Auf der Seite IPS-Pattern hinzufügen können Sie ein neues IPS-Pattern hinzufügen.
1. Gehen Sie zu > > und klicken Sie auf Hinzufügen.
2. Geben Sie die Details der IPS-Signatur ein.
Name
Geben Sie einen Namen ein, um die eigene IPS-Signatur zu identifizieren.
Protokoll
Wählen Sie ein IPS-Protokoll aus der Liste.
Verfügbare Optionen:
TCP UDP ICMP ALLEBenutzerdefinierte Regel
Geben Sie eine Definition für die IPS-Signatur an.
Die Signaturdefinition muss mit einem Stichwort beginnen, gefolgt von einem Wert in doppelten Anführungszeichen, und mit einem Semikolon (;) enden
Format: Stichwort: "Wert";
Zum Beispiel Inhalt: "USER JOHN";
Wenn Datenverkehr mit dem Inhalt USER JOHN erkannt wird, wird die in der Richtlinie definierte Aktion ergriffen.
Wenn Datenverkehr mit dem Inhalt USER JOHN erkannt wird, wird die in der Richtlinie definierte Aktion ergriffen.
Weitere Informationen zur Erstellung von eigenen IPS-Patterns finden Sie im Anhang B – IPS - Syntax von eigenen IPS-Patterns.
Schweregrad
Wählen Sie aus den verfügbaren Optionen die Stufe des Schweregrads aus.
kritisch hoch moderat niedrig WarnungEmpfohlene Aktion
Geben Sie an, welche Aktion für die ausgewählte Richtlinie angewendet werden soll, wenn ein passendes Muster gefunden wird.
Verfügbare Aktionen:
Paket zulassen – Jedes Paket wird geprüft, bevor eine Aktion erfolgt Paket verwerfen – Pakete werden verworfen. Sitzung verwerfen – Die gesamte Sitzung wird beendet, anstatt dass alle Sitzungspakete gescannt werden, um Ressourcen zu sparen und zu verhindern, dass zu viele Warnungen ausgegeben werden. Zurücksetzen – Ein TCP-Reset-Paket wird an den Absender gesendet. Sitzung umgehen – Nur die ersten Pakete werden gescannt. Wenn die ersten Pakete zum Muster passen, werden die restlichen Sitzungspakete nicht gescannt und der Datenverkehr wird durchgelassen.In all diesen Fällen generiert die Appliance das Protokoll und warnt den Netzwerkadministrator.
3. Klicken Sie auf Speichern.