入侵防御系统(IPS)通过已知的基于签名的IPS规则集来识别攻击行为。这个系统分析完整的流量特征,并且在恶意流量到达内部网络之前自动的拦截攻击。现有的规则集和攻击样本通过特征库">自动更新,并且将新的IPS攻击模式的签名自动导入到IPS规则集。
目前UTM中已有的签名数达到15,800多个,关于IPS规则集列表请参考:https://www.astaro.com/lists/ASGV9-IPS-rules-2931.html
进入到Network Security > Intrusion Prevention > Global 选项卡您可以轻松激活IPS功能。下面我们开始配置IPS:
1、 本地网络:添加或选择入侵防御系统应保护的网络。如果没有选择本地网络,入侵防御将自动被停用,没有流量被监控。
2、 策略:选择如果检测到IPS攻击所采取的策略,选择“丢弃”将不会再有进一步的动作,选择“停止连接”UTM将发送RST(TCP)或Unreachable(UDP)包到通信双方。建议选择“丢弃”。
3、 攻击特征库:Sophos UTM已经为针对不同内部网络的主机的攻击行为进行了归类。为了提高性能,你应该取消不适用于您的本地网络中的服务或软件。例如,如果你的本地网络中没有运行一个Web服务器,可以取消HTTP服务器的复选框。
4、 防DoS/泛洪攻击:一般来说,DoS和DDoS攻击试图使计算机资源无法处理合法的请求。UTM可以通过限制单位时间内到达网络中SYN(TCP), UDP和ICMP包的数量以阻拦拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击等不正常的TCP/IP连接。注意,在包速率选项中输入合理的值非常重要,如果你设置的过高,您的WEB服务器可能会因无法处理如此大量的数据包而导致失败,如果设置过低,可能会阻断正常的SYN请求,而出现不可预期的行为。IPS的性能很大程度是取决于您的硬件型号。
默认值“源和目的地地址”,会依据源和目的地地址两个参数来丢弃SYN包,首先,将会匹配源IP地址限制到你在下面设定的“源数据包速率”,其次,如果仍旧有太多的请求,那么UTM将依据所设定的“目的地数据包速率”的值进行过滤。
5、 防端口扫描:端口扫描被攻击者用来探测安全系统可用的服务。为了侵入一个系统或启动一个拒绝服务(DoS)攻击,攻击者需要获得网络服务的信息,如果某网络服务可用就会利用这些服务的安全缺陷进行攻击。
攻击者会使用端口扫描器来发现开放的端口,此程序会尝试在目标计算机上连接多个端口,如果成功,会显示攻击者所需要的相关信息,如目标计算机上可用的网络服务。既然在TCP/IP协议簇中有65535个不同的可用端口,这些端口在很短的时间间隔内被扫描,如果防火墙能检测到一个异常的大量尝试到服务主机的连接,特别是如果这些尝试都来源于同一个源IP地址,那么防火墙可以判定这最有可能是一个端口扫描行为。如果这种可疑行为出现在您的网络中,那么UTM将可以识别出来,并自动阻止来自同一源地址的端口扫描。从技术上讲,在300ms的时间内对来自单独的源IP地址得分超过21分则判定为端口扫描,分数计算方法如下:
扫描一个小于1024的TCP目标端口 = 3分;
扫描一个大于1024的TCP目标端口 = 1分;
6、 例外:你可以定义例外规则,排除的源或目的网络将免于IPS检查。注意,如果你想要排除目的地地址为网关的数据包进行IPS检查,不能在“目的网络”中选择ANY,你必须选择网关接口上定义的IP地址,例如,你想要排除网关的内网接口,则应该选择内口的IP地址。
7、 高级:你可以手动修改配置为每个IPS规则去覆盖默认的策略,例如禁用某一个IPS规则,规则ID可以在上述的规则集列表中查询。这样的修改应仅由经验丰富的用户完成。注意,如果相应的IPS特征库被禁用,那么修改的IPS规则将不生效。此外,为了增加入侵防御系统的性能,以尽量减少误报,你可以限制IPS规则的范围只有一些内部服务器。例如,假设您已经激活了“攻击特征库”选项卡上的HTTP服务器组,并且在这里您已经选择了一个特定的HTTP服务器。这样,入侵防御系统识别出针对HTTP服务器的攻击,所采取相关的动作将只被应用在,受影响的服务器的IP地址与此处选择的HTTP服务器的IP地址相匹配时。