安全漏洞规则库中包含漏洞攻击特征识别库和漏洞检测识别库。安全漏洞规则库主要是能够识别系统、应用程序漏洞而进行攻击的攻击包特征。而漏洞检测识别库是集合了漏洞的特征,让设备主动发包去探测是否存在该漏洞。
漏洞攻击特征识别库内置了利用系统、应用程序漏洞而进行攻击的攻击包特征,当这些攻击包穿越设备时,可以根据用户设置拦截该攻击包,以保护服务器,如下图所示。
修改规则库动作 :用于统一的修改漏洞攻击特征识别规则。若选择默认(系统初始状态),则将保留系统自带的规则状态;若选择启用严格规则检测,并拦截,则对于所有识别规则的动作都将设置为“启用,检测后拦截”。对于危险等级为中的规则来说,系统默认的状态会放行的,启用严格检测后,危险等级所有的规则也将被拦截。
恢复规则默认动作:用于将修改过的规则动作全部恢复到默认状态。
漏洞攻击漏洞规则支持搜索功能,可以通过设置漏洞类别、查询类别,输入漏洞名称、ID等关键词进行搜索。
洞ID:显示当前漏洞的ID,主要作用是当服务器被某个漏洞攻击规则拦截了,可以到数据中心查看到漏洞ID,通过此处的漏洞ID查询,可以设置不拦截此规则。
洞名称:显示漏洞名称。
类型:显示当前漏洞的类型,如backdoor。
危险等级:描述漏洞的危险等级,有高、中、低三个等级,等级越高的则危险程度越高。
动作:描述当存在利用该漏洞进行的攻击时,设备所采取的动作,包括启用、检测后拦截、启用,检测后放行、 禁用。这个动作可以自定义,点击<漏洞名称>即可进入编辑页面,如下图所示。
启用,检测后拦截:表示启用当前规则,当有利用此漏洞进行攻击的行为时,拦截相应的数据包。
启用,检测后放行:表示启用当前规则,当有利用此漏洞进行攻击的行为时,只是记录日志,并不会拦截。
禁用:表示禁用当前规则,当规则禁用后,设备不会对该漏洞进行检测。
:
漏洞特征库的放行和拦截属性出厂已经配置好,当需要修改某条规则的时候,编辑该条规则即可。
漏洞检测识别库主要是SIG会根据识别的端口发漏洞的payload进行发包探测是否存在该漏洞,根据返回的结果进行对比,从而发现存在的漏洞行为。
点击漏洞,可以查看漏洞的详情信息,如下图所示。
步骤1.在[系统管理/对象/安全漏洞规则库]中点击漏洞检测识别库,再点击手动更新规则库,如下图所示。
步骤2.点击[去下载最新的规则库]则跳转到规则库的下载页面,如下图所示。
步骤3.将规则库下载到本地进行升级。
步骤4.点击浏览文件上传下载好的规则库,如下图所示。
步骤5.点击提交,查看升级后当前版本的日期是否为最新的包的日期,如下图所示。
建议使用Chrome浏览器访问!
