Network Security Platform 7.0 IPS Administration Guide - McAfee

IPS 管理手册 

修订版 A 

McAfee ® Network Security Platform 7.0

版权 

Copyright © 2012 McAfee, Inc. 未经许可不得复制。 

商标特性 

McAfee、迈克菲、McAfee 徽标、McAfee Active Protection、McAfee AppPrism、McAfee Artemis、McAfee CleanBoot、McAfee DeepSAFE、ePolicy Orchestrator、McAfee 

ePO、McAfee EMM、McAfee Enterprise Mobility Management、Foundscore、Foundstone、McAfee NetPrism、McAfee Policy Enforcer、Policy Lab、McAfee QuickClean、 

Safe Eyes、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、SmartFilter、McAfee Stinger、McAfee Total Protection、TrustedSource、VirusScan、 

WaveSecure 和 WormTraq 是 McAfee, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和商标可能已声明为其他公司的财产。 

许可信息 

许可协议 

致全体用户:请仔细阅读与您所购买的许可相关的法律协议,以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类,请查看软件包装盒中或购买产品 

时单独提供的销售文档以及其他相关的许可授权或订单文档,这些文档既可以是小册子、产品光盘上的文件,也可以是软件包下载网站提供的文件。如果您不接受该协议规定的 

所有条款和条件,请勿安装本软件。根据情况,您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。 

2 McAfee ® Network Security Platform 7.0 IPS 管理手册

目录 

前言 7 

关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 

1 计划 IPS 部署 9 

初级用户部署方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 

中级用户部署方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 

高级用户部署方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 

配置策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 

调整策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

关于误报和“干扰” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

拦截攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

阻止攻击的方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

阻止利用漏洞流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

阻止 DoS 流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 

使用防火墙策略进行阻止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

利用流量规范化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

基于所配置的 TCP/IP 设置进行阻止 . . . . . . . . . . . . . . . . . . . . . . . . . 14 

阻止虚假 IP 数据包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 

2 理解 IPS 策略 17 

如何配置和设置基于规则的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

如何响应检测到的攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

数据包日志记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

Sensor 操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

如何设置针对攻击的通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

Network Security Platform 如何计算严重性级别 . . . . . . . . . . . . . . . . . . . . . . . . 19 

攻击类别和严重性范围 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

何谓保护类别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

3 如何管理 IPS 设置 23 

如何查看分配的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 

如何配置和管理策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 

如何管理 IPS 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 

管理侦测策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 

创建 IPS 策略的版本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 

策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

智能阻止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 

如何配置 IPS 和侦测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 

连接限制策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 

如何管理攻击过滤器和攻击响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 

如何使用攻击过滤器编辑器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 

攻击过滤器分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 

McAfee ® Network Security Platform 7.0 IPS 管理手册 3

目录 

导出攻击过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 

导入攻击过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 

防火墙策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 

防火墙策略类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 

防火墙策略组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 

防火墙策略的工作方式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 

如何配置防火墙策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 

如何查看匹配流量的详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 

默认保护选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

IP 信誉 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

高级僵尸网络检测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 

保护 Web 应用程序服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

文件信誉 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 

如何解密 SSL 进行 IPS 检查 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 

支持的 SSL 功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 

不支持的 SSL 功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 

如何启用安全套接字层 (SSL) 解密 . . . . . . . . . . . . . . . . . . . . . . . . . 185 

IPS 隔离设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 

策略中的 IPS 隔离配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 

管理域中的 IPS 隔离配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

IPS 隔离设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

数据存档选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

对警报和数据包日志进行存档 . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 

计划自动存档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 

还原存档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 

导出存档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

使用 dbadmin.bat 来存档警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 

使用 dbadmin.bat 来还原警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 

如何维护 Manager 数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 

容量规划 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 

警报数据清除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 

Manager 缓存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 

警报通知选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 

如何查看警报通知详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 

将警报转发给 SNMP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 

将警报转发给 Syslog 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 

配置电子邮件或寻呼机警报通知 . . . . . . . . . . . . . . . . . . . . . . . . . . 231 

启用脚本警报通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 

更新设备配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 

4 在 Sensor 级别配置 IPS 策略 237 

IPS Sensor 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 

Sensor 名称级别的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 

攻击过滤器分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 

配置高级扫描 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

管理非标准端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

创建接口组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

DoS 数据管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 

查看 Sensor 的 DoS 配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 

管理 DoS 过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 

配置 TCP 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

配置 IP 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 

配置数据包日志响应的警报抑制 . . . . . . . . . . . . . . . . . . . . . . . . . . 257 

配置攻击编译 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 

如何设置扫描例外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 

操作系统指纹识别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 


如何为 IPS Sensor 配置防火墙日志记录 . . . . . . . . . . . . . . . . . . . . . . . . . . 265 

为 Sensor 分配防火墙策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 

与防火墙相关的容量值 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 

编辑防火墙日志记录设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 

IP 欺骗检测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 

流量管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 

配置流量管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 

流量管理中的优先权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

速率限制方面的注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 

适用于流量管理的网络方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 

如何启用 SSL 解密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 

配置 IPS Sensor 中的 SSL 解密 . . . . . . . . . . . . . . . . . . . . . . . . . . 286 

管理设备的已导入 SSL 密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 

IPS Sensor 中的 IPS 隔离设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 

Sensor 的 IPS 隔离配置摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 

Sensor 中对于 IPS 隔离的 NAC 访问日志记录 . . . . . . . . . . . . . . . . . . . . . 289 

设置 Sensor 端口以进行 IPS 隔离 . . . . . . . . . . . . . . . . . . . . . . . . . 291 

NTBA 选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 

导出选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 

NTBA 选项卡中的第 7 层数据收集 . . . . . . . . . . . . . . . . . . . . . . . . . 293 

5 在接口和子接口级别配置策略 295 

如何为接口和子接口设置策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 

使用虚拟化应用策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 

IPS Sensor 接口节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 

在接口级别管理保护配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 

配置常规接口设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

如何在 IPS Sensor 接口级别管理攻击过滤器 . . . . . . . . . . . . . . . . . . . . . . 336 

查看接口上应用的 DoS 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 

如何为接口分配防火墙策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 

IPS Sensor 子接口节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 

配置常规子接口设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 

查看子接口上应用的 DoS 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . 342 

如何在子接口级别管理攻击过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . 342 

子接口级别的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 

6 使用 IPS 检测带有双重 VLAN 标记的流量 345 

关于 VLAN 标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 

双 VLAN 标记案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 

McAfee ® Network Security Platform 如何处理带有双重 VLAN 标记的流量 . . . . . . . . . . . . . . . 347 

限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 

7 拒绝服务 349 

由 Network Security Platform 处理的 DoS 攻击的类型 . . . . . . . . . . . . . . . . . . . . . 349 

基于量的 DoS 攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 

基于漏洞的 DoS 攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 

DDoS 攻击工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 

Network Security Platform 用于应对 DoS 攻击的方法 . . . . . . . . . . . . . . . . . . . . . . 351 

Network Security Platform DoS 检测特征码 . . . . . . . . . . . . . . . . . . . . . . 352 

基于阈值的模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 

基于学习的模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 

由 Network Security Platform 处理的攻击 . . . . . . . . . . . . . . . . . . . . . . . 354 

连接限制策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 

警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 

分类(或不平衡)异常 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 

流量大小异常 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 

McAfee ® Network Security Platform 7.0 IPS 管理手册 5 

目录

目录 

阻止攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 

了解策略编辑选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 

入站和出站流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 

响应敏感度 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 

设置响应敏感度 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 

拒绝服务 (DoS) 自定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 

DoS 自定义配置规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 

示例场景:在网络中自定义 DoS 策略 . . . . . . . . . . . . . . . . . . . . . . . . 360 

配置页中的 DoS ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 

自定义接口使用的一个或多个 DoS 策略 . . . . . . . . . . . . . . . . . . . . . . . 363 

自定义子接口的 DoS 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 

管理遍历 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 

IPS 设置级别的选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 

Sensor 级别的选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 

接口级别的选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 

在 Threat Analyzer 中查看 DoS 警报 . . . . . . . . . . . . . . . . . . . . . . . . 387 

使用 CLI 命令执行与 DoS 相关的操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 

set dospreventionseverity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 

阻止来自特定主机的 DoS 流量 . . . . . . . . . . . . . . . . . . . . . . . . . . 394 

DNS 欺骗保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 

show dospreventionprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 

DOS prevention severity for tcp-syn-ack outbound is 30 . . . . . . . . . . . . . . . . . . 397 

配置 ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 

自定义攻击响应的工作方式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 

索引 401 


前言 

本手册将提供配置、使用和维护 McAfee 产品所需的信息。 

目录 

关于本手册 

查找产品文档 

关于本手册下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。 

读者 

McAfee 文档经过仔细调研并面向目标读者编写。 

本指南中的信息主要面向以下人员: 

• 管理员 ‑ 执行和实施公司安全计划的人员。 

• 用户 ‑ 使用正在运行此软件的计算机并且可以访问其部分或全部功能的人员。 

约定 

本手册使用下列印刷约定和图标。 

“手册标题”或强调手册、章节或主题的标题;新术语的介绍;强调。 

粗体着重强调的文本。 

用户输入或路径用户键入的命令和其他文本;文件夹或程序的路径。 

代码 

代码示例。 

“用户界面” 用户界面(包括选项、菜单、按钮和对话框)中的文字。 

超文本(蓝色) 指向某个主题或网站的活动链接。 

附注:附加信息,例如访问某个选项的替代方法。 

提示: 意见和建议。 

重要事项/注意: 有关保护计算机系统、软件安装、网络、企业或数据的有用建议。 

警告: 在使用硬件产品时,防止受到人身伤害的重要建议。 


前言 

查找产品文档 

查找产品文档 McAfee 提供了产品实施各阶段(从安装到日常使用再到故障排除)所需的信息。在发行某个产品后,有关此产品的信息 

将输入到 McAfee 在线知识库中。 

任务 

1 转到 McAfee 技术支持 ServicePortal,网址为 http://mysupport.mcafee.com。 

2 在“Self Service”(自助服务)下,访问所需的信息类型: 

要访问... 操作方法... 

用户文档 1 单击“Product Documentation”(产品文档)。 

2 选择产品,然后选择版本。 

3 选择产品文档。 

知识库 • 单击“Search the KnowledgeBase”(搜索知识库)以获取产品问题的解答。 

• 单击“Browse the KnowledgeBase”(浏览知识库)以查看按产品和版本列出的文章。 


1 

计划 IPS 部署 

IPS 部署可能十分繁冗复杂。Network Security Platform 虽然复杂,但部署方式却非常灵活,您甚至可以一边监控网络, 

一边熟悉其功能并调整安全策略。 

McAfee Network Security Platform 部署可能很简单,也可能很复杂,具体取决于您的需求和对产品的熟悉程度。如果 

您是初学者,可以先全部采用 Network Security Platform 的出厂设置,那么在很短时间内就可以部署好系统进行监控。 

中级用户可以尝试自定义策略和切换到其他工作模式,如 Tap 模式。高级用户可以使用所有可用的功能,例如非常详细 

地跟踪通信量、创建多个管理域并指定给多个具有不同权限的用户管理、针对检测到的攻击量身定制策略和自定义响应 

等。 

目录 

初级用户部署方案 

初级用户部署方案 

中级用户部署方案 

高级用户部署方案 

配置策略 

拦截攻击 

Network Security Platform 预先配置有针对不同环境的各种安全策略。通过这些策略,您可以立即开始监控网络。 

任务 

1 按照“McAfee Network Security Platform 安装手册”中的说明安装 Manager。 

2 默认情况下,指定“Default Inline IPS(默认串联 IPS)”策略。您可以沿用这套策略,也可以挑选其他最符合您需求的 

策略。您添加的 Sensor 将集成此策略并将其传递到 Sensor 的所有接口。 

这些策略启用对某些攻击的拦截;在完成串联部署后,Sensor 将立即开始拦截检测到的这些攻击。 

3 按照“McAfee Network Security Platform CLI 手册”和“McAfee Network Security Platform 设备管理手册”中的描述配 

置 Sensor 并将其添加到 Manager。 

4 在 Manager 上检查 Sensor 的端口配置,确保配置与您部署该 Sensor 的方式相符。根据需要进行更改。 

5 从更新服务器下载并应用最新的 Sensor 软件和特征码文件。 

6 将所有配置更改发送到 Sensor。 

7 如有必要,可设置警报通知功能,按攻击严重性发送电子邮件或寻呼机通知。 

8 使用报告生成器和 Threat Analyzer 检查所有警报的模式,以帮助调整策略。 

9 备份数据。 


1 


高级用户部署方案 

配置策略 



预先配置的策略都具有防护伞效果,可防范该策略中定义的所有攻击。这样您可以快速建置整个防御机制,但也有可能 

挡掉您根本不在意的攻击行为。例如,如果您完全处于 Solaris 环境中,可能就不会在意有人对您的网络发起 IIS 攻击, 

因为这些攻击对您而言根本无关痛痒。有些管理员比较喜欢看到所有的网络活动,包括失败的攻击,以便对整个网络的 

情形了如指掌。也有一些管理员希望减少不相关攻击所造成的“噪音”。此时您可以调整策略以删除不适用您环境的攻击, 

减少 Sensor 生成的不重要警报的数量。 

要调整部署,请执行以下操作: 

• 尝试较高级的部署模式。如果您采用的是 SPAN 模式,可以考虑选择其他部署模式,如 Tap 模式。 

• 利用 Sensor 在不同接口上应用不同策略的功能。除了对整个 Sensor 应用单一策略外,也可以尝试对 Sensor 专用 

接口应用不同的策略。甚至可以进一步将流量细分为 VLAN 标记或 CIDR 块、创建子接口,然后将策略应用于 

Sensor 的子接口。 

• 调整策略。选取并复制最符合您需求的策略,也可从头开始创建新策略。然后删除任何不相关的攻击,添加您认为 

需要防范的攻击,配置适当的响应操作以响应检测到的攻击。 

• 生成报告和查看警报。查看系统生成的数据以帮助进一步调整策略,必要时实现更细致的监控,或将监控任务委托 

给其他人。 

Network Security Platform 的高级部署利用 Network Security Platform 的更多功能将系统调整到最佳状态。对 Network 

Security Platform 更加熟悉后,可考虑执行下列操作: 

• 尝试以串联模式运行。串联模式可丢弃恶意流量,使攻击无法到达其目标。 

• 将部署分为多个管理域。可以根据地理位置、事业部或职能部门(如人事、财务)来组织部署。 

• 将网络通信量细分为 VLAN 标记和 CIDR 块。然后可以利用子接口功能,使用不同的策略监控不同的流量。 

• 以子接口为基础创建(或复制)策略。针对网段内的特定通信流创建适当的策略,并以非常细致的方式应用这些策 

略。 

• 定义用户角色。将 IPS 的日常管理委托给特定人员,但只授予每个人完成其工作所需的足够权限。 

• 定义 DoS 策略。针对特定主机或网络子集配置 DoS 策略。 

您的策略决定了 Sensor 将执行的流量分析。Network Security Platform 提供了许多策略模板,您可以使用这些模板作 

为基础来完成最终目标:防止攻击损坏您的网络,将 Threat Analyzer 中显示的警报限制为那些对您的分析有效并有用 

的警报。 

此过程分为两个阶段:初始策略配置和策略调整。众所周知,策略调整是一项枯燥的任务。但由于网络和攻击的不断发 

展,策略调整过程从未真正完善过。但是,您可以将其等同于磁盘碎片整理过程,您执行该过程的次数越频繁,每次检 

查所花费的时间就越少。策略调整的终极目标是消除 false positives(误报)和干扰,并避免过多合法但在预期之中的 

警报。 


调整策略 

提供默认 Network Security Platform 策略模板作为一般起点;您将根据需要对这些策略之一进行自定义。因此,调整的 

第一步是复制最适合网络和目标的策略,然后对其进行自定义。(您还可以直接编辑策略。)调整策略时需要记住的几件 

事情: 

• 我们建议您适当地设置有关消除误报和干扰的预期。适当的 Network Security Platform 实现包括多个调整阶段。对 

于前三、四个星期,误报和多余的干扰是正常现象。但是,经过正确调整之后,可以将误报和干扰减少为不经常出 

现的情况。 

• 在最初部署的 Network Security Platform 中,现有的网络和应用程序配置中经常出现意外情况。例如,某些最初看 

起来像误报的情况可能实际上是配置不正确的路由器或 Web 应用程序所表现出来的特征。 

• 在开始之前,了解网络拓扑和网络中的主机,这样可以允许策略检测环境的正确攻击集合。 

• 从开始就采取措施减少误报和干扰。如果在非常繁忙的网络上继续存在大量“干扰”警报,那么解析和清理数据库将很 

快变成繁重的任务。对于所涉及的各方来说,投入精力防止误报要比解决误报好得多。一种可能的方法是禁用所有 

明显不适用于所保护主机的警报。例如,如果您只使用 Apache Web 服务器,则可能需要禁用与 IIS 相关的攻击。 

关于误报和“干扰” 

仅仅提及误报总是会引起安全分析员的关注。但是,对于不同人来说,误报的含义可能有相当大的差别。为了更好地使 

用任何 IDS/IPS 设备来管理安全隐患,了解不同类型警报的确切含义非常重要,这样才可以采取适当的响应。 

关于 Network Security Platform,有三种通常被认为是“误报”的警报类型: 

