攻击 举例:NIDS 配置
说明 最大 默认值 临界值 发送到一个目的机或者服务器的 SYN 的数
量。SYN 是发送到目的机的全部口的, 不是仅仅发送到一个口,临界值将是的四
长度 FortiGate 设备制的接的最大数量。
FortiGate 丢弃理请
持一个接处于状态的以为单的时间长
个值限制接表的
1 NIDS > 预防。 2 对 syn 淹没特征 3 入临界值。 4 长度 5 时时 6 击启用
或者可以启用预防特征列表的 syn 淹没启用
7 定。
使用 CLI
set nids prevention tcp synflood status enable
set nids prevention tcp synflood threshold < 临界值 _ 整数 >
30 3000 200
10 10240 1024
36015

举例:NIDS 配置

预防 TCP UDP 攻击

1 启用外部接口的 NIDS。 2 配置 TCP 和 UDP 的校验和检验。 3 启用 NIDS 预防模块。
4 将 NIDS 配置监视防火墙策略的和监视的接口接通讯 5 将 NIDS 配置记录个攻击的细消息。
set nids prevention tcp synflood timeout < 时 _ 整数 >
set nids prevention tcp synflood queue_size <
A 公司刚刚一个 TCP SYN 淹没攻击,并且被通其他公司也受了类TCP UDP 攻击。管理于是要预防这些类型的攻击网络破坏
长度_整数
一般配置步骤
·启用配置希望 NIDS 预防模块要预防的攻击应的 TCP UDP 特征。
·syn 淹没特征的默认临界值,持其他 特征的临界值。
>
FortiGate NIDS 指南
33
举例:NIDS 配置 预防攻击
于 Web 的管理程序配置步骤
1 NIDS > 检测 > 一般。
·监视的接口:外部
·校验和检验:TCPUDP
·单击应用。
1 NIDS > 预防。
·单的启用预防。
2 SYN 淹没特征的
·临界值 : 50 (SYN/ 秒 )
·长度 : 500 ( 理的接 )
·: 30 ( 秒 )
·单击启用
·单定。
3 击 synfin 特征的启用 4 以下特征重复步骤 3:标志 , fin 答 , udp 淹没。 5 入 日志和报> 日志设置。
·对您经设置的日志击配置策略
·选择攻击日志。
·选择攻击预防。
·单定。
CLI 配置步骤
1 启用外部接口的 NIDS。
set nids detection interface external status enable
2 启用对 TCP 和 UDP 的校验和检验。
set nids detection checksum tcp,udp
3 启用 NIDS 预防模块。
set nids prevention status enable
4 配置 SYN 淹没特征。
set nids prevention tcp synflood status enable
set nids prevention tcp synflood threshold 50
set nids prevention tcp synflood queue_size 500
set nids prevention tcp synflood timeout 30
5 启用以下特征:标志,fin ,UDP 淹没。
set nids prevention tcp noflag status enable
set nids prevention tcp finnoack status enable
set nids prevention udp udpflood status enable
6 将攻击消息记录到攻击日志。
34
美国飞塔有限公司
预防攻击 举例:NIDS 配置
set log policy destination {syslog | webtrends | local | memory | console} ids status enable category prevention
FortiGate NIDS 指南
35
举例:NIDS 配置 预防攻击
36
美国飞塔有限公司

管理 NIDS 消息

NIDS 检测或者预防一个攻击时,它生成一个攻击消息 。可以将系统配置个消息添加到攻击日志,并且最多可以地址发送一报警邮件。系统管理 可以使用个信息及时地对威胁作出反应。
:在情况下,NIDS 生成多NIDS 响应消息。例果同对端扫描 启用检测特征和预防特征,当出现一个扫描攻击时,将生成个消息。可以消息的 各自的 ID 编号识别它们。
本节了如下内容:
·记录攻击消息日志
·配置 FortiGate 设备发送报警邮件
·启用 FortiGate 设备发送入侵报警邮件功能
·定制报警邮件消息
·减少 NIDS 攻击日志和邮件消息的数量
FortiGate NIDS 指南 版本 2.50 MR2

记录攻击消息日志

1 入日志和报> 日志设置。 2 对您经设置的日志击配置策略 3 选择攻击日志。 4 选择攻击检测和攻击预防。 5 定。
:关于日志消息的内容和格式细信息,以及日志记录的置,请
使用 CLI
memory | console} ids status {enable | disable} category {detection | prevention | none}
按照如下步骤将攻击消息记录到攻击日志。
日志配置和参考
set log policy destination {syslog | webtrends | local |
FortiGate NIDS 指南
37
配置 FortiGate 设备发送报警邮件 管理 NIDS 消息

