路由器检测到非法访问时的邮件通知功能

概述
路由器vpn通过非法访问检测功能(IDS)检测到非法访问后,将检测到的内容用邮件通知给已设置的邮件地址。

注意事项
邮件通知的基本动作请参照备份时的邮件通知。

路由器vpn支持机型
机型 版本 GUI对应
RTX1200 Rev.10.01.07以上 ○
SRT100 Rev.10.00.27以上 ○
RTX3000 Rev.9.00.34以上 ×

详细
关于邮件通知的对象
为了使用检测到非法访问时的邮件通知功能,需要设置ip I/F intrusion detection命令和mail notify trigger intrusion命令。通过用ip I/F intrusion detection命令设置的非法访问检测功能(IDS)检测出非法访问,且检测到的信息符合mail notify trigger intrusion命令中指定的条件时,进行邮件通知。
mail notify trigger intrusion命令中,不能根据每个非法访问的种类(ip I/F intrusion detection命令的选项 ['ip'、'ip-option'、'fragment'、'icmp'、'udp'、'tcp'、'ftp', 'winny'])区分通知对象。通知对象为检测到的所有的非法访问。
另外,ip I/F intrusion detection命令的reject选项不影响邮件通知的动作。

关于路由器vpn命令中能够指定的接口
mail notify trigger intrusion命令中能够指定的接口请参照下表。

PP/TUNNEL接口的接口号码中指定了‘*’,则对于所有的LAN/PP/TUNNEL接口都有效。
另外,对于一个命令不能指定重复的接口+方向。

RTX3000 接口名称 范围
LAN lan1~lan4+lanN/1~lanN/32 + '*'
PP 1~150+'*'
TUNNEL 1~1000+'*'
* 包括LAN、PP、TUNNEL在内的全部接口


RTX1200 接口名称 范围
LAN lan1~lan3+lan1.1~lan1.8+lanN/1~lanN/32 + '*'
PP 1~100+'*'
TUNNEL 1~100+'*'
* 包括LAN、PP、TUNNEL在内的全部接口


SRT100 接口名称 范围
LAN lan1~lan2+lan1.1~lan1.4+lanN/1~lanN/8 + '*'
PP 1~30+'*'
TUNNEL 1~10+'*'
* 包括LAN、PP、TUNNEL在内的全部接口

 

关于触发器的检测
自检测到第一个触发器开始,在mail template命令的notify-wait-time选项指定的时间内检测到的非法访问汇总在一封邮件中通知。
另外,在mail template命令设置的待机时间(notify-wait-time选项)内、发生了用mail notify trigger intrusion命令指定的、其他的同一个模板ID触发器,在该期间内检测出的全部触发器将在同一封邮件中通知。

非法访问频繁发生时,能够通过以下的步骤抑制邮件的数量。

延长mail template命令中设置的待机时间(notify-wait-time选项)。(最大为86400秒=24小时)
用ip I/F intrusion detection repeat-control命令,抑制对于同一个主机的同一个攻击种类的通知期间。


关于手动执行
不支持通过手动执行发送非法访问检测邮件的命令。

GUI
1. 邮件通知功能 主页面

 


能够在主页面的“通知内容的设置”中添加选择菜单,选择“状态邮件通知”的设置页面以及“非法访问检测”的设置页面进行跳转。

 

2. 检测到非法访问时的邮件通知功能 设置页面

 

上图中路由器vpn设置的命令如下:

mail notify ID TEMPLATE_ID trigger intrusion IF_I [IF_I_NUM] DIR_I [IF_I [IF_I_NUM] DIR_I [...]]
mail template TEMPLATE_ID SERVER_ID "From: ADDRESS" "To:ADDRESS" ["Subject: SUBJECT"] ["Date: DATE"] ["MIME-Version: VERSION"] ["Content-Type: CONTENT_TYPE"] [notify-log=SW] [notify-wait-time=SEC]
“通知内容”中所显示的内容依照以下的动作。

仅显示当前有效的接口。(但是,VLAN、LAN分割在GUI界面中不支持)
ip I/F intrusion detection命令中未指定的接口不显示。
选中“全部的LAN”后,则LAN1, 2 ...的复选框中被勾选。删除勾选后,LAN1, 2 ...的复选框中的勾选取消。PP、TUNNEL时也一样。
命令
请参照通过触发器的邮件通知功能的命令。
设置范例
进行非法访问检测、邮件服务器、邮件模板以及触发器的设置。
设置完成后,通过非法访问检测功能检测出非法访问的同时,收到邮件通知。


ip lan1 intrusion detection in on
mail server name 1 (服务器名称)
mail server smtp 1 (SMTP服务器的地址)
mail template 1 1 From:(发件人邮件地址) To:(收件人邮件地址) Subject:(标题名称)
mail notify 1 1 trigger intrusion lan1 in

阅读更多
个人分类: 路由器
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