• 不正确识别的事件 

• 受制于使用策略解释的正确识别的事件 

• 用户不感兴趣的正确识别的事件 

不正确的识别 

这些警报通常是由攻击性过度的特征码设计、用户环境的特殊特性或系统缺陷引起的。例如,一般用户从不使用路径超 

过 256 个字符的嵌套文件夹;但是,某个特定用户可能会将 Windows 的自由样式命名发挥到极限,创建路径超过 

1024 个字符的文件。此类问题比较罕见。可以通过特征码修改或软件缺陷修复程序解决这些问题。 

正确的识别;重要性受用法策略影响 

此类事件包括那些对与即时消息传送 (IM)、Internet 中继聊天 (IRC) 和对等程序 (P2P) 关联的活动的警报。某些安全策 

略禁止其网络上出现这种通信,例如在公司的通用操作环境 (COE) 中;而另外一些安全策略可能在不同程序上允许这种 

通信。例如,大学通常采用完全开放的策略允许运行这些应用程序。Network Security Platform 提供两种方法关掉这些 

事件(如果您的策略认为这些事件无关)。首先,可以定义一个自定义策略,在此策略中,禁用这些事件。通过这样操 

作,Sensor 甚至不会在应用策略的通信流中查找这些事件。如果这些事件事关大多数主机而与少数主机无关,则可以创 

建一个攻击过滤器,使其不对这些少数主机发出警报。 

正确的识别;重要性受用户敏感度影响(也称为干扰) 


配置策略 1 

另一类事件,由于所理解的事件的严重性,可能未引起我们的注意。例如,当给定主机在给定时间间隔内向一定数目的 

不同目标发送 UDP 数据包时,Network Security Platform 将检测到基于 UDP 的主机扫描。虽然您可以根据敏感度配置 

阈值和时间间隔来调整此检测,但被扫描的部分或所有主机 IP 仍有可能实际上是不活动的。某些用户会将这些警报视 

为干扰,但其他用户会注意这些警报,因为它指示可能的侦测行为。干扰的另一个示例是某人试图对 Apache Web 服务 

器进行基于 IIS 的攻击的情况。这是一种恶意行为,但实际上没有任何危害,只是浪费了一些网络带宽。另外,潜在的 

攻击者掌握了可用于攻击您网络的一些信息:攻击者可以利用攻击失败的情况集中注意力对付您使用的 Web 服务器类 

型。用户还可以通过策略自定义或安装攻击过滤器更好地管理这类事件。 


1 

拦截攻击 


拦截攻击 

干扰与不正确标识的比率可能相当高,特别是在以下情况下: 

• 配置的策略包括许多信息性警报,或扫描基于请求活动(例如综合策略)的警报 

• 在有大量恶意通信的位置(例如在防火墙前)部署链路 

• 过度粗糙的流量 VIDS 定义,其中包含截然不同的应用程序。例如,专用接口模式的高度集中链路 

用户可以通过定义适当的 VIDS 并相应地自定义策略来有效地管理干扰级别。要处理例外主机(例如专用 pentest 计算 

机),还可以使用警报过滤器。 

只有以串联模式运行的 Sensor 具有丢弃和拒绝的功能。阻止利用漏洞的最有效方式是自定义一个或多个 Network 

Security Platform 的“IPS Policies(IPS 策略)”,以主动丢弃恶意流量。默认情况下,Network Security Platform 的预配 

置策略之一包含此功能。当 Sensor 首次添加到 Manager 时,“Default Inline IPS policy(默认串联 IPS 策略)”会自动应 

用于 Sensor 接口。该策略包含大量被 Network Security Platform 归类为“建议智能阻止”(RFSB) 的攻击,并且预配置了 

丢弃攻击数据包响应。 

根据所提供的其他策略,默认的 Sensor 响应是发送警报和日志数据包。 

阻止的第一步通常是阻止尚未造成误报,但是具有高严重性级别和低良性触发几率的攻击。当您知道要阻止哪些攻击时, 

可配置策略以执行针对这些攻击的丢弃攻击数据包响应。 

阻止攻击的方法 

Network Security Platform IPS 提供多种阻止恶意流量的方法。这些选项包括: 

• 阻止利用漏洞流量(基于策略配置) 

• 阻止 DoS 流量(基于行为的检测) 

• 阻止使用防火墙策略(基于配置的访问规则) 

• 利用 Network Security Platform 的流量规范化功能,基于配置的 TCP 流违规阻止(无序的数据包,拒绝...) 

• 阻止 IP 欺骗数据包(已配置) 

阻止利用漏洞流量 

攻击过滤器可配置为覆盖阻止标准,例如,允许特殊来源 IP。 

利用漏洞是指通过一组参数或规则发现的与数据包内的数据相匹配的攻击。特征码是用于匹配违规数据包中的数据的特 

定字符串,是发现利用漏洞的关键方法。一个攻击可以具有多个特征码,因此需启用多个攻击检测机会。 

使用策略编辑器,可以通过从“/My Company(我的公司)/IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies 

(IPS 策略)”部分选择“Drop Packets(丢弃数据包)”来选择要阻止的特定攻击。 


如何阻止利用漏洞流量 

• Sensor 根据流量方向(通过 Sensor 的电缆连接和端口配置决定)应用配置的入站或出站策略。 

• Sensor 分析流量,并基于策略确定流量是“正常”(与策略中配置的攻击不匹配)还是“不良”(与策略中配置的攻击匹 

配)。如果流量为恶意,则 Sensor 会应用配置的“丢弃数据包”操作。当 Network Security Platform 识别出一个恶意 

流时,它只会阻止此流,而不会阻止所有来自来源 IP 的流量(Sensor 行为与防火墙的行为不同)。 

• 对于 UDP 和 ICMP 流量,只会阻止攻击数据包。对于 TCP 流量,则会阻止整个攻击流,我们建议您另外在策略中 

配置一个 TCP 重置操作,以重置该流。 

在串联时,TCP 重置始终从串联端口发出。当将设备配置为 Tap 模式或 SPAN 模式时使用响应端口。 

使用 Threat Analyzer 验证丢弃的利用漏洞攻击 

Threat Analyzer 的“Consolidated View(综合视图)”内的“Alert Result Status(警报结果状态)”图显示了由目标响应(即 

“Successful(成功)”、“Failed(失败)”)或 Network Security Platform 操作(即“Blocked(已阻止)”)确定的检测攻击结 

果。“Blocked(已阻止)”具体指由于策略响应设置已被丢弃的攻击。在 Threat Analyzer 查询内,您可以看到在查询期间 

已被阻止的攻击数量。 

• 对于每个已阻止的攻击,结果状态“Blocked(已阻止)”将增加。 

• 如果在特定警报中按“Status(状态)”深入分析,则结果状态将显示为“Blocked(已阻止)”。 

阻止 DoS 流量 

拒绝服务 (DoS) 攻击通过将大量虚假流量发送给目标系统或主机,使系统缓冲区溢出以至于必须脱机修复,从而中断其 

网络服务。Sensor 在应对 DoS 攻击方面有基于学习和基于阈值两种功能。Sensor 使用复杂的算法区分恶意 DoS 数据 

包和正常数据包,并在以串联模式运行时丢弃恶意数据包。 

Sensor 必须处于检测模式才能检测和阻止攻击。 

如何阻止 DoS 流量 

DoS 策略适用于入站、出站或双向流量。入站流量是在串联模式中标为“Outside(外部)”的端口所收到(即来自网络外 

部)的流量。通常入站流量都发往受保护网络,如企业内部网。出站流量是从企业内部网的系统发出、在串联模式中标 

为“Inside(内部)”的端口上(即来自网络内部)的流量。 

双向攻击反映入站和出站方向 ECHO 请求和回复的分配中发生变化的攻击。例如,如果 Sensor 通常检测到 50% 的入 

站回复和 50% 的出站回复,但随后分配更改为 70%/30%,则此变化可能引发警报。 

另外还有一种称为学习模式的攻击,没有任何特定的方向性,具体地说就是 ICMP ECHO 异常和 TCP 控制异常。请注 

意,这些攻击无法阻止。 

根据流量方向将 Sensor 应用于入站或出站 DoS 策略(这是通过 Sensor 电缆连接和端口配置确定的)。在 DoS 策略中, 

必须按流量类型(协议类型)启用“Drop attack packets(丢弃攻击数据包)”响应操作。 

当 Sensor 检测到攻击流量状况时,阻止操作将持续到攻击状况结束为止,并且只要存在攻击状况就会随时重复阻止操 

作。 

使用 Threat Analyzer 验证已阻止的 DoS 攻击 

在发生攻击这段时间,将持续向 Threat Analyzer 发送反映 DoS 情况的警报。 

在 Threat Analyzer 中,在发生攻击情况的这段时间,结果状态显示“Blocking activated(已激活阻止)”。 

从 Threat Analyzer 丢弃 DoS 攻击 


拦截攻击 1 

通过 IPS 策略编辑器,您可以有选择性地丢弃 DoS 学习模式攻击,但是如果您尚未设置丢弃响应,Threat Analyzer 会 

提供在已检测到近期攻击后丢弃其余 DoS 攻击的功能。 


1 


拦截攻击 

使用防火墙策略进行阻止 

防火墙策略包含依序列出的规则,以允许或拒绝流量到达 Sensor 的检查引擎并继续在网络上传输。防火墙策略是对 

IPS 策略和攻击过滤器的补充,以帮助调整部署。可以将防火墙策略用于串联模式的 Sensor 以丢弃或拒绝出入特定主 

机或某个范围内主机的流量,或者符合特定要求(例如协议类型或端口)的流量。 

有关防火墙策略的一些详细信息: 

• 防火墙策略分为以下两种类型:高级和经典。 

• 高级策略的访问规则与流量来源和流量目标的不同对象组合相匹配。这些称为“Rule Objects(规则对象)”,包括国 

家/地区、主机的 DNS 名称、主机的 IPv4 地址和网络等。 

• 经典策略的访问规则与来源 IP、目标 IP、协议和目标端口相匹配。 

• 每个规则都具有与之关联的响应操作。响应操作包括“ignore(忽略)”、“drop(丢弃)”(静默丢弃)、“deny(拒绝)” 

(将 TCP 重置发送至来源)和“inspect(检查)”。 

• 按从上到下的顺序分析规则,第一个匹配的规则发挥作用。也就是说,Network Security Platform 根据与所匹配的第 

一个规则相关的响应操作进行响应,而不考虑后续的规则。因此,应将最特殊的规则添加到列表顶部。 

• Network Security Platform 防火墙访问规则是有状态的。也就是说,将对连接进行跟踪。因此,例如,如果显式允许 

出站 HTTP 请求,则也将隐式允许属于同一个流中的入站 HTTP 响应。 

• 在配置防火墙规则之前了解流量非常必要。某些情况看起来设置一个规则就足够了,但您可能需要设置两个规则。 

例如,某些 FTP 服务器的配置为进行初始 TCP 握手之后立即向客户端发送 AUTH 请求。AUTH 请求使用 IDENT, 

因而会在另一个端口 (113) 上协商。如果应用出站“全部拒绝”规则,则需要一段时间来建立源于入站的 FTP 连接。 

这是因为 AUTH 请求 (SYN) 的方向为出站,会被访问规则拒绝。 

• 防火墙访问规则遵循严格的继承规则。在 Sensor 级别创建的 ACL 规则会在物理端口/端口对和接口级别得到继承。 

端口级别规则将被接口和子接口级别继承。接口规则只适用于接口,子接口规则也只适用于子接口。 

利用流量规范化 

流量规范化当系统以串联模式工作时可用,删除任何流量协议中的模糊内容,通过实时清理有潜在危害的流量来保护终 

端系统。流量规范化包含两种 Sensor 方法:清除错误数据包及丢弃非法数据包,例如,IP 报头少于 20 个字节的数据 

包,IP 碎片小于 64K 的数据包等。流量规范化还阻止逃避系统的任何尝试,提高了攻击检测的准确性。此功能也称为 

协议净化或数据包净化,允许 Network Security Platform 系统防止黑客对主机系统进行指纹识别。通常,攻击者发送异 

常流量,希望能根据终端系统的响应方式确定特定站点所部署的环境和技术。这使他们更容易发动针对主机网络硬件或 

软件资源中已知漏洞的后续攻击。 

具体地说,当启用后,规范化执行以下操作: 

• 如果 SYN/SYN_ACK 数据包中未协商“TCP 时间戳”选项进行连接,但该选项显示在连接其余部分的任何数据包中, 

则从这些数据包的报头中删除 TCP 时间戳。 

• 只有 SYN/SYN_ACK 数据包中允许使用 MSS 选项进行 TCP 连接。如果流中的任何其他数据包包含 MSS 选项, 

则 Sensor 会将其删除。 

在这两种情况下,Network Security Platform 都执行 TCP 报头的增量校验和并重新生成 CRC 完整性检查值。 

必须手动启用数据包净化(导航至“/My Company(我的公司)/IPS Settings(IPS 设置)/Sensor_Name(Sensor 名称)” 

| “Advanced Scanning(高级扫描)” | “TCP Settings(TCP 设置)”并启用“Normalization On/Off Option(规范化开启/关闭 

选项)”);丢弃非法数据包是默认的 Sensor 行为。 

基于所配置的 TCP/IP 设置进行阻止 

Sensor 具有保存一组 TCP/IP 连接参数以及完整状态信息的智能。通过“/My Company(我的公司)/IPS Settings 

(IPS 设置)/Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “TCP Settings(TCP 设置)”和“/My 

Company(我的公司)/IPS Settings(IPS 设置)/Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” 


| “IP Settings(TCP 设置)”操作,可以配置 16 个 TCP/IP 参数,例如支持的 UDP 流数量、TCB 不活动计时器的长度, 

以及接收 TCP 或 IP 重叠的新旧数据。所有“TCP/IP Settings(TCP/IP 设置)”参数都与在串联模式中处理受监控的传输 

有关。您可以使用这些设置拒绝或丢弃某些流量。 

以下是一些需要注意的参数中的两个: 

• Cold Start Drop Action(冷启动丢弃操作):首次启动 Sensor 时,可以指定允许(转发)或丢弃所有不带有 

Sensor 所识别的流控制块的数据包。您可选择“Forward Flows(转发流)”或“Drop Flows(丢弃流)”。 

• TCP Flow Violation(TCP 流违规):如何处理从不存在的连接接收的数据包,例如没有接收到某个连接的 SYN 数 

据包,但接收到 ACK 数据包。选项包括: 

• Permit(允许):重组无序的数据包,并对它们进行处理。当严重违反 TCP 协议失败,而且 Sensor 上的“if 

State Not Established(如果未建立状态)”失败时,才转发流量。 

• Permit out‑of‑order(允许乱序):允许继续传送无序数据包而不做处理。 

如果 Sensor 部署于非对称环境,则应选择“Permit out‑of‑order(允许乱序)”以避免丢弃会话。 

• Deny(拒绝):检查流是否有严格的 TCP 协议违规;如果发现违规,则丢弃该数据包,并重组无序数据包。 

• Deny no TCB(拒绝无 TCB):(如果未建立状态则拒绝):如果未建立状态,只丢弃会话。只有当严重违反 

TCP 协议失败时,才转发流量。 

阻止虚假 IP 数据包 

当反欺骗选项启用后,将丢弃包含无效来源 IP 地址的数据包。Network Security Platform 通过将来源 IP 与已配置的内 

部网络列表进行比较确定来源 IP 的有效性。因此,作为前提条件,您必须为每一个将通过相关 Sensor 接口发送流量的 

内部网络定义 CIDR 块。在没有定义一组完整 CIDR 块的情况下,特别是如果启用了出现反欺骗,则 Network Security 

Platform 可能会阻止有效的数据包。 

只有串联模式的 Sensor 可以使用反欺骗。 


拦截攻击 1 

The way in which Network Security Platform 确定数据包有效性的方式直接取决于该数据包的方向,如下所示: 