配置 FortiGate 设备发送报警邮件

以下操作用于配置 FortiGate 设备发送报警邮件的设置。这些设置包SMTP 服务 器和用户,以及最多可以设置个接邮件的系统管理的邮件地址
按照如下步骤配置 FortiGate 设备发送报警邮件:
1 系统 > 网络 >DNS 2 没有添加 DNS 设置,添加您的 ISP 提主 DNS 服务器和助 DNS 服务器的
地址。 因FortiGate 设备使用 SMTP 服务器名连接到个邮件服务器,所以它必须要从
置的 DNS 服务器
3 击应用。 4 入 日志和报> 报警邮件 > 配置。 5 所使用的 SMTP 服务器启用认证 6 在 SMTP 服务器入 FortiGate 设备用发送电子邮件的 SMTP 服务器
SMTP 服务器可以是接到 FortiGate 设备的任何网络中的服务器。
7 在 SMTP 用户按照如格式输入一个有的邮件地址:user@domain.com
地址出现在报警邮件的表
8 果 SMTP 服务器要话则添加 9 在电子邮件发送到最多可以个目的邮件地址
是 FortiGate 设备将报警邮件实发送到的邮件地址
10 击应用以电子邮件设置。
使用 CLI
set alertemail configuration auth {enable | disable} server <smtp-服务器 _字 符串 > user <smtp-用户名_符串 > passwd <码_符串> mailto {<电子邮件地址 1_符串> [<电子邮件地址2_符串> [<电子邮件地址3_
符串 >]] | none}

启用 FortiGate 设备发送入侵报警邮件功能

以下操作NIDS 检测或者预防一入侵时,FortiGate 设备将发送一 报警邮件。
按如下步骤启用报警邮件:
1 入 日志和报> 报警邮件 > 分类 2 击启用入侵行为的报警邮件。
NIDS 检测或者预防一入侵时,FortiGate 设备将发送一报警邮件以系 统管理
3 单击应用。
使用 CLI
set alertemail setting option <intrusions | none>
38
美国飞塔有限公司
管理 NIDS 消息 定制报警邮件消息

定制报警邮件消息

可以定制NIDS 检测或者预防入侵时发送的报警邮件消息。
按照如下步骤定制报警邮件消息:
1 系统 > 配置 > 替换消息。
2 邮件消息
服务 名称 默认消息
报警邮件 消息 是测报警邮件文。 报警邮件 病毒消息 检测到病毒 / 蠕虫
协议IP
目的 IP: 发件人地址件人地址
报警邮件 入侵消息 测到下入侵:
报警邮件 件消息 检测到火墙事件:
报警邮件 硬盘满消息 日志硬盘
可以据需改这些消息。消息可以是文本或者包含 HTML 编码
3 定以

减少 NIDS 攻击日志和邮件消息的数量

入侵企图可能生成大量的攻击消息。为了帮助您区分的警报和虚假警报,
FortiGate 设备提供了减少用的消息的数量的法。FortiGate 设备可以根据消息频率自动除重复的消息。您认为您仍旧了过多用的消息,可以
手工禁用个特征组生成消息。

