CFW支持自定義網絡入侵特征規則，添加后，CFW將基于簽名特征檢測數據流量是否存在威脅。

自定義IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的協議類型。

約束條件

• 僅“專業版”支持自定義IPS特征。

• 最多支持添加500條特征。

• 自定義的IPS特征不受修改基礎防御防護模式的影響。

• 特征設置“方向”為“客戶端到服務器”且“協議類型”為“HTTP”時，“內容選項”才能設置為“URI”。

自定義IPS特征

1. 登錄管理控制臺。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航欄中，選擇“攻擊防御> 入侵防御”。單擊“自定義IPS特征”中的“查看規則”，進入“自定義IPS特征”頁面。

5. 在“自定義IPS特征”頁簽中，單擊列表右上角“添加自定義IPS特征”，填寫規則如下表所示。

   參數名稱	參數說明
   名稱	需要添加的特征名稱。 命名規則如下： 可輸入中文字符、英文大寫字母（A～Z）、英文小寫字母（a～z）、數字（0～9）和特殊字符（-_）。 長度不能超過255個字符。
   風險等級	設置特征的風險等級。
   攻擊類型	選擇特征的攻擊類型。
   影響軟件	選擇受影響的軟件。
   操作系統	選擇操作系統。
   方向	選擇該特征匹配流量的方向。 Any：任意方向，符合其他條件的任意方向的流量都會匹配到當前規則。 服務器到客戶端 客戶端到服務器
   協議類型	選擇特征的協議類型。
   源類型	選擇源端口類型。 Any：任意端口類型，等同于包含所有類型。 包含 排除 說明 建議您優先選擇“Any”。
   源端口	“源類型”選擇“包含”或“排除”時，設置源端口。 支持設置單個或多個端口，多個端口之間用半角逗號（,）隔開，如：80,100。 支持連續端口組，中間使用“-”隔開，如：80-443。
   目的類型	選擇目的端口類型。 Any：任意端口類型，等同于包含所有類型。 包含 排除 說明 建議您優先選擇“Any”。
   目的端口	“目的類型”選擇“包含”或“排除”時，設置目的端口。 支持設置單個或多個端口，多個端口之間用半角逗號（,）隔開，如：80,100。 支持連續端口組，中間使用“-”隔開，如：80-443。
   動作	防火墻檢測到該特征流量時，采取的動作。 觀察：僅對攻擊事件進行檢測并記錄到日志中，日志記錄查詢請參見“日志查詢”。 攔截：實施自動攔截操作。 說明 建議您優先選擇“觀察”，確認“攻擊事件日志”記錄正確后，再切換至“攔截”。
   內容	特征規則中匹配的內容。 內容：跟特征匹配的內容字段，例如：cfw。 內容選項：選擇“內容”匹配的限制規則。 十六進制：匹配十六進制時，“內容”需填寫十六進制格式，例如：0x1F。 忽略大小寫：匹配時不區分大小寫。 URL：匹配URL中跟“內容”一致的字段。 相對位置：匹配特征時，指定開始的位置。 頭部：從報文“偏移”值的位置開始匹配特征，例如偏移：10，則該條內容從第11位開始。 說明 當“內容選項”選擇“URL”時，頭部的匹配位置從域名結束（包含端口）開始計算。 例如：www.example.com/test，偏移為0，則該條內容從com后的/開始。 或www.example.com:80/test，偏移為0，則該條內容從80后的/開始。 上一個內容之后：報文中截取的位置從指定位置開始。 公式：上一條“內容”字段長度+上一條“偏移”值+“偏移”值+1 例如：上一條設置內容：test，偏移：10，本條偏移：5，則該條內容的匹配位置從第20（4+10+5+1）位開始。 偏移：匹配特征時開始的位置，例如偏移：10，則代表該條內容的匹配位置從第11位開始。 深度：匹配特征時，截止匹配的位置，例如深度：65535 ，則代表該條內容的匹配位置到第65535位截止。 說明 “深度”值需大于“內容”字段長度。 一條IPS特征中最多添加4條內容。

6. 單擊“確認”，完成添加IPS特征。

相關操作

• 復制IPS特征：在目標任務所在行的“操作”列中，單擊“復制”，修改參數信息后，單擊“確認”，可以快速復制IPS特征。

• 修改IPS特征：在目標任務所在行的“操作”列中，單擊“編輯”，可以修改IPS特征信息。

• 批量刪除IPS特征：勾選目標特征，單擊列表上方的“刪除”，可以批量刪除IPS特征。

• 批量修改動作：勾選目標特征，單擊列表上方的“觀察”或“攔截”，可以批量修改防火墻的響應動作。

后續操作

整體防護概況請參見“通過安全看板查看攻擊防御信息”，詳細日志信息請參見“攻擊事件日志”。