• Inbound(入站):当数据包到达外部接口时,其来源 IP 与和该接口关联的 CIDR 块进行比较。如果入站数据包的 

来源 IP 与其中一个 CIDR 块匹配,则认为该数据包是欺骗数据包并将其丢弃。 

• Outbound(出站):当数据包到达内部接口时,其来源 IP 与和该接口关联的 CIDR 块进行比较。如果出站数据包的 

来源 IP 与 CIDR 块之一不匹配,则该数据包会被视为欺骗并丢弃。 


1 


拦截攻击 


2 

理解 IPS 策略 

安全策略或 IPS 策略是规定了网络允许通过哪些流量以及如何对网络滥用行为进行响应的一套规则。有效的策略应是针 

对所监控的网络环境制订的自定义策略。 

McAfee Network Security Platform 策略是一系列的规则或要求,定义了要检测哪些恶意活动以及检测到恶意活动时应 

如何做出响应。通过创建策略,您可以根据网络中的不同操作系统 (OS)、应用和协议来定义要保护的环境。这些参数或 

规则列出了 Network Security Platform 需要防御的所有攻击。 

最好的做法是为不同的网络区域创建不同的策略,而不是创建一个适合整个网络的策略。Network Security Platform 让 

您可以为各个网络资源(包括网络流量的个别支流)创建基于规则的策略。同时还提供了一些可以立即应用于多种独特 

网络环境中的预先配置策略。 

有关安全策略的概述,请参阅“McAfee Network Security Platform 入门手册”。 

目录 

如何配置和设置基于规则的策略 

如何响应检测到的攻击 

如何设置针对攻击的通知 

Network Security Platform 如何计算严重性级别 

何谓保护类别 

如何配置和设置基于规则的策略 

基于规则的策略与访问控制列表 (ACL) 非常相似,是一组经过排序的规则,用来确定需要引起注意因而需要监控的攻击 

或情况。规则集的配置以攻击类别、操作系统、协议、应用程序、严重性和良性触发几率等选项为基础。规则集中的每 

个规则可以是包含规则或排除规则。包含规则是一组范围甚广的已知攻击检测参数,它应列于整个规则集的起始。排除 

规则将包含规则所包含的某些元素排除出来,使策略规则集更具集中性。通过拓宽(包含)和收窄(排除)规则的定义, 

可以检测到对特定环境产生影响的攻击。 

如果以排除规则作为规则集的起始,则此后添加的包含规则将否定了排除作用。因此,这种基于规则的方法将与 ACL 不 

完全一致。例如,如果指定了针对 DNS 协议的排除规则,然后再指定对多个协议的包含规则(其中含有 DNS),则对 

DNS 的排除将不起作用。 

McAfee ® Network Security 策略编辑器中提供了许多规则集,这些规则集与预先配置的策略相符。您可以查看、复制和 

自定义这些规则集,以供您专门使用。 

McAfee 建议使用两种方法来创建规则集。第一种方法是由一般到特殊。以涵盖范围较广的 OS、应用和协议的包含规则 

开头。然后创建一个到多个排除规则以排除特定的 OS 和协议等,让规则集专注于应用环境。例如,可以首先使用涵盖 

所有利用漏洞类别攻击的包含规则。然后使用去除了某些协议、应用和严重性的排除规则,排除对网络特定区域没有影 

响的攻击。 

第二种方法是协作。即在规则集内创建多个包含规则,每个规则针对一种类别、操作系统等,合并而成需要检测的内容。 

每种标准必须互相匹配,才能正确触发警报。例如,规则集中的第一个规则可以包括“Exploit(利用漏洞)”类别、Unix 操 

作系统、Sendmail 应用程序和 SMTP 协议。然后,为“Exploit(利用漏洞)”、Windows 2000、WindMail 和 SMTP 创建 

另一个包含规则。每添加一种包含规则都会拓宽检测范围。 


2 




作为保护或预防体系的一部分,McAfee ® Network Security Sensor 检测到违反了配置策略的活动时,便会发出预定义的 

响应。要实施有效保护,关键是配置正确的响应。对缓冲区溢出和拒绝服务 (DoS) 等非常严重的攻击要求做出实时响 

应,而对扫描和探查等攻击只需记录日志,以研究其潜在影响和攻击来源。为了提高网络安全性能,建议您根据后果的 

严重性设定一系列的操作、警报和日志。 

因为 Sensor 可安装于网络的任何位置,所以明确 Sensor 的保护区域对确定其响应类型尤为重要。如果 Sensor 安装在 

防火墙之外,则最好对 DoS 和其他针对防火墙的攻击发出警报响应。对于无法通过已知特征码识别、针对内部网络的 

其他大多数可疑流量类型(如扫描和 CGI 数据等),最好记录而不响应。因为它们不会产生即时的影响,并且这样可以 

了解潜在的攻击目的。 

配置策略时,设置响应类型是高效入侵管理系统的关键。 

另请参阅 

自定义 Sensor 对利用漏洞攻击的响应第 92 页 

数据包日志记录 

记录攻击数据包并进行分析是应对将来攻击的一种有效途径。数据包日志由 Sensor 捕获违规传输的网络流量有关数据 

而创建。协议分析专家可以使用这些日志信息确定导致警报的原因,并制定预防再次发生同类警报的解决办法。数据包 

日志通过 Threat Analyzer 从数据库中检索而来,并可以使用 Ethereal 程序打开和检查。默认情况下,UDP 和 TCP 协 

议攻击会生成一个包含当前攻击和通信流中前 128 个字节的数据包日志。 

Sensor 操作 

McAfee 建议使用 Wireshark(以前称为 Ethereal)查看数据包日志。Ethereal 是适用于 Unix 和 Windows 服务器的网络协 

议分析程序,可以用来检查由 Sensor 捕获的数据。有关下载和使用 Ethereal 的详细信息,请参阅 www.wireshark.com。 

Sensor 操作是 Sensor 为了防止将来发生的攻击而做出的响应。最有效的操作是“Drop Further Packets(丢弃其余数据 

包)”,它仅在串联模式下可用,是第一种真正实现的实时防护。在大多数情况下,攻击数据包会在能够实施预防操作前 

到达其目标。“Drop Further Packets(丢弃其余数据包)”可在 Sensor 检查过程中丢弃违规传输。该选项必须在创建或复 

制策略时在利用漏洞或拒绝服务 (DoS) 攻击的“Response(响应)”区域启用。 

其他可用的 Sensor 操作包括: 

• “IPS Quarantine(IPS 隔离)”:Sensor 会执行隔离和修复操作,具体情况视配置而定。 

• “Block DoS Packets(阻止 DoS 数据包)”:阻止检测到的其余 DoS 攻击数据包。这种情况没有配置“Drop Further 

Packets(丢弃其余数据包)”响应,但 Threat Analyzer 可以丢弃其余的 DoS 攻击数据包。 

• “Enable TCP Reset(启用 TCP 重置)”:断开来源、目标或传输两端的 TCP 连接。 

• “Send ICMP Host Not Reachable to Intruder(向入侵者发送无法访问 ICMP 主机消息)”:将此消息发送至 ICMP 传 

输攻击源。 

• “Attack Filtering(攻击过滤)”:通过排除来源和目标 IP 地址参数,限制生成的警报。 

另请参阅 

IPS 隔离设置第 188 页 


如何设置针对攻击的通知 

使用攻击检测、警报和 Sensor 响应等过程可以很有效地管理网络安全。Network Security Platform 还可以为管理员提 

供有关所选攻击的通知。通知是通过电子邮件、电子邮件寻呼机或脚本就被认为具有高优先级的攻击发送的消息。消息 

含有攻击名称、严重性、检测时间等相关信息。通知针对不同的攻击进行配置。可以在自定义利用漏洞、拒绝服务 

(DoS) 或侦测攻击时启用通知功能。本章介绍为利用漏洞或 DoS 攻击启用通知的方法。 

您也可以在通知类别中启用自动确认任意攻击。“Auto.Acknowledge(自动确认)”选项可以将警报标记为“Acknowledged 

(已确认)”,以用于查看警报和生成报告。有关警报确认的详细信息,请参阅“确认警报”。 

电子邮件、寻呼机、脚本列表以及消息内容按不同的管理域进行配置。对于电子邮件和寻呼机通知,您必须设置用于发 

送邮件的邮件服务器(请参阅“McAfee Network Security Platform Manager 管理手册”中的“指定通知邮件服务器”)。 

Network Security Platform 如何计算严重性级别 

Network Security Platform 为攻击数据库中的每个攻击分配一种默认的严重性(中、中或低)。严重性取决于攻击对目标 

系统的直接作用或影响。 

严重性编号方案 

Network Security Platform 使用数字映射方案表示“Informational(信息)”、“Low(低)”、“Medium(中)”和“High(高)”严 

重性,以便获得更直观的显示效果。编号方案如下: 

INFORMATIONAL(信息) LOW(低) MEDIUM(中) HIGH(高) 

0 1‑3 4‑6 7‑9 

指定严重性级别的指导原则与许多开放式安全论坛中使用的原则很类似。可以根据所保护资产的价值自定义这些安全性 

级别,以符合系统的需要。某种攻击对于某个公司可能具有“高”严重性,但对另一个公司来说可能只具“低”严重性。 

攻击类别和严重性范围 

Network Security Platform 将攻击划分为四个类别:“Reconnaissance(侦测)”、“Exploits(利用漏洞)”、“Volume DoS 

(大量 DoS)”和“Policy Violation(违反策略)”。下表说明了严重性级别与不同攻击类别的对应关系: 

类别威胁类型 Network Security Platform 中使用的级 

别 

Reconnaissance(侦测) Host Sweep(主机扫描) 4‑4 

Port Scan(端口扫描) 4‑4 

Brute Force(暴力攻击) 4‑6 

Service Sweep(服务扫描) 6‑6 

OS Fingerprinting(操作系统指纹识别) 6‑6 

Exploits(利用漏洞) Protocol Violation(违反协议) 3‑5 

Buffer Overflow(缓冲区溢出) 7‑9 

Shellcode Execution(Shellcode 执行) 7‑9 

Remote Access(远程访问) 5‑9 

Privileged Access(授权访问) 8‑9 

Probe(探查) 2‑2 

DoS 3‑5 

Evasion Attempt(规避企图) 7‑7 


如何设置针对攻击的通知 2 


2 




类别威胁类型 Network Security Platform 中使用的级 

别 

Arbitrary Command Execution(任意命令执行) 8‑8 

Code/Script Execution(代码/脚本执行) 7‑7 

Bot 7‑9 

Trojan(特洛伊木马) 3‑9 

DDoS Agent Activity(DDoS 代理活动) 7‑9 

Backdoor(后门) 7‑9 

Worm(蠕虫) 6‑9 

Virus(病毒) 3‑5 

Read Exposure(读暴露) 3‑5 

Write Exposure(写暴露) 5‑7 

Volume DoS(大量 DoS) Statistical Deviation(统计偏差) 7‑7 

Over Threshold(超过阈值) 6‑6 

Policy Violation(违反策略) Audit(审核) 0‑0 

另请参阅 

预先配置的规则集和策略第 80 页 

Restricted Access(限制访问) 4‑5 

Restricted Application(限制应用程序) 4‑5 

Unauthorized IP(未授权 IP) 5‑5 

Sensitive Content(敏感内容) 5‑7 

Covert Channel(秘密通道) 5‑5 

Command Shell(命令 Shell) 4‑4 

Non‑standard Port(非标准端口) 4‑4 

Phishing(网络钓鱼) 1‑5 

Potentially Unwanted Program(潜在有害程序) 1‑3 

在 Network Security Platform 中,攻击以前是根据其类型进行分类。例如,一个攻击可能是利用漏洞攻击、侦测攻击、 

DoS 攻击或违反策略。这些类别称为攻击类别。从 Network Security Platform 7.0 版开始,攻击也可以根据其意图和预 

定目标进行分类。例如,目标对准客户端操作系统中漏洞的攻击被归类到“Client Protection/Operating System(客户端保 

护/操作系统)”下。这些类别称为保护类别。 


保护类别具有两个级别。第一级分类更为宽泛,它可以指示攻击是否为恶意软件或者攻击是否对准客户端或服务器。每 

一个类别都具有指示攻击详情的子类别。请参阅下图中的示例。 

图 2-1 保护类别和保护子类别的示例 

对于 McAfee 定义的攻击,McAfee ® Labs 将这些攻击归到一个或多个保护类别中。对于 McAfee 自定义攻击,您可以为 

每个攻击定义指定一个相关的保护类别。 

保护类别能帮助您更好地关联攻击。例如,与将一个攻击仅归为利用漏洞攻击相比,将该攻击分类为对准客户端操作系 

统的利用漏洞攻击能够提供更多信息。您还可以查看与策略中的特定类别相关的攻击定义。例如,您可以检查策略中含 

有哪些用来保护 DNS 服务器的攻击定义。因此,您可以将攻击定义映射到您要保护的网络资源。 

在 Threat Analyzer 中,保护类别功能有助于进行更为细致的分析。例如,您可以分析受到攻击的是客户端还是服务器。 

同样地,您可以根据保护类别生成报告。 

注意: 


何谓保护类别 2 

• 目前,当您查看利用漏洞攻击定义时,您只能根据保护类别进行过滤。此显示过滤器只在“IPS Policies(IPS 策略)” 

页中提供,而不在“Default IPS Attack Settings(默认 IPS 攻击设置)”(以前称为“Global Attack Response Editor(全 

球攻击响应编辑器)”,简称 GARE)页中提供。 

• 在“Recon Policy Editor(侦测策略编辑器)”中,您不能根据保护类别过滤攻击定义。但是,在 Threat Analyzer 中也 

会显示侦测攻击的保护类别详细信息。 

• 在“Custom Attack Editor(自定义攻击编辑器)”中,当您创建利用漏洞或 McAfee 自定义侦测攻击时,您可以指定保 

护类别。这与 Snort 自定义攻击无关。 


2 



Threat Analyzer 和报告中的保护类别详细信息 

在 Threat Analyzer 中,对于每个警报都会显示“Protection Category(保护类别)”(如果有)。会显示相应攻击所属的 

“Protection Categories(保护类别)”的数量。例如,如果显示的数量为 2,则表示攻击属于 2 个“Protection Categories 

(保护类别)”。要查看这些类别的名称,请将鼠标移到数字上方。您可以将警报按保护类别进行分组。从“Group By(分 

组依据)”下拉列表中选择“Protection Categories(保护类别)”。有关 Threat Analyzer 的信息,请参阅“McAfee 

Network Security Platform Manager 管理手册”。 

图 2-2 针对警报显示的“Protection Category(保护类别)” 

当基于警报数据创建用户定义的“Next Generation(新产生)”报告时,您可以将“Protection Category(保护类别)”作为一 

列添加到报告中。您也可以将它作为报告的数据过滤器。有关用户定义的“Next Generation(新产生)”报告的信息,请参 

阅“McAfee Network Security Platform Manager 管理手册”。 


3 

如何管理 IPS 设置 

“IPS Settings(IPS 设置)”资源节点便于执行以下操作: 

目录 

如何查看分配的策略 

如何配置和管理策略 

如何管理攻击过滤器和攻击响应 

防火墙策略 

默认保护选项 

如何解密 SSL 进行 IPS 检查 

IPS 隔离设置 

数据存档选项 

如何维护 Manager 数据库 

警报通知选项 

更新设备配置 


3 





通过“Policies(策略)”页,可以查看已分配给 McAfee ® Network Security Platform 的各种资源的 IPS 策略、侦测策略、 

防火墙策略和连接限制策略。策略按不同的 McAfee ® Network Security Sensor、接口和子接口而列出。在根管理域可以 

查看为所有子域分配的策略。对于非根父域,只能查看为父域和子域分配的策略。对于子域,则只能查看为子域中的资 

源分配的策略。选择“/IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”以查看分配的 

IPS 策略。 

图 3-1 “IPS Settings(IPS 设置)”‑“Summary(摘要)”页 

“Policies(策略)”选项卡含有配置和管理策略的主要操作。它还提供了一些预先配置的规则集和策略,可供直接使用。 

初始化 Network Security Platform 时,将使用“Default Inline IPS(默认串联 IPS)”策略。您可以按原有的状态使用提供 

的规则集/策略、根据需要进行复制和自定义,或者创建新的规则集/策略,然后应用于保护的网络资源中。 

“Policies(策略)”选项卡含有以下操作: 

• IPS 策略:添加、复制、查看、编辑或自定义 IPS 策略。 

• 侦测策略:查看、创建和自定义侦测策略。 

• 防火墙策略:定义/分配防火墙策略。 

• 连接限制策略:定义/分配连接限制策略。 

另请参阅 

策略分配第 57 页 

在接口级别配置 HTTP 响应扫描第 321 页 

管理侦测策略第 48 页 

如何管理 IPS 策略 

通过在部署之前将攻击过滤器与规则集集中在一起进行最终的自定义,“IPS Policies(IPS 策略)”功能可以为 IPS 策略 

管理提供强大的调节工具。通过“IPS Policies(IPS 策略)”,您可以精确选择需要防御的利用漏洞和拒绝服务攻击 

(DoS)、用于阻止当前或将来产生的影响的自动响应类型,以及有助于您的团队迅速响应恶意利用网络行为的通知方法。 


“IPS Policies(IPS 策略)”选项卡含有以下操作: 

• 添加 IPS 策略 

• 复制 IPS 策略 

• 查看/编辑 IPS 策略 

• 对 IPS 策略使用批量编辑功能 

• 删除 IPS 策略 

• 创建 IPS 策略的版本 

另请参阅 

添加 IPS 策略第 25 页 

删除 IPS 策略第 47 页 

复制 IPS 策略第 42 页 

添加 IPS 策略 

如果为多个攻击设置相同的响应最适合您的策略自定义(例如,在启用串联模式后支持对所有“High(高)”严重性攻击 

采用“Drop Packets”(丢弃数据包)响应),请尝试使用利用漏洞攻击自定义内的“Bulk Edit(批量编辑)”功能。“对 IPS 

策略使用批量编辑功能”一节详细介绍了此过程。 

在“IPS Policies(IPS 策略)”中添加新策略,将带您调整参数以保证网络安全。下面的步骤说明了完成策略配置的一些核 

心要素: 

使用“IPS Policies(IPS 策略)”时,创建或修改设置的任务最多会打开四个独立的 Java 窗口。每个窗口都会带有一个“Save 

(保存)”或“OK(确定)”按钮以及一个“Cancel(取消)”按钮。单击“Save(保存)”会将信息保存到数据库并且关闭所有策略 

配置操作。单击“OK(确定)”将关闭在配置策略时打开的子窗口,并保存在该子窗口中进行的任何更改。单击“Cancel(取 

消)”则中止任何操作并关闭窗口。如果要继续创建或修改策略,则在您完成该窗口中提供的所有选项卡、步骤或操作之 

前,不要单击“Save(保存)”或“OK(确定)”。 

添加用于在特定的网络环境监控攻击的新策略: 


如何配置和管理策略 3 


3 



任务 

1 选择“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”。 

2 单击“New(新建)”。 

“Policy Details(策略详细信息)”窗口即会打开,其中“Properties(属性)”选项卡处于选中状态。 

图 3-2 “Properties(属性)”选项卡(“Policy Details(策略详细信息)”窗口) 

3 更新以下字段: 

字段名描述 

“Name(名称)” 策略名称 

“Description(描述)” 策略描述 

“Make this policy visible to 

child Admin Domains?(是否 

要使此策略对子管理域可 

见?)” 