自动减少消息

NIDS 生成的攻击日志和报警邮件的内容包括 ID 编号生成这消息的攻击的消息中的攻击 ID 编号名称对应于 NIDS 检测模块特征组成员列表中的 ID 编 号和规名称
FortiGate 设备使用一个报警邮件处理报警邮件,个新的报警邮件 的邮件新的消息不是重复的,FortiGate 设备将发送消 息,将它的一个列。个新消息是一条重复消息,FortiGate 设备将 消息,列中同的消息的内数器上一。
FortiGate NIDS 指南
FortiGate 设备将重复的电子邮件报警消息60 条重复消息在
在的时间超过了 60 FortiGate 设备将消息本数量。 本数量于一,FortiGate 设备将发送一个汇总邮件,在标邮件重复x
,在文中说明以下邮件在的 y 重复x 包含原始消息。
39
减少 NIDS 攻击日志和邮件消息的数量 管理 NIDS 消息
手工减少消息
果希望减少 NIDS 生成的消息的数量,可以查看攻击日志消息和报警邮件的内 容。量的消息是无效的警报 您并没有服务器,了大 量的网服务器攻击警报),可以禁用应的攻击类型的特征组。使用攻击日志或者 报警邮件中的 ID 编号可以在特征组列 表中应的攻击。请 第 12 页 “
择一个特征组
40
美国飞塔有限公司
术语表
内容指南 版本 2.50 MR2
接: 两台、应用程序之、进程之或者其
如此理上或逻辑上的,或者有的
DMZ, 事区供互联网服务而无须网络的未经权的访问。情况下,DMZ
包含可以访问互联网的服务器,例服务器 (HTTP) ,文件传服务器 FTP邮件服务器
SMTP名解服务器 DNS
DMZ 接口: FortiGate 接到 DMZ 网络的接口。
DNS名解服务: 用字表示的节点名换为 IP
地址的服务。
网:一个 (LAN),使用线型拓扑
,支持 10Mbps 的传。以网是广泛应用的网标之一。新版本的以被称100 Base-T (
快速网 ),支持 100 Mbps 的数而最 新的标千兆网,支持1 (1,000
) 的数
外部接口: FortiGate 接到互联网的网络接口。
FTP,文件传输协议 一个 TCP/IP 协议和应用程序,用 于上载或下载文件。
网关: 它包括相应的件和件,用来连接不的网 络。例TCP/IP 网络之的网关可以接不的子 网。
HTTP文本传输协议WWW所使用的HTTP 定义消息的格式和传输方式,以及服务器 浏览器应当如命令作出响应。
HTTPS: 使用网页浏览互联网传人文件的 SSL 协议
接口: FortiGate 用于接到内网络的 网络接口。
互联网:NFSNET 网,覆盖接的 网络。在一般的术语中,可以表示一相连接 的网络。
IICMP, 互联制信息协议互联网协议 (IP) 的一。它一般发送错误信息、测包以及一些 与 IP 有关的信息。PING 功能发送 ICMP 响应请 网络中的一机时用到协议
IKE, 互联网密钥换: 一种在台安服务器之换认证密钥密密钥法。
IMAP, 互联网消息访问协议 一种互联网电子邮件协,用来通过任何IMAP 浏览器访问的电子邮
件。使用 IMAP 时,的电子邮件在服务器上。
IP, 互联协议 : TCP/IP 协议的一,处理数
由。
IP 地址:TCP/IP 网络中的一或者设备的识别 标志。IP 地址是一个 32 特的数字地址写成点分的四个数字。个数字可以是从 0 255 中的任何一个。
L2TP层通道协议: 点对点输协议 (PPTP) 互联网服务应商通过它操作虚拟专用网
(VPN)L2TP 公司的 PPTP 思科公司 的 L2F 系统。要建一个 L2TP VPN互联网服务 应商的由器必须支持 L2TP
IPSec, 互联协议安支持 IP 上的数的一组协议 IPSec 常用支持 VPN
LAN,局网:在一个内建的网络。大多接工和个人电网上的个电脑都
可以访问网上任何置的任何数和设备。这 意着大多数用户可以他们的数象打印机样的 资源一样共享
MAC 地址介质访问地址用来识别网络上的个节地址
MIB, 管理信息数据库:可以被简单网络管理协议
SNMP网络管理程序的数库。
器: 可以数字信换成换成数字信号并通过线的设备。
内容指南
41
术语表
MTU,最大输单 一个网络可以传输的数包的尺寸,以字节为单。任何MTU 的数包在
发送之被分成的数包。理情况下,网络 中的 MTU 于从的电到目的所经的所 有网络中的MTU的消息于其中的任何一 个 MTU,它们(破碎),
网络也称做子网掩码。了一个完整的 IP 中的一的一组规,从可以广播可以 到目的地址。它表示一个TCP/IP 网络中的子网 。有时用表示一个地址
NTP,网络时协议来把的时间同 NTP 服务器的时NTP 互联网提毫秒以内
互联网时UTC)。
包: 通过网络传送的消息的一。包的一个关 特征是它包含目的地址。在 IP 网络中包被称包。
Ping,数互联组: 一个用定特定 IP 地址可以访问的工。它的工理是指定的地址发 送一个数待回
POP3,邮协议 用于从邮件服务器通过互联邮件 客户电子邮件的协议数电子邮件客户使用 POP 协议。
由器: 局域往接到互联网并为他们之间的数 供路由的设备。
