CFW支持自定义网络入侵特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。

自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。

约束条件

• 仅“专业版”支持自定义IPS特征。

• 最多支持添加500条特征。

• 自定义的IPS特征不受修改基础防御防护模式的影响。

• 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时，“内容选项”才能设置为“URI”。

自定义IPS特征

1. 登录管理控制台。

2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。

3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。

4. 在左侧导航栏中，选择“攻击防御> 入侵防御”。单击“自定义IPS特征”中的“查看规则”，进入“自定义IPS特征”页面。

5. 在“自定义IPS特征”页签中，单击列表右上角“添加自定义IPS特征”，填写规则如下表所示。

   参数名称	参数说明
   名称	需要添加的特征名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（-_）。 长度不能超过255个字符。
   风险等级	设置特征的风险等级。
   攻击类型	选择特征的攻击类型。
   影响软件	选择受影响的软件。
   操作系统	选择操作系统。
   方向	选择该特征匹配流量的方向。 Any：任意方向，符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器
   协议类型	选择特征的协议类型。
   源类型	选择源端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。
   源端口	“源类型”选择“包含”或“排除”时，设置源端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“-”隔开，如：80-443。
   目的类型	选择目的端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。
   目的端口	“目的类型”选择“包含”或“排除”时，设置目的端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“-”隔开，如：80-443。
   动作	防火墙检测到该特征流量时，采取的动作。 观察：仅对攻击事件进行检测并记录到日志中，日志记录查询请参见“日志查询”。 拦截：实施自动拦截操作。 说明 建议您优先选择“观察”，确认“攻击事件日志”记录正确后，再切换至“拦截”。
   内容	特征规则中匹配的内容。 内容：跟特征匹配的内容字段，例如：cfw。 内容选项：选择“内容”匹配的限制规则。 十六进制：匹配十六进制时，“内容”需填写十六进制格式，例如：0x1F。 忽略大小写：匹配时不区分大小写。 URL：匹配URL中跟“内容”一致的字段。 相对位置：匹配特征时，指定开始的位置。 头部：从报文“偏移”值的位置开始匹配特征，例如偏移：10，则该条内容从第11位开始。 说明 当“内容选项”选择“URL”时，头部的匹配位置从域名结束（包含端口）开始计算。 例如：www.example.com/test，偏移为0，则该条内容从com后的/开始。 或www.example.com:80/test，偏移为0，则该条内容从80后的/开始。 上一个内容之后：报文中截取的位置从指定位置开始。 公式：上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1 例如：上一条设置内容：test，偏移：10，本条偏移：5，则该条内容的匹配位置从第20（4+10+5+1）位开始。 偏移：匹配特征时开始的位置，例如偏移：10，则代表该条内容的匹配位置从第11位开始。 深度：匹配特征时，截止匹配的位置，例如深度：65535 ，则代表该条内容的匹配位置到第65535位截止。 说明 “深度”值需大于“内容”字段长度。 一条IPS特征中最多添加4条内容。

6. 单击“确认”，完成添加IPS特征。

相关操作

• 复制IPS特征：在目标任务所在行的“操作”列中，单击“复制”，修改参数信息后，单击“确认”，可以快速复制IPS特征。

• 修改IPS特征：在目标任务所在行的“操作”列中，单击“编辑”，可以修改IPS特征信息。

• 批量删除IPS特征：勾选目标特征，单击列表上方的“删除”，可以批量删除IPS特征。

• 批量修改动作：勾选目标特征，单击列表上方的“观察”或“拦截”，可以批量修改防火墙的响应动作。

后续操作

整体防护概况请参见“通过安全看板查看攻击防御信息”，详细日志信息请参见“攻击事件日志”。