指定该策略是否应用到所有子管理域。 

“Granularity(精度)” 对攻击定义设定的程度。可用选项包括: 

• “Maintain distinct sets of attack definitions for each direction (more flexible)(为 

每个方向维护不同的攻击定义集(更加灵活))” 

如果您希望分别管理入站和出站攻击,请使用该选项。 

• “Use a single set of attack definitions for the entire policy (simpler)(针对整套策 

略使用单独的攻击定义集(更加简单))” 



“Rule Set(规则集)” 适用于入站和出站流量的规则集。 

“Sensitivity(敏感度)” 定义潜在拒绝服务攻击的敏感度级别。严重性级别包括: 

• Low(低) 

• Medium(中) 

• High(高) 

4 单击“Calculate Attack Definitions(计算攻击定义)”。 

将显示“Attack Definitions(攻击定义)”选项卡。 

图 3-3 “Attack Definitions(攻击定义)”选项卡(“Policy Details(策略详细信息)”窗口) 

对于高风险主机,也增加了新的 IPS 攻击定义。通过此功能,您可以彻底阻止/隔离具有高风险的主机。 

图 3-4 “Attack Definitions(攻击定义)”选项卡(”High Risk(高风险)“主机) 

配置“Quick Filter(快速过滤器)”选项,对根据以下参数来查看的攻击进行过滤。 


“Direction(方向)” 指定攻击方向是“Inbound(入站)”还是“Outbound(出站)”。 

“Severity(严重性)” 指定攻击的严重性是“High(高)”、“Medium(中)”还是“Low(低)”。 

“Recommended for 

Smart Blocking (RFSB) 

(建议智能阻止 (RFSB))” 

是否建议使用“智能阻止”功能。选项包括“Yes(是)”和“No(否)”。 




3 




“Industry Attack ID(行业 

攻击 ID)” 

“Protection Categories 

(保护类别)” 

指定“Industry Attack ID(行业攻击 ID)的类型。供选择的选项包括: 

• “ArchNIDS” • “CVE” 

• “BugTraq” • “Microsoft” 

• “CERT” • “NSP” 

基于“Protection Categories(保护类别)”过滤攻击,保护类别表明攻击意图和目标类型。 

例如,目标对准客户端操作系统中漏洞的攻击被归类到”Client Protection(客户端保护)” 

的“Operating System(操作系统)”子类别中。您只能选择子类别。 

“Responses(响应)” 指定针对攻击所产生的响应类型。响应类型包括: 

• “Enable SmartBlocking(启用智能阻止)” 

• “Enable blocking(启用阻止)” 

• “Log packets(记录数据包)” 

• “Quarantine(隔离)” 

“Protocols(协议)” 指定协议类型。 

“Applications(应用程 

序)” 

5 单击“Save(保存)”。 

• “Send ICMP host unread(发送 ICMP 主机未读信息)” 

• “Send TCP reset to destination(向目标发送 TCP 重置请求)” 

• “Send TCP reset to source(向来源发送 TCP 重置请求)” 

• “Send TCP reset to source and destination(向来源和目标发送 TCP 重置请求)” 

• “Send alert to the Manager(将警报发送至 Manager)” 

指定应用程序类型。 

此时将显示“Summary(摘要)”窗口,其中包含“Policy Attributes(策略属性)”的详细信息。 

可以在“Optional Comment(可选备注)”文本字段中键入任何备注。 

图 3-5 “Summary(摘要)”窗口 

6 单击“Finish(完成)”。 


应用规则集 

任务 

• 添加攻击备注第 38 页 

另请参阅 

如何管理 IPS 策略第 24 页 

如何对入站和出站流量应用规则集 

入站和出站指流量在网络中的流动方向。入站指流量以内部网络为目的地,出站指流量以外部网络为目的地。McAfee 

建议对入站和出站通信量应用不同的规则集,原因如下:进入网络区域(如 DMZ)的流量可能只需使用 DMZ 规则集, 

而离开 DMZ 的流量则可能以外部网络为目的地,因而需要使用更为一般化的规则集(如“Default(默认)”规则集)来保 

护出站流量。 

另请参阅 

应用规则集第 29 页 

尽管可以将入站和出站规则集应用到采用 SPAN 模式的 Sensor,但只能强制实施入站规则集。 

要应用规则集,请在 IPS 策略中执行以下操作: 

任务 

1 转到“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”。 

“IPS Policy List(IPS 策略列表)”窗口即会出现。 


“Add a Policy(添加策略)”窗口即会出现。 

图 3-6 应用规则集 

3 输入“Policy Name(策略名称)”。 

4 输入策略“Description(描述)”。 



5 选中复选框以指定策略对于“Child Admin Domains(子管理域)”是否可见。否则,取消选中此复选框。 


3 



6 在“Protection Logic(保护逻辑)”中,指定“Granularity(精度)”。 

7 从下拉列表中选择“Rule Set(规则集)”。 

8 从下拉列表中选择“Sensitivity(敏感度)”级别。 

9 选择“Save(保存)”以保存所做的更改。 

另请参阅 

如何对入站和出站流量应用规则集第 29 页 

如何指定入站策略与出站策略相同第 30 页 

如何指定入站策略与出站策略相同 

您可以创建或修改策略,以指定操作系统、协议、应用程序等的出站规则与其入站规则相同。 

McAfee 建议对入站和出站通信量应用不同的规则集,原因如下:进入网络区域(如 DMZ)的流量可能只需使用 DMZ 规 

则集,而离开 DMZ 的流量则可能以外部网络为目的地,因而更为一般化的规则集(如默认规则集)可以更好地保护出站 

流量。 

尽管可以将入站和出站规则集应用到采用 SPAN 模式的 Sensor,但只能强制实施入站规则集。 

要验证出站规则和入站规则是否相同,请转到“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策 

略)”,并查看“Outbound Rule Set(出站规则集)”列。 

另请参阅 

应用规则集第 29 页 

如何添加审核日志备注 

您可以在自己创建的 IPS 策略上添加备注。 

当在“Policy Details(策略详细信息)”窗口的多个操作中单击“Save(保存)”按钮后,即会出现“Summary(摘要)”窗口。 

使用此对话框可以在对现有操作进行更改后输入备注。单击“Audit Log(审核日志)”表中的描述超链接可以查看这些备 

注。 

仅当 EMS 属性“iv.ui.commit.comment.isEnforced”被设置为 TRUE(默认值)时,“Summary(摘要)”窗口才会弹出。禁用 

此属性,该对话框则不会弹出。 

用户可以通过在“config\ems.properties”文件中将该值设置为 FALSE 来关闭该选项。在这种情况下,用户在提交更改时将 

不会看到显示属性更改和提交备注文本输入的提示对话框。 

如果“iv.ui.commit.comment.isEnforced.isCommentMandatory”属性(默认值为 FALSE)被设为 TRUE,则用户必须在 

“Commit Comment(提交备注)”字段中输入备注。仅当启用“iv.ui.commit.comment.isEnforced”时,才能使用该属性。 

另请参阅 

查看 IPS 策略备注第 31 页 


在“Summary(摘要)”窗口中添加备注 

任务 

查看 IPS 策略备注 

1 创建 IPS 策略。 


此时将会显示“摘要”窗口,其中包含自定义操作的详细信息和备注字段。 

图 3-7 “Summary(摘要)”窗口 ‑“Optional comment(可选备注)” 

3 在“Optional Comment(可选备注)”字段中输入您的备注。 


可以查看有关已创建的 IPS 策略的备注。 

要查看 IPS 策略的备注,请执行以下操作: 




3 



任务 

1 单击“My Company(我的公司)” | “Log(日志)” | “User Activity Audit(用户活动审查)”。 

2 单击“View Messages(查看消息)”。 

图 3-8 “User Activity Audit Log(用户活动审核日志)”页 

查看审核日志表中的消息。 


3 单击链接以查看该页面。 

此时将显示“Audit Data Details(审查数据详细信息)”页。 

图 3-9 用户活动审核 ‑ 日志 

4 单击“Back(上一步)”以返回“User Activity Audit log(用户活动审核日志)”页。 

另请参阅 

如何添加审核日志备注第 30 页 

查看攻击描述 

McAfee ® Network Security Platform 检测到的每个攻击都包含一个攻击描述。各攻击描述中的信息都旨在对攻击造成的 

影响以及今后防范该攻击的方法提供参考说明。 

您可通过以下位置查看攻击描述: 

• “Policy(策略)”:在查看/创建策略的过程中。包括全部利用漏洞攻击、DoS 攻击和侦测攻击。 

• “Threat Analyzer”:检测到攻击的详细信息内。 



• “Network Security Platform KnowledgeBase(Network Security Platform 知识库)”:攻击大全内的全部条目。 


3 



单击“Attack Description(攻击描述)”按钮后,即会在 Internet Explorer 浏览器窗口中打开一个 HTML 文件。 

图 3-10 攻击描述示例 

“Attack Information & Description(攻击信息和说明)”中的字段说明如下: 

• “Name(名称)”:Network Security Platform 指定的攻击名称。 

• “Vulnerability Type(漏洞类型)”:可能被攻击者利用的系统固有缺陷的类型。 

• “Impact Category(影响类别)”:对系统造成的影响类型。 

• “Impact Subcategory(影响子类别)”:可能被攻击者利用的系统固有缺陷的类型。 

• “Severity(严重性)”:攻击可能造成的恶意影响。严重性分为“High(高)”、“Medium(中)”、“Low(低)”。 

• “Signature Count by Benign Trigger Probability(按良性触发几率计算的特征码计数)”:分别具有高、中或低良性触 

发几率的特征码数目。良性触发几率是攻击特征码可能触发误报的几率。 

• “Description(描述)”:攻击定义和条件。 

• “Possible Effects(可能影响)”:攻击得逞造成的后果。 


影响类别 

影响子类别 

• “Recommended Solution(建议解决办法)”:可用的解决办法和补丁程序。 

• “Platforms Affected(影响平台)”:受攻击直接影响的系统和/或软件。 

• “Additional Information(附加信息)”:Network Security Platform 支持使用多种标准和来源查找已知攻击的信息。通 

过让 Network Security Platform 攻击名称和 CVE 名称、BugTraq ID 或其他链接进行交叉引用,可以帮助您分析已 

知攻击和漏洞。 

• “Network Security Platform ID”:Network Security Platform 内唯一的全局攻击 ID。 

• “Last Rev Date(上次修订日期)”:上次更新攻击信息的日期。 

• “CVE”:与攻击相关的通用漏洞披露 (CVE) 名称。CVE 维护已知漏洞和安全隐患的标准化名称列表。请参阅 

www.cve.mitre.org。“CVE‑1999‑0001”之类的 CVE 名称被称为条目,名称开头都标有“CVE”字样。条目是指已经 

被 CVE 编委会接受的漏洞或隐患。“CAN‑2001‑0002”之类的 CVE 名称被称为候选条目,名称开头都标有“CAN” 

字样。候选条目是指“正在考虑纳入 CVE”的漏洞或隐患。CVE 名称具有三个字段:条目状态、条目年份和条目 

在当年的编号。例如,如果 CVE 名称显示为“CVE‑2000‑0005”,则表示该漏洞/隐患是 2000 年接受的第五个条 

目。CVE 条目从候选到正式,亦即从 CAN 变至 CVE 时数字 ID 很可能会发生改变。例如,CAN‑2001‑0023 可能 

在 2002 年被接受并显示为:“CVE‑2002‑0002”。BugTraq:BugTraq 数据库中所列的攻击 ID。请参阅 http:// 

online.securityfocus.com/。 

• “Microsoft”:Microsoft 安全公告中所列的攻击 ID。 

• “Links(链接)”:其他信息来源。 

系统漏洞被发现后,攻击者就可能发起影响系统的攻击,威胁系统安全。影响类别也称为“攻击类型”,详细罗列了可能 

对系统造成影响的一般类型。 

表 3-1 

类别描述 

Exploit(漏洞利用) 这个类别涵盖大部分攻击活动,包括主动寻找机会危害系统,未经授权访问机密信息或 

服务,或者利用已知或潜在的系统漏洞篡改系统的正常运行方式。 

Policy Violation(违反策略) 攻击者做出违反组织或系统策略的行为,可能是企图访问他们无权访问的信息。 

Reconnaissance(侦测) 这类活动的目的是收集情报,为进一步攻击做准备,例如通过扫描或探查端口枚举或确 

定服务和潜在漏洞。 

DoS and DDoS(DoS 和 

DDoS) 

Multi Sensor Correlation(多 

Sensor 关联) 

执行了拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击,可能危害网络或系统的响应能 

力或继续提供服务的能力。 

为了识别攻击行为的不同短语,Manager 将多个入侵检测系统 (Sensor) 上的攻击检测 

信息关联起来。 

Protocol discovery(协议查找) Sensor 确定已知端口上的协议异常,例如,在已知端口上运行的 P2P 软件。 

Multi method correlation(多 

个方法关联) 

为了识别攻击行为的不同短语,将多种检测方法用于关联攻击流量。此类关联的示例有 

攻击特征码、Network Security Platform Shellcode 检测和统计关联。 

Flow correlation(流相关) 为了提高攻击检测的准确性和加大攻击所造成影响,Sensor 将每个会话的双向流量关 

联起来。 

Application anomaly(应用程 

序异常) 



HTTP 浏览器传出的字节数量远大于实际传入的字节时,将导致此类攻击。此类攻击的 

示例有“Buffer Overflow(缓冲区溢出)”。 

影响子类别是指可能被熟悉系统漏洞的攻击者利用的系统固有的特定缺陷。已知漏洞会威胁系统,攻击者可能利用这一 

威胁发起专门针对缺陷系统某一部位的攻击。 


3 



表 3-2 

类别描述 

Audit(审核) 任何事关安全分析员的网络事件。例如,调用特定的应用程序或在某些应用程序中使用特定的 

命令。 

Back Door(后门) 取决于触发器的可信度,可能表示联系后门进程的企图,也可能是实际出现后门的双向通信。 

如果是后者,则表明您的网络中要么存在后门进程,要么存在后门用户,甚或是二者同时存在, 

具体取决于通信端的位置。 

Brute Force(暴力攻 

击) 

Buffer Overflow(缓冲 

区溢出) 

Command Shell(命 

令 Shell) 

Covert Channel(秘密 

通道) 

DDoS Agent Activity 

(DDoS 代理活动) 

密码破解程序之类的程序使用暴力攻击尝试许多不同的密码来猜测正确的密码。 

这种警报指示有人试图利用某些软件的漏洞,通过这些漏洞操纵缓冲区空间可导致改写非预定 

内存区域。这种改写操作会导致不同的后果,具体取决于被改写区域是不是可执行区域。如果 

不是可执行区域,可能导致软件故障,如拒绝服务;如果是可执行区域,可能执行当前进程环 

境中的任意计算机代码,严重破坏安全。 

表示 Unix 或 Windows 等操作系统下交互式 Shell 的流量活动。 

认为不是发生在受监控通信通道上的任何通信活动。 

已知的 DDoS 攻击工具在攻击者(或处理程序)和攻击代理(或傀儡)之间使用各种通信方式。 

检测到这些活动就意味着有人试图联系 DDoS 代理,或所监控的网络中存在实际攻击者或代理 

进程。 

DoS 精心编制的数据包(例如带有无效或不一致的 TCP/UDP/IP 报头值),意图使目标 TCP/IP 堆栈 

崩溃或导致大量资源被占用。 

Evasion Attempt(规 

避企图) 

Fingerprinting(指纹 

识别) 

Host Sweep(主机扫 

描) 

Non‑standard Port 

(非标准端口) 

Over Threshold(超过 

阈值) 

这种警报指示流量中的一系列数据包或字节表示逃避 IDS 检测的特定企图。例如,已知的 

FTP 攻击就是使用换码控制符序列隐藏攻击负载,基于 TCP 的 RPC 攻击可能使用记录格式拆 

分攻击负载。 

精心定义的数据包序列,每个数据包本身通常都有探查企图,它们针对特定的目标 IP 地址发 

出,目的是确定目标操作系统或主机类型。 

精心定义的数据包序列,企图通过扫描一定范围的目标 IP 地址确定活动的主机。 

根据协议规范,表示标准协议运行在非标准端口上的任何流量活动。 

超过了任何精心定义的流量阈值的情况。例如,ICMP 数据包速率、IP 碎片速率等。 

Port Scan(端口扫描) 精心定义的数据包序列,企图通过扫描给定 IP 上的多个目标端口确定目标主机上的开放端口。 

Privileged Access(授 

权访问) 