由:定发送数到目的时要经过程
由表:含有一列有的数传送路的列表。
服务:其他设备 客户的请的应用程序 常用来描述任何在网络上提类似印、、网 络访问服务的设备。
SMTP简单邮件传输协议:在 TCP/IP 网络中提邮件 发送服务的程序
SNMP,简单网络管理协议 一组网络管理协议SNMP 网络的不同部发送消息。支持 SNMP 的设备,
理,把他们自的数储在管理信息库 MIB 中,并且把这些信息SNMP 的发送者。
SSH,安命令解释器: 远程录程序安的替品。可以用它网络录到其他电并执行命令
SSH 通过安道提认证信。
子网: 网络子网地址。在 TCP/IP 网络 中,子网定义所有 IP 地址前缀的设备。例, 所有 IP 地址100.100.100 的设备一子网。 从和性能度考虑网络子网是要的。 IP 网络使用子网码分子网。
子网地址 IP 地址中标子网的
PPP, 点对点输协议提供机到网络和由器到由器的接的 TCP/IP 协议
PPTP点对点通协议 基于 Windows 的建立虚拟专用 网络的技术。Windows98Windows2000 WindowsXP 支持 PPTP 协议。要建PPTP 虚拟用网络,ISP由器必须支持 PPTP
口: TCP/IP UDP 网络中,端口是逻辑连接的识了端口的类型。例80 口用于 HTTP 协议的数据
协议个设备之商定的传输数据的格式。协议要使用的错误检测的类型,数压缩(如
),发送设备何指示它完成了一个消息的发送,设备何指示它经完成了一个消息的接
RADIUS, 访问用户认证服务: 很多 INTERNET 服务应商 ISP使用的认证计帐系统用户 入一个 ISP 时,他们入一个用户 这些信息 传送到 RADIUS 服务器,RADIUS 检验这些信息的 性,然后授访问 ISP 系统的权限。
TCP,传协议: TCP/IP 网络的之一。 TCP 保证了的提也保证了包能够按照它们
发送时的
UDP,用户数据协议:一种无连协议类似TCP IP 网络的TCP 协议的是,UDP 少的错服务,取之的是提了通过 IP 网络发
送和接报的接传。它要用于在网络上 广播消息。
VPN虚拟用网: 一个越在 INTERNET 类似 网络的网络。VPN 使用和其它机制来保证只有 经过认证的用户可以访问网络,并且
病毒:一种把自己加到别的程序上的电脑程序,并通 过这种机制在电中或网络上传播,有有的企
图。
蠕虫通过电网络复制自程序法,常使用 电子邮件,并且进行动,例 系统资源并且可能导致系统
42
美国飞塔有限公司
索引
FortiGate NIDS 指南 版本 2.50 MR2
B
报警邮件
定制 39 减少消息 39 配置 38 启用 38 消息内容 39
D
DMZ 接口
定义 41
F
Fortinet 客户服务 6 服务
服务名称 9, 10
G
攻击定义
更新 14
攻击检测
查看特征列表 12 概述 7 更新攻击定义 14
介绍 1
校验和检验 12 禁用 NIDS 11 启用和禁用特征 13 特征举例 9 特征组 7 选择一个特征组 12 一般配置步骤 11
攻击类型
拒绝服务 (DoS) 2 NIDS 躲避 3 权利提升 3 嗅探 2
攻击日志
减少消息 39 启用 37 消息内容 39
攻击预防
概述 25
介绍 1
配置 syn 淹没特征值 32 启用预防特征 27 配置特征临界值 31 一般配置步骤 26 启用 NIDS 攻击预防 26
H
互联密钥 41
HTTPS 41
I
ICMP 41
配置验校验和 12
IKE 41 IMAP 41 IP
配置验校验和 12
IPSec 41
J
技术支持 6 校验和检验
配置 12
禁用 NIDS 11
K
客户服务 6
L
L2TP 41
由表 42
M
MAC 地址 41 MTU
定义 42
FortiGate NIDS 指南
43
Index
N
NIDS
一般配置 11
NIDS 躲避攻击 3 NIDS 检测模块 1, 7 NIDS 件模块 1 NIDS 特性 2 NIDS 响应模块 2 NIDS 预防模块 1, 25 NTP 42
P
POP3 42 PPTP 42
Q
权利提升 3
R
RADIUS
定义 42
S
SMTP 38
定义 42
SNMP
定义 42
SSH 42 SSL 41 syn 淹没特征值 32
T
TCP
配置验校验和 12 特征临界值 31 特征组 7
U
UDP
配置验校验和 12
X
嗅探攻击 2 消息
定制报警邮件 39 概述 37 记录 NIDS 响应消息日志 37
介绍 2
减少报警邮件 13, 39 减少日志消息 13, 39 配置报警邮件 38 启用报警邮件 38
Y
一般配置 11 用户定义特征
常规配置步骤 17 管理 24 上载用户定义特征列表 24 提示 17 特征语法的细节 19 完整的特征语法 17 约定 17 语法 17
用户定义特征列表
下载用户定义特征列表 24
用户自定义特征
创建 15 概述 15
Z
子网地址
定义 42
一版本中的新增内容 3 攻击类型
拒绝服务 (DoS) 2
44
美国飞塔有限公司
Loading...