检测到非法访问时的邮件通知功能

概述

通过非法访问检测功能(IDS)检测到非法访问后,将检测到的内容用邮件通知给已设置的邮件地址。

注意事项

邮件通知的基本动作请参照备份时的邮件通知

支持机型

机型 固件版本 GUI对应
RTX5000 Rev.14.00.15以后
RTX820 Rev.11.03.16以后
RTX1200 Rev.10.01.20以后
RTX800 Rev.10.01.20以后

详细

关于邮件通知的对象

为了使用检测到非法访问时的邮件通知功能,需要设置ip I/F intrusion detection命令和mail notify trigger intrusion命令。通过用ip I/F intrusion detection命令设置的非法访问检测功能(IDS)检测出非法访问,且检测到的信息符合mail notify trigger intrusion命令中指定的条件时,进行邮件通知。
mail notify trigger intrusion命令中,不能根据每个非法访问的种类(ip I/F intrusion detection命令的选项 ['ip'、'ip-option'、'fragment'、'icmp'、'udp'、'tcp'、'ftp', 'winny'])区分通知对象。通知对象为检测到的所有的非法访问。
另外,ip I/F intrusion detection命令的reject选项不影响邮件通知的动作。

关于命令中能够指定的接口

mail notify trigger intrusion命令中能够指定的接口请参照下表。

PP/TUNNEL接口的接口号码中指定了‘*’,则对于所有的LAN/PP/TUNNEL接口都有效。
另外,对于一个命令不能指定重复的接口+方向。

RTX5000
接口名称 范围
LAN lan1〜lan4+lan1.1〜lan1.4+lan2.1〜lan2.4+lanN/1〜lanN/32 + '*'
PP 1〜150+'*'
TUNNEL 1〜3000+'*'
* LAN、PP、TUNNEL在内的全部接口
RTX1200
接口名称 范围
LAN lan1~lan3+lan1.1~lan1.8+lanN/1~lanN/32 + '*'
PP 1~100+'*'
TUNNEL 1~100+'*'
* 包括LAN、PP、TUNNEL在内的全部接口
RTX800
接口名称 范围
LAN lan1~lan2+lan1.1~lan1.4+lanN/1~lanN/8 + '*'
PP 1~30+'*'
TUNNEL 1~10+'*'
* 包括LAN、PP、TUNNEL在内的全部接口

关于触发器的检测

自检测到第一个触发器开始,在mail template命令的notify-wait-time选项指定的时间内检测到的非法访问汇总在一封邮件中通知。
另外,在mail template命令设置的待机时间(notify-wait-time选项)内、发生了用mail notify trigger intrusion命令指定的、其他的同一个模板ID触发器,在该期间内检测出的全部触发器将在同一封邮件中通知。

非法访问频繁发生时,能够通过以下的步骤抑制邮件的数量。

  • 延长mail template命令中设置的待机时间(notify-wait-time选项)。(最大为86400秒=24小时)
  • 用ip I/F intrusion detection repeat-control命令,抑制对于同一个主机的同一个攻击种类的通知期间。

关于手动执行

不支持通过手动执行发送非法访问检测邮件的命令。

GUI

1. 邮件通知功能 主页面

主页面
能够在主页面的“通知内容的设置”中添加选择菜单,选择“状态邮件通知”的设置页面以及“非法访问检测”的设置页面进行跳转。

2. 检测到非法访问时的邮件通知功能 设置页面

设置页面

上图中设置的命令如下:

  • mail notify ID TEMPLATE_ID trigger intrusion IF_I [IF_I_NUM] DIR_I [IF_I [IF_I_NUM] DIR_I [...]]
  • mail template TEMPLATE_ID SERVER_ID "From: ADDRESS" "To:ADDRESS" ["Subject: SUBJECT"] ["Date: DATE"] ["MIME-Version: VERSION"] ["Content-Type: CONTENT_TYPE"] [notify-log=SW] [notify-wait-time=SEC]

“通知内容”中所显示的内容依照以下的动作。

  • 仅显示当前有效的接口。(但是,VLAN、LAN分割在GUI界面中不支持)
  • ip I/F intrusion detection命令中未指定的接口不显示。
  • 选中“全部的LAN”后,则LAN1, 2 ...的复选框中被勾选。删除勾选后,LAN1, 2 ...的复选框中的勾选取消。PP、TUNNEL时也一样。

命令

设置范例

进行非法访问检测、邮件服务器、邮件模板以及触发器的设置。
设置完成后,通过非法访问检测功能检测出非法访问的同时,收到邮件通知。

ip lan1 intrusion detection in on
mail server name 1 (服务器名称)
mail server smtp 1 (SMTP服务器的地址)
mail template 1 1 From:(发件人邮件地址) To:(收件人邮件地址) Subject:(标题名称)
mail notify 1 1 trigger intrusion lan1 in
 
 
例)
Model: RTX1200
Revision: Rev.10.01.33
Name: yamaha-rtx1200-00a0de07fc07
Time: 2012/10/23 08:58:53
Template ID: 1
 
ID   时间                接口    非法访问检测到的内容
------------------------------------------------------------------------------
0001 2012/10/23 08:58:53        LAN1 [ in] ICMP too large        
                                           (192.168.100.2   -> 192.168.100.1  )

返回顶部Return to Top