授权访问指示最严重的一种成功利用漏洞攻击,它使未获授权的攻击者得到了授权帐户。例如, 

在 Unix 服务器上成功造成缓冲区溢出,就会为攻击者打开根 Shell。或者,攻击者已经通过损 

害合法用户帐户或远程访问,成功获得权限提升。授权访问使攻击者可以完全控制受损系统。 

Probe(探查) 特定服务或主机的探查程序,通常基于特殊构造的数据包,如不常用的标记设置。 

Protocol Violation(违 

反协议) 

Read Exposure(读暴 

露) 

Remote Access(远程 

访问) 

Restricted Access(限 

制访问) 

Restricted 

Application(限制应 

用程序) 

应用协议异常行为,包括无效的字段值或无效的命令序列等。 

攻击成功,表示机密资料已泄露。例如,目录被遍历、文件内容(如 CGI 脚本)被转存或者其 

他敏感数据文件(如密码和数据库记录)被读取。 

远程访问表示利用漏洞攻击可能已成功,非授权访问已经得逞。例如,在 Windows 服务器上成 

功造成缓冲区溢出,会为攻击者打开 Windows 命令 Shell。不一定只有授权用户才能进行远程 

访问,如果攻击者成功实现远程访问,就可能会进一步攻击系统来取得权限提升。 

任何明令禁止的与使用网络资源有关的活动。例如,来自/发往特定地址的电子邮件和浏览特定 

的 URL。 

策略禁止的与运行网络应用程序有关的任何活动。例如,未经授权在公司网络上运行 IRC 或音 

乐共享服务器。 


表 3-2 (续) 

类别描述 

Sensitive Content(敏 

感内容) 

Shellcode Execution 

(Shellcode 执行) 

Statistical Deviation 

(统计偏差) 

所有内容关键字匹配,它们被认为在传输敏感信息,例如标有“Company Confidential(公司机 

密)”字样的文档。 

这类警报指示最严重的缓冲区溢出攻击,也就是载有 Shellcode 负载的缓冲区溢出攻击。 

Shellcode 是可执行代码的泛称,它在目标系统上被成功执行后,将修改目标系统的配置或执行 

恶意行为。 

指示检测到特定流量测量的数据包速率发生明显变化。例如,如果在正常的通信流中,TCP 

SYN 数据包占流量的 23‑28%,当短期内测量到的 TCP SYN 流量达到 40% 就表示受到 DoS 

攻击。 

Unassigned(未指定) 此类别表示 Network Security Platform 环境中已知子类别范围之外的攻击。例如,如果攻击者 

随 Van Eck 设备出现,并开始发起猛烈攻击,就会用“未分配”来描述类别。 

Unauthorized IP(未 

授权 IP) 

含有未获受保护网络访问权限的 IP 地址的任何流量活动。 

Virus(病毒) 与特定病毒有关的任何网络事件或负载。恶意病毒会给它的攻击目标造成各种损坏,涉及范围 

包括窃取或毁坏资料信息一直到安装后门进程。不过,病毒需要依赖其他载体(如电子邮件)在 

网络间传播。 

Volume DoS(大量 

DoS) 

大量流量,从应用内容的角度来看,这些流量可能完全有效,但它们会完全淹没通向目标系统 

路径中的处理元素(包括交换机、路由器、防火墙和目标服务器等),这会对其他合法流量造 

成 DoS 影响。 

Worm(蠕虫) 与特定蠕虫活动有关的任何网络事件或负载。恶意蠕虫会给它的攻击目标造成各种损坏,涉及 

范围包括窃取或毁坏资料信息一直到安装后门进程。蠕虫与病毒的不同之处在于它本身可以通 

过网络传播。 

Write Exposure(写暴 

露) 

Arbitrary Command 

execution(任意命令 

执行) 

Code Execution(代码 

执行) 

如果攻击成功,表示数据库的完整性和/或真实性已被破坏。例如,创建、删除和修改了系统配 

置或用户密码文件。出现写暴露警报时,经常会有更为严重的间接影响,例如添加非法用户帐 

户记录破坏访问控制。 

攻击者可以执行系统命令和脚本(例如获取系统上列出的目录),从而窃取和毁坏数据。可以访 

问用户系统的攻击者可能会利用漏洞并安装恶意软件,然后利用此系统对其他系统发动攻击。 

恶意用户可用于危害用户系统的漏洞。攻击者可以在用户系统上执行恶意程序或代码。 

成功利用漏洞的攻击者可以执行任意代码,并可能完全控制受影响的系统。攻击者可以使用提 

升权限运行代码。 

如果用户以管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。然后, 

攻击者可以安装程序;查看、更改或删除数据;或者使用完全用户权限创建新帐户。在系统上 

配置为具有较少用户权限的帐户,其用户受到的影响小于使用管理员用户权限进行操作的用户。 

Bot 指一组运行或执行程序的计算机,该程序允许攻击者远程控制系统,并使用户执行类似 DOS 

的命令。在 IRC 通道中 

Service‑sweep(服务 

扫描) 

执行这些命令。 



Bot 是一种恶意软件,该软件允许攻击者获取对受影响计算机的完全控制权限。被 Bot 感染的 

计算机通常被称为“傀儡”。攻击者可以访问“傀儡”PC 的列表并激活这些列表,以帮助对网站执 

行 DoS(拒绝服务)攻击、驻留网络钓鱼攻击网站或发送大量垃圾邮件。 

Bot 蠕虫是驻留在当前内存 (RAM) 中的自我复制的恶意软件程序,使受感染的计算机成为“傀 

儡”(或 Bot),并将自身传输到其他计算机。创建 Bot 蠕虫的最终目的是创建 Botnet,Botnet 可 

以用作传播病毒、特洛伊木马和垃圾邮件的载体。 

一种警报,表示对网络或子网上的服务进行客户端扫描,从而导致损坏增加的带宽并增加网络 

流量。此警报通常由 P2P 客户端生成。“Service Sweep(服务扫描)”用于尝试确定是否在一系 

列计算机上运行某个服务。黑客将选择一个端口(通常为 25‑SMTP、80‑HTTP 或 

139‑NetBIOS SSN)和 IP 地址的范围。 

“Ping Sweep(Ping 扫描)”用于尝试找出网络中处于启动状态并做出响应的计算机。 

在跟踪中检测这些计算机的最简单方法是查找 ARP 数据包。因此,应创建一个过滤器来查找 

ARP 请求。 


3 



表 3-2 (续) 

类别描述 

Phishing(网络钓鱼) 一种电子邮件欺诈方法,犯罪者发送看似合法的电子邮件,企图收集收件人的个人信息和财务 

信息。通常,这些邮件伪装成为来自已知并且值得信任的网站。通常网络钓鱼网站伪装成的网 

站包括 eBay、MSN、Yahoo 等。 

“Phishing(网络钓鱼)”是一种 Internet 诈骗形式,旨在窃取重要信息,如信用卡、身份证号码、 

用户 ID 和密码。创建的虚假网站类似于合法的组织,通常是银行或保险公司等金融机构。发送 

的邮件要求收件人访问假冒的网站(通常为可信任站点的副本),并输入其个人详细信息,包括 

安全访问代码。 

PUP PUP(潜在有害程序)是尽管用户可能同意下载但却可能有害的程序。PUP 包括间谍软件、广 

告软件和拨号程序,并且通常随用户需要的程序一起下载。McAfee 将 PUB 和其他类型的恶意 

软件(如病毒、特洛伊木马和蠕虫)区分开,用户可以放心地将其假定为有害的程序。 

添加攻击备注 

使用“Annotate Description(注释描述)”功能可为攻击添加注释。可以在攻击自定义过程中添加攻击注释。 

对于所有攻击类别,在“IPS Policies(IPS 策略)”、“Default IPS Attack Settings(默认 IPS 攻击设置)”和 

“Reconnaissance Policies(侦测策略)”中都会显示用户注释。 

要添加攻击备注,请执行以下操作: 

任务 

1 选择要自定义的攻击。 

2 单击“Annotate Description(注释描述)”。 

图 3-11 “Edit Attack Details For Attack(编辑攻击的攻击详细信息)”对话框 ‑“Attack Description(攻击描述)”按钮 


3 选择“Annotations of Parent Admin Domains(父管理域的注释)”。 

图 3-12 “Annotate Attack Description(注释攻击描述)”对话框 

• “Append to(附加到)”:将新备注添加到父域的现有备注中。(默认)。 

• “Override(覆盖)”:新注释将会显示。父域注释不会显示。 

4 在“Add Attack Description Annotation(添加攻击描述注释)”区域中输入您的备注。 

最多可以输入 1024 个字符。 


任务 

选中“Visible to Child Admin Domains(对子管理域可见)”选项以允许子域查看添加到父级别的备注。 

父域不能查看子域添加的备注。 

由于子域不能编辑父域创建的策略,因此子域可以创建自己的策略或复制策略。同样地,子域不能编辑父注释,但可 

以附加到父注释或覆盖父注释。 

• 向父域附加注释第 40 页 

• 覆盖父域注释第 40 页 




3 

向父域附加注释 

覆盖父域注释 



“Append to(附加到)”功能可以在现有注释中添加新的注释。子域可以向父域的注释中添加其他注释。子域可以查看父 

注释,但不能编辑父注释。 

已附加的注释仅显示在创建注释的域及其子域中。父域不能查看子域注释。 

要附加注释,请执行以下操作: 

任务 



3 从“Annotations of Parent Admin Domain(父管理域的注释)”列表中选择“Append to(附加到)”。 

4 在“Add Comment for Attack Description(添加攻击描述注释)”中输入新的注释。 


您的备注即会出现在父注释下。 

图 3-13 为“Attack(攻击)”对话框添加父域注释 

子域可以覆盖父域注释,“Override(覆盖)”功能仅显示新添加到域中的注释。父注释不会显示。 

子注释仅显示在所创建的域及其子域中。 

要覆盖父域注释,请执行以下操作: 

任务 




3 从“Annotations of Parent Admin Domains(父管理域的注释)”列表中选择“Override(覆盖)”。 

4 在“Add Comment for Attack Description(添加攻击描述注释)”中输入新的注释。 


图 3-14 “Annotate Attack Description(注释攻击描述)”对话框 ‑“Override(覆盖)”选项 




3 

查看用户注释 



您的注释也会显示在“Attack Encyclopedia(攻击大全)”中。 

图 3-15 攻击信息和描述 

单击“Attack Description(攻击描述)”以查看“Attack encyclopedia(攻击大全)”的“User Comments(用户备注)”部分下 

的注释。 

复制 IPS 策略 

复制操作可复制现有的策略,它类似于“另存为”功能。您可以编辑 Network Security Platform 提供的策略。但是,如果 

要编辑策略的副本,您可以复制任何现有策略,以进一步调整策略,供在新环境中使用。可以复制提供的策略,以新的 

名称保存,并针对您的特殊环境进行自定义。 

复制提供的策略后,可以添加或去除策略的一些默认设置。例如,您可能发现某个特征码导致了误报,于是需要禁用该 

特征码的攻击警报。另外,您网络环境可能收到对系统产生影响的异常攻击,因此需要将该攻击添加到策略之中,以加 

强安全性。 

如果为多个攻击设置相同的响应适合您的策略自定义(例如,在启用串联模式后支持对所有“High(高)”严重性攻击采用 

“Drop Packets(丢弃数据包)”相应),请尝试使用利用漏洞攻击自定义内的“Bulk Edit(批量编辑)”功能。 

要复制策略,请执行以下操作: 

任务 


2 选择您要复制的策略。 


3 单击“Clone(复制)”。 

4 此时将显示“Clone an IPS Policy(复制 IPS 策略)”窗口,原始策略名称后将附加了一个默认名称,例如“Default 

IDS clone”。 

5 根据需要,键入策略的新名称。 

编辑策略参数。 

另请参阅 


查看/编辑 IPS 策略 

编辑 IPS 策略可以对策略进行必要更改,使其适应所监控的流量。 

编辑一个策略将永久更改该策略。要对策略进行修改或更新,请尝试执行以下操作: 

• 如果您只希望对策略做微小的更改并以另一个名称保存,可尝试执行“复制 IPS 策略”中的步骤。 

• 在对 Network Security Platform 提供的策略进行编辑之后,如果要将该策略恢复为 McAfee 提供时的状态,只需要 

添加新策略,并应用与您要恢复到的最初策略相匹配的入站和出站规则集。 

• 如果为多个攻击设置相同的响应适合您的策略自定义(例如,在启用串联模式后支持对所有“High(高)”严重性攻击采 

用 “Drop Packets(丢弃数据包)”响应),请尝试使用利用漏洞攻击自定义内的 “Bulk Edit(批量编辑)”功能。 

要编辑策略,请执行以下操作: 

任务 


2 选择要编辑的策略。 

3 单击“View/Edit(查看/编辑)”。 

4 编辑策略参数。 

策略信息需要数秒加载和显示。 

对 IPS 策略使用批量编辑功能 

“Bulk Edit(批量编辑)”功能可一次选择并编辑多个攻击。此操作对于一次性为多个攻击配置相同的响应特别有用,它可 

以减少总体配置时间。 

要使用“Bulk Edit(批量编辑)”功能,请执行以下操作: 

任务 

1 请参阅“添加 IPS 策略”的“步骤 1”到“步骤 6”。 

批量编辑还可用于在复制或编辑策略时快速自定义多个攻击。 




3 



2 从“Configure Attack Detail for Attack Category:(配置攻击类别的攻击详细信息: )”窗口中选择多 

个攻击。 

图 3-16 策略详细信息 ‑“Bulk Edit(批量编辑)”选项 


3 单击“Bulk Edit(批量编辑)”。“Selected Exploit Attacks(选定的利用漏洞攻击)”窗口的“Bulk Edit(批量编辑)”即会打 

开。 

要在策略级别批量编辑攻击,请启用每个选项旁的“Bulk Edit(批量编辑)”和“Customize(自定义)”。 

仅当您在策略级别启用攻击后,“Selected Exploit Attacks(选定的利用漏洞攻击)”窗口的“Bulk Edit(批量编辑)”中的 

字段才会显示。 

图 3-17 “Bulk Edit for Selected Attacks(选定攻击的批量编辑)”窗口 

4 (可选)从下拉菜单中选择所有选定攻击的“Severity(严重性)”。 

如果这些攻击的严重性各不相同,则这一操作会将同一严重性指定至所有选定攻击。 

5 在“Sensor Response(Sensor 响应)”区域中,默认情况下未选中“Enable Alert(启用警报)”复选框。 

但是,在“Configure Attack Detail for Attack Category:(配置攻击类别的攻击详细信息: )”表中, 

所有标记为“Enabled(启用)”的攻击仍然处于启用状态。请注意,“Response(响应)” | “Logging(日志记录)”子选 

项卡以及“Notifications(通知)”区域不可用,因此无法进行配置:它们只有在选中“Enable Alert(启用警报)”复选框 

后才变为可用。 

执行以下任一操作: 

• 单击“Enable Alert(启用警报)”复选框。转到“步骤 6”。 

• 在“Sensor Actions(Sensor 操作)”中选择 Sensor 响应。可以在没有选中“Enable Alert(启用警报)”的情况下选 

择 Sensor 响应。请转至下一步。 

6 单击“Logging(日志记录)”选项卡。 




3 



7 选择要应用于所有攻击的“Logging(日志记录)”响应。要同时启用两种记录响应,必须单击“Enable Logging(启用 

记录)”以及“Capture 128 Bytes(捕获 128 字节)”。 

图 3-18 记录响应选项 

8 返回至“Sensor Actions(Sensor 操作)”选项卡。 

9 选中要应用于所有攻击的 Sensor 响应旁边的复选框。 

10 在“McAfee NAC Notification(McAfee NAC 通知)”区域,选中要应用于所有攻击的通知旁边的复选框。 


11 单击窗口底部的“OK(确定)”。随即出现一个检查页面,其中显示了自定义的配置。 

图 3-19 “Bulk Edit(批量编辑)”‑“Review(查看)”页 

单击“Cancel(取消)”将退出批量编辑而不进行任何更改。 

12 单击“OK(确定)”将确认并保存批量编辑所做更改。您将返回“Configure Attack Detail for Attack Category(配置攻 

击类别的攻击详细信息)”窗口。 

另请参阅 

使用默认 IPS 攻击设置第 82 页 

如何对侦测策略使用批量编辑功能第 55 页 

删除 IPS 策略 

要删除已创建的策略,请执行以下操作: 

任务 


2 选择要删除的策略。 

3 单击“Delete(删除)”。 

4 单击“Yes(是)”以确认删除。 

不能删除目前已应用的策略。 

另请参阅 





3 



管理侦测策略 

“Reconnaissance Policies(侦测策略)”操作可使用最终的调节工具管理侦测策略。使用此选项卡,您可以选择需要防御 

的侦测攻击、用于阻止当前或将来发生影响所需的自动响应类型,以及有助于团队迅速响应恶意利用网络行为的通知方 

法。 

侦测策略编辑器提供以下操作: 

• 通过“Reconnaissance Polices(侦测策略)”添加策略 • 使用批量编辑修改选定的侦测策略 

• 复制侦测策略 • 删除侦测策略 

• 查看/编辑侦测策略 

您可以启用或禁用一个或多个侦测攻击,从而在 Sensor 的所有接口实施侦测策略(扫描、探查等)。可以为 Sensor 接 

口所发现的每个侦测攻击自定义阈值、响应和用户通知。侦测攻击可以涉及范围很广的网段和地址,因此如果单个接口 

无法发现这些攻击,将需要使用整个 Sensor 来查找。由于侦测攻击的涉及面广,需要在 Sensor 级别、而不是 VIPS(接 

口或子接口)级别实施侦测策略。这样使得 Sensor 可以对侦测攻击进行关联,覆盖单个侦测攻击涉及的整个区域,并 

将来源相同、发自同一攻击的所有实例合并为一个警报。 

侦测策略应用于 Sensor 的所有接口,它不能应用于单个接口。 

另请参阅 

如何配置和管理策略第 24 页 

添加侦测策略第 48 页 

查看/编辑侦测策略第 54 页 

删除侦测策略第 55 页 

复制侦测策略第 53 页 


添加侦测策略 

要添加用于在特定的网络环境中监控新的侦测攻击策略,请执行以下操作: 


任务 

1 选择“IPS Settings(IPS 设置)” | “Policies(策略)” | “Reconnaissance Policy Editor(侦测策略编辑器)”。 


“Add a Reconnaissance Policy(添加侦测策略)”对话框即会打开,同时显示所选策略的属性值。 

图 3-20 “Add A Reconnaissance Policy(添加侦测策略)”对话框 



3 键入策略的名称。要让策略能应用于所有创建的子管理域,请选中“Visible to Child Admin Domains(对子管理域可 

见)”复选框。 


3 



4 选择“Reconnaissance(侦测)”选项卡。 

图 3-21 “Add A Reconnaissance Policy(添加侦测策略)”对话框 ‑ Attacks List(攻击列表) 

5 执行以下任一操作: 

• 选择一个要进行自定义的攻击行,然后单击“View(查看)”/“Edit(编辑)”。 

• 选择两个或多个攻击(按 CTRL 或 SHIFT 并按鼠标左键),单击“Bulk Edit(批量编辑)”,一次对多个攻击进行更 

改。如果要一次为多个攻击指定同一响应,建议使用批量编辑功能。 


弹出窗口显示攻击的详细信息。选中“Customize(自定义)”以自定义更改。任何时候单击“OK(确定)”将保存自定义 

操作并关闭弹出窗口。单击“Cancel(取消)”将放弃自定义。单击“Clear Custom(清除自定义)”可重置攻击默认值。 

图 3-22 “Edit Reconnaissance Attack(编辑侦测攻击)”对话框 

6 查看攻击的名称和严重性。(批量编辑时,仅显示“Severity(严重性)”字段。)字段说明如下: 

• “Attack Name(攻击名称)”:Network Security Platform ‑ 指定的攻击名称。 

• “Severity(严重性)”:攻击的潜在影响级别。 

• “Attack Description(攻击描述)”:单击可查看攻击的完整描述。有关详细信息,请参阅“查看攻击描述”。 

• “Annotate Desc(注释描述)”:单击可为攻击大全中的攻击添加注释。 

• “Benign Trigger Probability(良性触发几率)”:搜索攻击时返回误报的概率。 

(可选)在“Severity(严重性)”下拉列表中更改严重性。 

7 攻击的“Threshold(阈值)”由僵尸检测引擎确定。因此,此处不需要静态阈值。 

图 3-23 阈值设置 




3 



8 选择“Response(响应)”部分。 

默认情况下,将选中“Enable Alert(启用警报)”复选框。如果取消选中该复选框,攻击生成的警报将不会发送至数据 

库,而且“Add Reconnaissance Policy(添加侦测策略)”主对话框中的“Enabled(启用)”字段将不带复选标记。 

图 3-24 响应设置 

9 选择“Notifications(通知)”部分。 

(可选)选择一个用户通知。建议对具有最高严重性的攻击使用这些选项: 

• “Email(电子邮件)”:向注册帐户用户发送电子邮件。 

• “Pager(寻呼机)”:向注册帐户用户发送寻呼。 

• “Script(脚本)”:借助已注册的用户帐户在本地运行脚本。脚本必须先上载到数据库。 

• “SNMP”:将消息发送到 SNMP 服务器。 

• “Syslog”:将消息发送到 Syslog 服务器。 

您不必为每个攻击设置通知,McAfee 建议您只为那些需要立即注意的攻击设置通知。在“Severity Level(严重性 

级别)”,选择“By Attack(按攻击)”作为您使用的通知方法。 

• “Auto.Acknowledge(自动确认)”:自动将数据库中的攻击标记为“Acknowledged(已确认)”,因此检测到这类攻 

击时,就不会计入“Manager”主页的“Unacknowledged Alert Summary(未确认的警报摘要)”内,它们只能在 

“Historical View(历史视图)”查询过程中通过 Threat Analyzer 查看。 

图 3-25 通知设置 

10 单击“OK(确定)”以接受更改并启用扫描策略。 

将关闭弹出窗口。“Add Reconnaissance Policy(添加侦测策略)”窗口中已修改攻击的“Custom(自定义)”列会出现 

一个勾选标记。 

11 单击“Save(保存)”以保存所做的更改,或单击“Ignore Changes(忽略更改)”以取消最近的更改。 


12 在“Enter Comment(输入备注)”字段中输入“Comment(备注)”。单击“Finish(完成)”。 

图 3-26 输入备注 

13 通过执行“更新一个 Sensor 的配置”中的步骤,将所做的更改下载到您的 Sensor。 

另请参阅 



复制侦测策略 

要复制侦测策略,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Policies(策略)” | “Reconnaissance Policies(侦测策略)”。 

2 选择您要复制的策略。 


4 显示的默认名称为原始策略名称后附加有短语“Default Reconnaissance Policy clone”。 

根据需要,键入策略的新名称。 


另请参阅 





3 



查看/编辑侦测策略 

编辑策略可以对策略进行必要更改,使其适应监控的流量。 

• 单击“View/Edit(查看/编辑)”按钮,可以修改选定策略的属性。 

编辑一个策略将永久更改该策略。要对侦测策略进行修改,请尝试执行以下操作: 

• 如果要尝试复制侦测策略,请对策略稍做更改,并采用不同的名称保存更改。 

• 在对 Network Security Platform 提供的策略进行编辑之后,如果要将该策略还原为 McAfee 提供时的状态,只需添 

加新的策略。请记住,您需要相应地重新分配应用到 Sensor 的策略,以便可以使用新创建的策略。 

• 如果为多个攻击设置相同的响应最适合您的策略自定义(例如,在启用串联模式后支持对所有“High(高)”严重性攻击 

采用“Drop Packets(丢弃数据包)”响应),请尝试使用“Bulk Edit(批量编辑)”功能。 

要编辑侦测策略,请执行以下操作: 

任务 


2 选择要编辑的策略。 



编辑侦测策略(可见标记处于打开状态)时,无法对其进行更改或将其更改为“Off(关闭)”状态(如果该策略由子域资 

源引用)。错误消息示例如下所示: 

图 3-27 错误消息 ‑ 对于子域引用的策略 

另请参阅 



如何对侦测策略使用批量编辑功能 

单击“Bulk Edit(批量编辑)”可以让您同时修改多个具有指定属性的选定侦测策略。这与对 IPS 策略使用“Bulk Edit(批量 

编辑)”选项类似。 

图 3-28 “Bulk Edit(批量编辑)”对话框 

另请参阅 


添加侦测策略第 48 页 

对 IPS 策略使用批量编辑功能第 43 页 

删除侦测策略 

单击“Delete(删除)”按钮可以删除选定的策略。只有未应用的侦测策略才能删除。如果删除策略被任何资源使用,则用 

户会看到一条错误消息。 

图 3-29 有关删除默认策略的错误消息 




3 



要删除侦测策略,请执行以下操作: 

任务 


2 选择要删除的策略。 



另请参阅 


创建 IPS 策略的版本 

在添加策略之后,使用 Manager 可以创建该策略的版本。版本控制有助于跟踪在一段时间内对策略进行的更改。当您 

创建新策略时,Manager 会将该策略保存为第一个修订版。如果您编辑现有的策略并提交所做的更改,Manager 会将所 

做的更改另存为该策略的下一个修订版。万一您需要放弃最近对该策略进行的更改并使用以前的设置,Manager 还提供 

用来还原到上一个策略版本的选项。 

默认情况下,对于一个策略最多可以保存 30 个版本。这是一个可由用户配置的值,而且可以在 ems.properties 文件中 

进行更改。 

要创建策略的新版本,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policy(IPS 策略)”。 

2 选择一个策略。 

3 单击“Version Control(版本控制)”。 

此时会显示“IPS Policy Version List for Policy: (策略: 的 IPS 策略版本列表)”对话框。 

“The IPS Policy Version List(IPS 策略版本列表)”对于每个策略修订版显示以下信息: 

字段描述 

Revision(修订版) 指示该策略的修订版编号。当您编辑某个策略并保存所做的更改时,会生成一个新的修订 

版编号。例如,您有一个修订版编号分别为 1、2 和 3 的策略。在检查之后,您修改修订 

版 2 并保存。更改后的策略将另存为修订版 4。 

Date(日期) 完成该修订版的日期。 

User(用户) 执行策略修订的用户。 

版本 0 表示由创建的策略或者从旧版 Manager 升级的策略。 

Description(描述) 该策略的名称及其当前的修订版编号。 

Active Revision(活动 

修订版) 

您可以执行以下操作: 

复选标记指示当前处于活动状态的策略版本。 

• “Rollback(回滚)”:允许您还原到该策略的选定修订版。选定版本随后将标记为“Active Revision(活动修订 

版)”。 

此选项仅适用于可编辑的策略。 

• “View(查看)”:查看有关该策略的选定修订版的详细信息。 

您还可以在“” | “Log(日志)” | “User Activity Audit(用户活动审查)”下查看详细信息。审核日志消息 

包括所有策略操作的策略版本号。 


• “Delete(删除)”:删除该策略的所有已保存版本。可以同时删除一个或多个修订版。只有未应用的策略修订版才 

能删除。如果您尝试删除当前的策略版本,Manager 会显示“The selected revision cannot be deleted because 

it is currently the active revision(选定的修订版当前处于活动状态,无法删除)”消息。 

此选项仅适用于可编辑的策略。 

• “Show Diff(显示区别)”:对任意两个修订版进行比较以查看其区别。此选项仅在选择了两个策略版本之后才被 

启用。 

策略分配 

使用“Show Diff(显示区别)”,可以选择下列视图之一: 

• “Snapshot(快照)”:显示逻辑组内较高级别的区别。 

• “Summary(摘要)”:显示有关所有区别的详细信息(攻击详细信息除外)。 

• “Detail(详细信息)”:显示数据之间的所有区别,其中包括“Exploit(利用漏洞)”、“Threshold(阈值)”和 

“Statistical(统计)”部分中的攻击详细信息。 

通过“Policy Assignments(策略分配)”操作,可以重新分配已应用于当前管理域或子管理域中 Sensor 的策略。 

使用此操作,可以快速查找和重新分配已应用于资源(Sensor/接口/子接口)的策略,而无需在 Network Security 

Platform 中进行详尽搜索。可以按策略(IPS 策略/侦测策略)或 Sensor 来过滤搜索结果。从搜索结果中,可以根据需要 

选择资源并重新分配策略。 

只能向 Sensor 重新分配侦测策略,而不能向 Sensor 接口/子接口重新分配。 

要在 Manager 中的当前管理域/子管理域中重新分配策略,请执行以下操作: 

任务 

1 在“Resource Tree(资源树)”中,单击“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Assignments(分 

配)”。 

图 3-30 “Assign Policy(分配策略)”页 




3 



2 在“Admin Domain(管理域)”中选择下面的任一选项: 

• “All(所有)”:适用于搜索当前管理域和子管理域下的所有 Sensor/策略,或 

• “Current Only(仅当前)”:限于搜索当前管理域。 

3 在“Filter By(过滤依据)”下拉列表中,选择下面的任一选项: 

• “Policy(策略)” 

• “Sensor” 

4 如果选择“Policy(策略)”,则会显示所应用的策略及其相应的管理域/子域。 

• 从“Type(类型)”选项中,可以将“IPS Policy(IPS 策略)”或“Reconnaissance Policy(侦测策略)”选作策略类型。 

• 如果选择“IPS Policy(IPS 策略)”,则会显示应用于管理域/子域下资源的 IPS 策略。 

• 如果选择“Reconnaissance Policy(侦测策略)”,则会显示应用于管理域/子域下资源的侦测策略。 

默认情况下,“Policy Assignments(策略分配)”页中的“IPS Policy(IPS 策略)”选项处于选中状态。 

5 如果选择“Sensor”,则会按 Sensor 资源过滤搜索结果。 

屏幕将进行刷新,并且会显示管理域及其相应的 Sensor 资源。 

6 在过滤列表中,选择一个或多个 Sensor 或策略,以便搜索选定的子域以及分配给它们的相应策略。 

您可以使用“Ctrl”键选择不相邻的列表条目,也可以使用“Shift”键选择相邻的列表条目。 

7 单击“List Current Policy Assignments(列出当前的策略分配)”。 

请注意,只有当您在过滤列表中选择了条目时,“List Current Policy Assignments(列出当前的策略分配)”按钮才处 

于启用状态。此时会弹出“Current Policy Assignments(当前策略分配)”页。 

图 3-31 分配策略搜索结果 

在“Current Policy Assignments(分配策略)”页中,当您选择“Reconnaissance Policy(侦测策略)”时,搜索结果中仅 

显示应用了侦测策略的 Sensor 资源(而非 Sensor 接口)。因此,只能更改 Sensor 的侦测策略,而不能更高 

Sensor 接口/子接口的侦测策略。 


8 在搜索结果中,选择一个或多个资源,然后单击“Change Policy(更改策略)”。 

9 在“Change Policy(更改策略)”窗口中,选择所需的资源,然后从“Select Policy(选择策略)”下拉列表中选择另一个 

策略。 

图 3-32 “Change Policy(更改策略)”对话框 

您可以使用“Ctrl”键选择不相邻的列表条目,也可以使用“Shift”键选择相邻的列表条目。 

10 单击“OK(确定)”可重新分配该策略。 

11 将配置更改推送到 Sensor,以使更改生效。 

有关详细信息,请参阅“McAfee Network Security Platform 设备管理手册”中的“更新所有 Sensor 的配置”。 

在“Policy Assignments(策略分配)”页中,选择一个策略,然后单击“List Current Policy Assignments(列出当前策略 

分配)”。此时会显示一个弹出窗口,其中列出应用了选定策略的所有资源(如 Sensor/接口)。 

另请参阅 


智能阻止 



McAfee 攻击定义通常包含多个特征码。有些特征码查找攻击的特定标志,因此这类特征码被视为高可信度特征码;而 

有些特征码则查找更常规的标志,这类特征码被视为具有较低可信度的特征码。 

在以前,如果将某个攻击配置为阻止,那么,当该攻击与它的任何特征码相匹配时,就会激活阻止功能。 

McAfee 对其阻止选项进行了扩展,其中包含了“智能阻止”功能,该功能只在攻击与高可信度特征码相匹配时才会激活阻 

止功能,从而最大程度上降低了误报的几率。 

Network Security Platform 使用“建议智能阻止”(Recommended for SmartBlocking,RFSB)功能来取代现有的“建议阻 

止”(Recommended for Blocking,RFB)功能名称,这种新级别的划分可以使 McAfee 推荐更多需要阻止的攻击(RFB 

攻击列表是 RFSB 攻击列表的子集)。 


3 



如何确定 RFSB 攻击 

McAfee 根据多种不同的特征向量来推荐要进行智能阻止的攻击。两个主要的特征向量为攻击特征码的良性触发几率 

(BTP) 值和 McAfee Labs 提供的 Global Threat Intelligence。McAfee 的研究人员从全球范围内收集了数以亿计的威胁 

信息。通过分析这些威胁信息,McAfee 不仅能识别大多数流行的威胁,而且能够智能地预测新的威胁;这种智能就体 

现在“智能阻止”攻击的选择上。 

“智能阻止”功能通过用来触发攻击的攻击特征码的 BTP 值来实现,具体情况如下: 

• 如果匹配的特征码的 BTP 值较低(如值为 1 或 2),则 Sensor 会阻止该攻击。 

• 如果 BTP 的值较高(如值在 3 到 7 之间),则不会阻止该攻击。 

良性触发几率表示特征码与网络流量中的某个模式错误匹配的可能性。换言之,该值表示的是特征码发出误报的可能 

性。每个特征码都有其自己的 BTP 值。可能的 BTP 值介于 1 到 7 之间。 

While Network Security Platform 扫描流量时,会同时针对流量检查攻击中的所有特征码。如果同一个攻击中有多个 

可以触发警报的特征码,则只有具有最低 BTP 值的特征码才会发出警报。Threat Analyzer 中的警报详细信息显示这 

个最低的 BTP 值。 

另请参阅 

查看分配的利用漏洞攻击过滤器第 132 页 

在 IPS 策略中启用“智能阻止”第 60 页 

“IPS Policies(IPS 策略)”和“Default IPS Attack Settings(默认 IPS 攻击设置)”中可用于智能阻止的过滤选项 

第 64 页 

在规则集中配置智能阻止第 65 页 

在“默认 IPS 攻击设置”中启用“智能阻止”第 62 页 

RFSB/非 RFSB 攻击的“全局自动确认”选项第 66 页 

添加规则集第 68 页 

自定义利用漏洞攻击的实施第 82 页 

在 IPS 策略中启用“智能阻止” 

以下步骤说明了如何在 IPS 策略中启用“智能阻止”: 

任务 

1 在 Manager 中,选择“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”。 

2 选择一个 IPS 策略,然后单击“View/Edit(查看/编辑)”。 

3 选择“Exploit Attacks(利用漏洞攻击)”。此时会显示“Edit IPS Policy(编辑 IPS 策略): ”窗口。 

4 选择“All Protocols(所有协议)”,以打开“Configure Attack Detail for Attack Category(配置攻击类别的攻击详细信 

息)”窗口。 


5 选择一个攻击,然后单击“View/Edit(查看/编辑)”。随即显示“Edit Attack Detail(编辑攻击详细信息)”窗口。 

图 3-33 “Attack Detail(攻击详细信息)”窗口中的 Sensor 的“智能阻止”选项 




3 



6 要为该攻击启用“智能阻止”功能,请执行以下操作: 

• 在 7.0 或更高版本的 Sensor 中的“Blocking(阻止)”选项中,选择“Customize Blocking Setting(自定义阻止设 

置)”。随即会显示三个选项。 

• 选择“Enable SmartBlocking(启用智能阻止)”。 

• 单击“OK(确定)”。 

在选择了“Customize Blocking Setting(自定义阻止设置)”之后,当您选择选项时,“Notes(注释)”区域将刷新, 

并显示与“Blocking(阻止)”/“SmartBlocking(智能阻止)”相关的信息。 

7 在“Configure Attack Detail(配置攻击详细信息)”窗口中,您会在“Blocking(阻止)”列中看到“智能阻止”功能已启用 

(显示为“SB (P)”)。 

当您在攻击级别启用“智能阻止”功能时,“Configure Attack Detail(配置攻击详细信息)”窗口就会在“Blocking(阻止)” 

列中以下列任一形式显示此信息: 

“SB (R)”在规则集中自定义的“智能阻止” 

“SB (G)”在“Default IPS Attack Settings(默认 IPS 攻击设置)”中自定义的“智能阻止” 

“SB (P)”在 IPS 策略中自定义的“智能阻止” 

图 3-34 “Configure Attack Detail for Attack Category(配置攻击类别的攻击详细信息)”窗口中启用的“SmartBlocking(智能阻止)” 

另请参阅 

智能阻止第 59 页 

在“默认 IPS 攻击设置”中启用“智能阻止” 

从“Default IPS Attack Settings(默认 IPS 攻击设置)”(以前称为 GARE)中,您可以为攻击启用“智能阻止”功能。这与 

在 IPS 策略中的启用方式类似。 


任务 

1 在 Manager 中,选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Default IPS Attack Settings(默 

认 IPS 攻击设置)”。 

图 3-35 “Default IPS Attack Settings(默认 IPS 攻击设置)”中的“SmartBlocking(智能阻止)”选项 

2 选择所需的协议,然后单击“View/Edit(查看/编辑)”。 

3 在“Configure Attack Detail for Attack Category(配置攻击类别的攻击详细信息)”窗口中,选择一个攻击。 

4 随即显示“Edit Attack Detail(编辑攻击详细信息)”窗口。 

图 3-36 7.0 Sensor 的“Blocking(阻止)”选项 




3 



5 要为该攻击启用“智能阻止”功能,请执行以下操作: 

• 在“Blocking option for 7.0 Sensors(7.0 Sensor 的阻止选项)”中,选择“Customize Blocking Setting(自定义阻 

止设置)”。随即会显示三个选项。 

• 选择“Enable SmartBlocking(启用智能阻止)”。 

• 单击“OK(确定)”。 

在选择了“Customize Blocking Setting(自定义阻止设置)”之后,当您选择选项时,“Notes(注释)”区域将刷新, 

并显示与“Blocking(阻止)”/“SmartBlocking(智能阻止)”相关的信息。 

6 在“Configure Attack Detail(配置攻击详细信息)”窗口中,您会在“Blocking(阻止)”列中看到“智能阻止”功能已启用 

(显示为 “SB (P)”)。 

另请参阅 


当您在攻击级别启用“智能阻止”功能时,“Configure Attack Detail(配置攻击详细信息)”窗口就会在“Blocking(阻止)” 

列中以下列任一形式显示此信息: 

“SB (R)”在规则集中自定义的“智能阻止” 

“SB (G)”在“Default IPS Attack Settings(默认 IPS 攻击设置)”中自定义的“智能阻止” 

“SB (P)”在 IPS 策略中自定义的“智能阻止” 

“IPS Policies(IPS 策略)”和“Default IPS Attack Settings(默认 IPS 攻击设置)”中可用于智能阻止 

的过滤选项 

您可以根据 McAfee 建议智能阻止 (RFSB) 的攻击对攻击进行过滤。 

此过滤选项在“Configure Attack Detail(配置攻击详细信息)”窗口的“IPS Policies(IPS 策略)”和“Default IPS Attack 

Settings(默认 IPS 攻击设置)”中均可用。 

图 3-37 配置为进行智能阻止的攻击的过滤选项 

当您选择“Only attacks recommended for SmartBlocking(只显示建议智能阻止的攻击)”选项时,“Configure Attack Detail 

(配置攻击详细信息)”窗口就会显示 RFSB 攻击。 

另请参阅 



在规则集中配置智能阻止 

在“Rule Sets(规则集)”选项卡中,您可以按如下方式配置“智能阻止”: 

任务 

1 在“Manager”中,选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Rule Sets(规则集)”。 

2 要添加新规则集,请单击“New(新建)”。输入该规则集的“Name(名称)”和“Description(描述)”(可选)。 

3 要启用智能阻止,请选中“Enable SmartBlocking for McAfee Recommended for SmartBlocking (RFSB) attacks in 

this Rule Set(在此规则集中对 McAfee 建议智能阻止(RFSB)的攻击启用智能阻止)”。 

随即将显示三个阻止类别:“Exploit(利用漏洞)”、“Reconnaissance(侦测)”和“Policy Violation(违反策略)”。 

图 3-38 “Adding a rule set(添加规则集)”‑“SmartBlocking(智能阻止)”选项 

4 请至少选择以上其中一个类别,否则,会弹出一条错误消息,告知您至少要选择一个类别。 

默认情况下,内置的规则集“Default Inline IPS(默认串联 IPS)”处于启用状态,这会对“Exploit(利用漏洞)”攻击类别 

进行“智能阻止”。 

5 要添加规则,请选择“Rules(规则)”选项卡,然后选择“Insert(插入)”。 

6 在规则内容中,选择“Configure(配置)”。 




3 



7 要配置“智能阻止”功能,请在“Configure the Rule(配置规则)”窗口中,选择“SmartBlocking(智能阻止)”选项卡。 

图 3-39 在规则集中启用“智能阻止” 

8 在此规则中选中“Only include McAfee Recommended for SmartBlocking ( RFSB ) attacks(仅包含 McAfee 建议智 

能阻止(RFSB)的攻击)”选项。 

如果您选中此选项,则此规则中只包含 RFSB 攻击。 

9 单击“OK(确定)”。 

此规则中将插入一个显示 RFSB 的“智能阻止”列。 

10 保存所做的更改。 

另请参阅 


RFSB/非 RFSB 攻击的“全局自动确认”选项 

使用“Global Auto‑Acknowledgement(全局自动确认)”功能,可以将 Manager 设置为根据相应攻击的严重性级别自动确 

认警报。 

这些攻击可以是 RFSB 攻击,也可以是非 RFSB 攻击。 

要为 RFSB 攻击启用“Global Auto‑Acknowledgement(全局自动确认)”,请执行以下操作: 


任务 

1 在 Manager 中,选择“/Admin Domain_Name(管理域名称)” | “Manager” | “Misc(其他)” | “Global 

Auto‑Acknowledgement(全局自动确认)”。 

图 3-40 “Global Auto Acknowledgement ‑ SmartBlocking(全局自动确认 ‑ 智能阻止)”选项 

2 在“Enable Auto‑ Acknowledgement(启用自动确认)”中选择“Yes(是)”。 

3 在“Selection Criteria(选择条件)”中,从下拉列表中为非 RFSB 攻击选择严重性级别。 

4 您还可以将严重性阈值设置为与步骤 3 中为 RFSB 攻击设置的严重性阈值相同,方法是在“Also Auto ‑ 

Acknowledge RFSB Alerts At or Below the Same Severity Threshold(同时自动确认等于或低于相同严重性阈值的 

RFSB 警报)”中选择“Yes(是)”。 

默认情况下,RFSB 攻击的“Global Auto‑Acknowledge(全局自动确认)”选项处于未启用状态(即默认情况下,选中的 

是“No(否)”选项)。这意味着,默认情况下不会自动确认 RFSB 攻击警报。 

5 如果为 RFSB 攻击启用了自动确认选项(如步骤 4),则对于 RFSB 攻击和非 RFSB 攻击,严重性级别低于选定值(如 

步骤 3 中)的警报都会自动确认。 

6 单击“Save(保存)”以保存设置。 

另请参阅 


如何配置 IPS 和侦测 

“IPS Setting(IPS 设置)”节点下的“IPS & Recon(IPS 和侦测)”选项卡便于执行 IPS 和侦测策略级别的配置,例如自定 

义攻击、规则集、非标准端口、默认 IPS 攻击设置(以前称为 GARE)、事件的生成以及策略的导出和导入。 

图 3-41 “IPS & Recon(IPS 和侦测)”下的选项卡 

自定义攻击操作 

自定义攻击或自定义攻击定义都是用户定义的攻击定义。您可以创建此类定义来补充 McAfee 提供的攻击定义(特征码 

集)。 

网络安全专家可以通过“Custom Attacks(自定义攻击)”操作创建攻击定义,以供在 Network Security Platform 策略实现 

过程中使用。有关详细信息,请参阅“自定义攻击编辑器快速导览”。 

有关详细信息,请参阅“McAfee Network Security Platform 自定义攻击定义手册”。 




3 



如何管理规则集 

“Rule Sets(规则集)”操作可通过强大的工具精确定义要保护的环境资源。规则集由网络环境所特定的攻击组成,例如 

使用的操作系统、安装的应用程序(电子邮件、聊天等程序)和用于传输数据的传输和应用协议(HTTP、FTP 等)。协 

议字段包括按攻击名称、严重性和特征码触发误报几率选项确定的 Network Security Platform 检测到的所有攻击。配置 

的每一条规则都缩小了 Sensor 接口(接口是策略应用主体)的检测范围,以提供最高的检测精确性和最强大的性能。 

“Rule Sets(规则集)”选项卡提供以下功能: 

• 查看规则集 • 编辑规则集 

• 添加规则集 • 删除规则集 

• 复制规则集 

查看规则集 

要查看预先配置或自定义的规则集,请执行以下操作: 

任务 

1 单击“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Rule Sets(规则集)”。 

2 选择一个规则集行,然后单击“View/Edit(查看/编辑)”。 

随即将显示规则集。 

规则集信息的加载和显示需要数秒的时间。 

在“Rule Sets(规则集)”选项卡中,可以通过选中“View Selected Attacks(查看选定的攻击)”选项来从规则集行中查 

看选定的攻击。 

添加规则集 

使用“Rule Sets(规则集)”可以创建规则集,从而指定在检测过程中必须检测(包含)或忽略(排除)的攻击。Sensor 按 

先后顺序依次应用“Include(包含)”和“Exclude(排除)”规则检查每一传输;因此,数据与规则集内的每条规则进行比较 

后,会被允许通过或者被标记为恶意。 

对于 5.1 Sensor,在将新规则集添加到策略,并且有两个与“Recommended For Blocking(建议阻止 (RFB))”的攻击相 

关的选项可用时,请注意以下几点。可以对新规则集使用一个选项或两个选项。 

• 新规则集可以只显示“Recommended For Blocking(建议阻止 (RFB))”的攻击。 

• 新规则集可以自动阻止“Recommended for SmartBlocking(建议智能阻止 (RFSB))”的攻击。 

自 6.0 版本以来,Sensor 同时支持正常阻止和智能阻止两种功能。McAfee 建议对某些攻击进行智能阻止,这些攻击称 

为“Recommended for SmartBlocking(建议智能阻止 (RFSB))”的攻击。 

智能阻止功能根据触发攻击的攻击特征码的良性触发几率 (BTP) 值对攻击进行阻止。 

使用“Rule Sets(规则集)”时,创建或修改设置的任务最多打开四个独立的 Java 窗口。每个窗口都带有一个“OK(确定)” 

按钮或 “Cancel(取消)”按钮。单击“OK(确定)”将保存信息并且关闭窗口。单击“Cancel(取消)”则中止任何操作并关闭 

窗口。如果要继续创建或修改策略,则在您完成所有可用的选项卡、步骤或操作之前,不要选择“OK(确定)”。 

要创建规则集,请执行以下操作: 


任务 

1 选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Rule Sets(规则集)”。 

2 单击“New(新建)”。“Add a Rule Set(添加规则集)”窗口即会出现。 

图 3-42 “Add A Rule Set(添加规则集)”选项卡 

3 在“Definition(定义)”选项卡中,键入规则集的名称。 

4 (可选)键入“Description(描述)”, 

它供个人或团队参考之用。 

5 随后,您可以选择 5.1 Sensor 和/或 6.0 Sensor 的阻止选项。 

a 对于 5.1 Sensor,选择“Enable blocking for McAfee Recommended for Blocking (RFB) attacks in this Rule Set 

(在此规则集中对 McAfee 建议阻止 (RFB) 的攻击启用阻止)”,以便只包含 McAfee 建议阻止的攻击。 

b 对于 6.0 Sensor,要启用智能阻止功能,请选择“Enable SmartBlocking for McAfee Recommended for Smart 

Blocking (RFSB) attacks in this Rule Set(在此规则集中对 McAfee 建议智能阻止 (RFSB) 的攻击启用智能阻 

止)”。随即将显示三个阻止类别:“Exploit(利用漏洞)”、“Reconnaissance(侦测)”和“Policy Violation(违反策 

略)”。请至少选择以上其中一个类别,否则,会弹出一条错误消息,告知您至少要选择一个类别。 

6 选择“Save(保存)”,以保存在规则集的“Definition(定义)”选项卡中所做的更改。 




3 



7 接下来,选择“Rules(规则)”选项卡。 

图 3-43 “Add A Rule Set ‑ Rules(添加规则集 ‑ 规则)”选项卡 

8 单击“Insert(插入)”。 

“Insert a Rule at current position(在当前位置插入规则)”窗口即会出现。 

图 3-44 “Insert A Rule At Current Position ‑ Rules(在当前位置插入规则 ‑ 规则)”选项卡 


9 选择“Include(包含)”或“Exclude(排除)”规则。“Include(包含)”规则添加选定参数作为检测对象。“Exclude(排 

除)”规则会从“Include(包含)”规则中去除选定参数。通过这种拓宽(包含)和收窄(排除)的过程,Sensor 按顺序使 

用规则集内的各个规则来处理通信量。 

McAfee 建议您以“Include(包含)”规则作为规则集内的第一个规则。如果将“Exclude(排除)”规则作为首个规则,则 

后面的包含规则会使排除规则变得无效。 

例如,如果查看“Default(默认)”规则集,会发现它包含所有 DoS 和侦测攻击,以及所有 2 级(低)严重性以上 4 级 

(中)良性触发几率以下的利用漏洞攻击,从而排除了带有经常触发误报警报的特征码的某些攻击。 


a 要让规则集仅包含某些特定攻击,请选中“Select Specific Attacks Only(仅选择特定攻击)”复选框并单击“Configure 

(配置)”。将显示一个弹出窗口。 

“Configure the Rule by Specific Attacks(按特定攻击配置规则)”窗口可让用户选择特定攻击,而不是通过环境参 

数缩小范围。要自行选择攻击,请取消选中“Select All Attacks(选择所有攻击)”复选框。选择要从“Selected 

Attacks(选定攻击)”中移除的攻击,然后单击“Remove(移除)”。要将已移除的攻击重新加入到“Selected Attacks 

(选定攻击)”,请从“Available Attacks(可用攻击)”中选择攻击,然后单击“New(新建)”。 

图 3-45 按特定攻击配置规则 



完成“Configure the Rule by Specific Attacks(按特定攻击配置规则)”窗口后,单击“OK(确定)”以返回“Insert a 

Rule at current position(在当前位置插入规则)”窗口。所选择的攻击即会出现在“Rule Content(规则内容)”表 

中。单击“OK(确定)”以返回“Add a Rule Set(添加规则集)”窗口。您可以向规则集添加多个包含和排除规则 

(第 8 步),或者继续进行策略配置(第 23 步)。 

a 单击“Configure(配置)”,不选中“Select Specific Attacks Only(仅选择特定攻击)”复选框。标题为“Configure 

the Rule(配置规则)”的新弹出窗口即会打开。继续执行第 11 步。 


3 



11 查看“Category(类别)”选项卡。默认情况下,会选中所有四个类别。类别是对所有攻击的分类。 

(可选)要自定义选定类别,取消选中“Select All Categories(选择所有类别)”复选框(所有框将会清空)。所有类别 

将会移动到“Available Categories(可用类别)”字段。从“Available Categories(可用类别)”中选择所需类别,然后单 

击“New(新建)”。要移除选定类别,从“Selected Categories(选定类别)”中选择类别,然后单击“Remove(移除)”。 

图 3-46 “Configure The Rule ‑ Category(配置规则 ‑ 类别)”选项卡 


12 单击“Protocol(协议)”选项卡。默认情况下,会选中所有协议。协议选项卡列出了 Network Security Platform 所支 

持的应用协议。 

(可选)要自定义选定协议,请取消选中“Select All Protocols(选择所有协议)”复选框(所有框将会清空)。所有协议 

都将移动到“Available Protocols(可用协议)”字段。从“Available Protocols(可用协议)”中选择所需协议,然后单击 

“New(新建)”。要移除添加的协议,从“Selected Protocols(选定协议)”中选择协议,然后单击“Remove(移除)”。 

图 3-47 “Configure The Rule ‑ Protocol(配置规则 ‑ 协议)”选项卡 




3 



13 单击“OS(操作系统)”选项卡。默认情况下,会选中所有操作系统 (OS)。 

(可选)要自行选择操作系统,请取消选中“Select All OS(选择所有操作系统)”复选框。所有操作系统将会移动到 

“Available OS(可用操作系统)”字段。从“Available OS(可用操作系统)”中选择所需操作系统,然后单击“New(新 

建)”。要移除添加的操作系统,从“Selected OS(选定操作系统)”中选择操作系统,然后单击“Remove(移除)”。 

图 3-48 “Configure The Rule ‑ OS(配置规则 ‑ 操作系统)”选项卡 


14 单击“Application(应用程序)”选项卡。默认情况下,会选中所有应用程序。 

(可选)要自定义选定应用程序,请取消选中“Select All Applications(选择所有应用程序)”复选框(所有框将会清 

空)。所有应用程序都将移到“Available Applications(可用应用程序)”字段。从“Available Applications(可用应用程 

序)”中选择所需应用程序,然后单击“New(新建)”。要移除所添加的应用程序,从“Selected Applications(选定应用 

程序)”中选择应用程序,然后单击“Remove(移除)”。 

图 3-49 “Configure The Rule ‑ Application(配置规则 ‑ 应用程序)”选项卡 

15 单击“Severity(严重性)”选项卡。默认情况下,会选中所有严重性。严重性参数与规则集所防御的已知攻击相关。严 

重性描述攻击可以对系统造成的影响。 

(可选)要为规则自定义最低的攻击严重性,取消选中“Select All Severities(选择所有严重性)”复选框(所有框将会 

清空)。在“Minimum Attack Severity(最低攻击严重性)”下拉列表中,选择规则要包含或排除的攻击具有的最低可 

能严重性。 

图 3-50 “Configure The Rule ‑ Severity(配置规则 ‑ 严重性)”选项卡 




3 



16 单击“Benign Trigger Probability(良性触发几率)”选项卡。默认情况下,会选中所有可能性。“Benign Trigger Probability 

(良性触发几率)”参数与规则集防御的已知攻击相关,特指攻击特征码触发虚假警报的几率。 

(可选)要自定义规则的最低攻击严重性,请取消选中“Select All Benign Trigger Probabilities(选择所有良性触发几 

率)”复选框(所有框将会清空)。在“Maximum Benign Trigger Probability(最高良性触发几率)”下拉列表中,选择规 

则要包含或排除的攻击具有的最高误报可能性。 

图 3-51 “Configure The Rule ‑ Benign Trigger Probability(配置规则 ‑ 良性触发几率)”选项卡 


17 单击“SmartBlocking(智能阻止)”选项卡。 

请注意,您只需要为 6.1 Sensor 配置此选项。选中“Only include McAfee Recommended for Smart Blocking 

(RFSB) attacks in this Rule(仅在此规则中包含 McAfee 建议智能阻止 (RFSB) 的攻击)选项”。如果您选中此选项, 

则此规则中只包含 RFSB 攻击。 

图 3-52 配置用于智能阻止的规则集 

18 完成对单个规则的配置之后,单击“OK(确定)”。(您保存了在“Configure the Rule(配置规则)”选项卡中所做的更 

改)。 

19 转到在当前位置“Insert a Rule(插入规则)”窗口,查看针对该规则设置的参数的摘要。 

20 完成规则的配置后,单击“OK(确定)”。 

21 转至“Add a Rule Set(添加规则集)”窗口。 

新添加的规则会作为第一条规则出现在表中。 

22 重复执行第 8 步至第 19 步,向规则集添加更多规则。 

23 返回“Add a Rule Set(添加规则集)”窗口。 

完成向规则集添加规则之后,就可以执行以下任一操作: 

• “Insert(插入)”:为规则集创建新规则。 

• “Clone(复制)”:复制规则集中的现有规则。 

• “View/Edit(查看/编辑)”:打开现有规则,查看参数并进行修改。 

• “Delete(删除)”:移除规则。 

• “Move Up(上移)”:将规则在列表中向上移动,提早对其进行检查。 

• “Move Down(下移)”:将规则在列表中向下移动,推迟对其进行检查。 

24 单击“Save(保存)”以保存您的规则集。 



“Add a Rule Set(添加规则集)”窗口即会出现。新的规则集会列在“Rule Set List(规则集列表)”的底部。 


3 



另请参阅 


复制规则集 

复制操作会复制现有的规则集,它类似于“另存为”功能。您可以复制任意规则集,以进一步修改参数,使其适合新的环 

境。可以复制提供的规则集,将其保存为新的名称,加以自定义以符合独特环境的要求。 

复制提供的规则集后,可以添加或去除规则集的一些默认设置。例如,如果不想看到低严重性攻击的警报,就可以复制 

一个规则集并进行自定义,使所有显示的攻击具有 4(中)级以上的严重性。 

要复制规则集,请执行以下操作: 

任务 


2 选择要复制的规则集。 


4 为规则集键入新的名称。 

显示的默认名称为原始规则集名称前面加上“clone”一词。 

5 编辑规则集参数。 

6 完成规则集的复制后,单击“Save(保存)”。 

编辑规则集 

编辑规则集允许您进行必要的更改,以进一步定义将监控的环境。 

只能编辑创建的规则集,而不能编辑预先配置的策略。 

编辑用户创建的规则集将会永久更改该规则集。 

要编辑规则集,请执行以下操作: 

任务 


2 选择要编辑的规则集。 


4 编辑规则集参数。 

5 完成过滤器的编辑后,单击“Save(保存)”。 

删除规则集 

请注意,不能删除当前应用的规则集和不可编辑的规则集。 

要删除已创建的规则集,请执行以下操作: 

任务 


2 选择要删除的规则集。 




策略和规则集 

使用“Policies(策略)”(“IPS Settings(IPS 设置)” | “Policies(策略)”)和“Rule Sets(规则集)”(“IPS Settings(IPS 设 

置)” | “IPS & Recon(IPS 和侦测)” | “Rule Sets(规则集)”),可以配置自定义安全策略设置,从而让您的网络流量得到 

最好的保护。The Network Security Platform IPS 系统可检测以多个不同操作系统、协议和应用程序为目标的多种攻击 

类型。这些编辑器可以选择不同的环境、响应和通知参数,充分利用 Network Security Platform 的检测能力,为网络建 

立最佳的整体安全计划。 

提供的策略可以直接应用而无需进行自定义。在获得安全参数的更多相关知识后,就可以配置攻击过滤器、创建或复制 

并自定义规则集,然后将这些参数应用到创建或复制的策略中。 

图 3-53 IPS 策略列表 

各种编辑器的按钮选项为: 

• “New(新建)”:添加新条目。 

• “Clone(复制)”:复制现有项,并将其保存为新的名称。 

建议使用复制来自定义提供的规则集或策略。 

• “View/Edit(查看/编辑)”:查看任意条目。您可以编辑“Editable(可编辑)”字段中带有复选标记的条目。 

• “Bulk Edit(批量编辑)”:一次编辑多个攻击。仅适用于“Policy Editor(策略编辑器)”。 

• “Delete(删除)”:删除一个或多个现有条目。 




3 

攻击类别 



• “Version Control(版本控制)”:回滚、查看或删除 IPS 策略版本列表中的所选策略,或显示所选策略的区别。 

• “View Attacks Selected(查看选定攻击)”(仅适用于规则集):按协议分组显示应用选定规则集后检测引擎主动检测 

的各个攻击。 

图 3-54 规则集列表 

“Rule Sets(规则集)”和“Policy Editor(策略编辑器)”表中包含以下各列: 

• “Rule Set/Policy Name(规则集/策略名称)”:为规则集或策略指定的名称。提供了一些规则集和策略,并以它们最 

能发挥保护作用的网络区域命名。 

• “Owner(所有者)”:创建规则集或策略的管理域。 

• “Inbound/Outbound Rule Set(入站/出站规则集)”(仅适用于策略):为保护不同操作系统、协议和应用程序等的规则 

集指定的名称。提供了一些适用于所提供策略的规则集,但它们也可用于自定义的策略。 

• “Editable(可编辑)”:字段中如果出现复选标记,表示可对该规则集或策略进行编辑。 

预先配置的规则集和策略 

McAfee 提供了许多预先配置的规则集和策略,它们可以立即应用于许多不同的网络区域。每一预先配置的策略与具有 

相同名称的规则集相匹配,它们共同防御以特定网络环境为目标的攻击。为提供最有效的攻击检测选项,这些策略含有 

协议(HTTP、SMTP、DNS)、应用程序(电子邮件、FTP、Web)和操作系统 (Windows、Solaris、Linux) 等不同因 

素。 

不能编辑或删除预先配置的策略或规则集。但可以复制预先配置的规则集或策略,然后重命名并自定义。 

另请参阅 

攻击类别和严重性范围第 19 页 

攻击分为四种常见类别: 

• “Denial of Service (DoS), including DDoS(拒绝服务 (DoS)),包括 DDoS)”:所有可导致服务中断(包括应用程序、 

服务器或网络变慢或崩溃)的活动的条件。它包括分布式拒绝服务 (DDoS)。 

• “Exploit(利用漏洞)”:以特定流量内容为载体,除 DoS 和侦测之外的所有恶意活动。它包括缓冲区溢出、病毒和蠕 

虫。 


默认串联 IPS 策略 

• “Policy Violation(违反策略)”:底层流量内容本身可能并无恶意,但却明确违反了管理域使用策略的所有活动。它 

包括违反一般使用方式的应用协议行为。 

• “Reconnaissance(侦测)”:所有活动的目的是收集情报,为进一步攻击做准备,例如通过扫描或探查端口枚举或确 

定服务和潜在漏洞。 

所有提供的策略(除两个 All‑Inclusive(综合策略)策略)都允许最低严重性为 2(低)和最高良性触发几率为 4(中)的 

攻击。严重性和良性触发几率设置可排除已知的干扰特征码,以限制虚假警报。 

规则集防御目标: 

Default IDS(默认 IDS) 所有攻击。 

Default Inline IPS(默认串联 

IPS) 

所有攻击和 McAfee 建议阻止的所选攻击 

Outside Firewall(防火墙外部) 除“Reconnaissance(侦测)”类别之外的所有攻击。 

DMZ 所有攻击类型,使用 TFTP、Telnet、RIP、NETBIOS、NFS 和 WINS 的利用漏洞攻 

击除外。 

Inside Firewall(防火墙内部) 所有攻击类型,使用 TFTP、Telnet 和 RIP 的利用漏洞攻击除外。 

Internal Segment(内部网段) 所有攻击,使用 RIP 和路由协议的利用漏洞攻击除外。 

Web Server(Web 服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、HTTP 和 FTP 协议的利用漏 

洞攻击。 

Mail Server(邮件服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、SMTP、POP3 和 IMAP 协议 

的利用漏洞攻击。 

DNS Server(DNS 服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS 协议的利用漏洞攻击。 

File Server(文件服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、NFS/RPC 和 NETBIOS/ 

SMB 协议的利用漏洞攻击。 

Windows Server(Windows 服务 

器) 

受影响的操作系统包括 Windows 的所有攻击。 

Solaris Server(Solaris 服务器) 受影响的操作系统包括 Solaris 的所有攻击。 

UNIX Server(UNIX 服务器) 受影响的操作系统包括 UNIX 的所有攻击。 

Linux Server(Linux 服务器) 受影响的操作系统包括 Linux 的所有攻击。 

Windows and UNIX Server 

(Windows 和 UNIX 服务器) 

Windows and Solaris Server 

(Windows 和 Solaris 服务器) 

Windows, Linux, and Solaris 

Server(Windows、Linux 和 

Solaris 服务器) 

All‑Inclusive without Audit(综合 

策略,不含审核) 

All‑Inclusive with Audit(综合策 

略,包含审核) 

受影响的操作系统包括 Windows 或 UNIX 的所有攻击。 

受影响的操作系统包括 Windows 或 Solaris 的所有攻击。 

受影响的操作系统包括 Windows、Linux 或 Solaris 的所有攻击。 

所有攻击,包括带有已知干扰特征码的攻击,但不含严重性为“Informational(信息)” 

级别的攻击。此策略与“Default(默认)”策略的不同之处在于它会对 Network 

Security Platform 数据库中的所有攻击(包括那些带有干扰特征码的攻击)发出警报。 

这样有利于安全专家对网络流量进行全面分析。未启用信息“攻击”。 

与上一个类似,但包含“Informational(信息)”级别的警报。 



Null(无) 默认禁用所有特征码。此策略用于 IPS 需要忽略某一流量支流的情况。 

当 Network Security Platform 初始化时,Network Security Platform 在默认情况下使用“Default Inline IPS(默认串联 

IPS)”策略。此策略会自动拦截可以按照 McAfee 确定的高可信度检测到的最严重的攻击。要防御无处不在的攻击, 

McAfee 在确定是否应将某些攻击包含在“Default Inline IPS(默认串联 IPS)”中时,还考虑这些攻击的流行程度。 


3 



对于全新的 Manager 安装,此策略会在默认情况下自动应用于 Sensor 上的所有接口。对于升级到最新版本 Manager 

的客户,可以使用此策略,但并不会默认应用。 

使用默认 IPS 攻击设置 

“Default IPS Attack Settings(默认 IPS 攻击设置)”(以前称为 Global Attack Response Editor(全局攻击响应编辑器, 

GARE),是处理策略和批量编辑器的一个攻击编辑器。此编辑器支持一次性编辑某个攻击定义的响应并将该修改应用于 

包含该攻击定义的所有策略,而不必找到使用特定攻击的所有策略,然后逐个在这些策略上修改响应。可以自定义所有 

攻击响应属性(例如,Sensor 响应操作、记录、攻击过滤器和通知)。 

使用“Default IPS Attack Settings(默认 IPS 攻击设置)”与使用“IPS Policies(IPS 策略)”设置编辑攻击响应的方法大致 

相同。不同之处是,自定义响应会影响选定攻击的所有实例,而不仅仅是影响某个攻击的一个实例。 

在全局级别编辑攻击响应: 

任务 

1 选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Default IPS Attack Settings(默认 IPS 攻击设置)”。 

2 从“DoS”或“Reconnaissance(侦测)”选项卡中选择要编辑的攻击。 

对于“Exploit(利用漏洞)”,请先选择一个利用漏洞,然后选择要编辑的攻击。 

3 单击“Version Control(版本控制)”以创建/查看策略的修订版。 

此时会显示“Policy Version List for Global Policy: (全局策略的策略版本列表: )”对话框。 

在该页上,可以同时针对 IPS 策略和侦测策略执行操作。 

4 有关可用响应选项的详细信息,请参阅下列操作: 

任务 

• 自定义利用漏洞攻击的实施 

• 自定义利用漏洞攻击的响应 

• 一次批量编辑多个攻击 

• 自定义利用漏洞攻击的实施第 82 页 

• 自定义拒绝服务 (DoS) 模式第 97 页 

另请参阅 

自定义利用漏洞攻击的实施第 82 页 

对 IPS 策略使用批量编辑功能第 43 页 


自定义利用漏洞攻击的实施 

本节含有与选定规则集中的参数相符的攻击 ‑ 所有攻击皆按协议(即受攻击影响的应用协议)分类。在这里,您可以深入 

到单独的攻击设置,如攻击过滤器、Sensor 响应和要发送的通知等,并进行自定义。这些自定义为可选操作,但 

McAfee 建议您熟悉有关的内容。 

任务 

1 在“Default IPS Attack Settings(默认 IPS 攻击设置)”窗口中,单击“Exploit Attacks(利用漏洞攻击)”选项卡。 


该表包括以下列: 

• “Protocol(协议)”:配置规则集时选定的协议。攻击按它们所影响的应用协议进行分组。 

• “No. of Available Attacks(可用攻击数目)”:每种协议的攻击数目。 

• “No. of Enabled Attacks(启用攻击数目)”:启用检测的攻击数目。默认情况下,所有攻击均“启用”。 

如果启用的攻击在用户自定义时被禁用,则“No. of Available Attacks(可用攻击数目)”和“No. of Enabled Attacks 

(启用攻击数目)”可能会有所不同。 

图 3-55 “Default IPS Attack Settings(默认 IPS 攻击设置)”对话框 ‑“Exploit(利用漏洞)”选项卡 

2 选择某一行并单击“View/Edit(查看/编辑)”以查看某一协议的攻击。 

此时将打开“Attack Definitions(攻击定义)”页。您可以单击任一主题列,对攻击进行排序: 

• “Attack Enabled(攻击已启用)”:攻击实施状态。“Attack Enabled(攻击已启用)”字段中的复选标记表示该攻击 

处于检测目标之内。 

• “Alert Enabled(警报已启用)”:攻击的警报状态。“Alert Enabled(警报已启用)”字段中的复选标记表示对此攻击 

发出警报。 

• “Attack Name(攻击名称)”:Network Security Platform 指定的攻击名称。 

• “NSP Attack ID(NSP 攻击 ID)”:Network Security Platform 指定的攻击 ID。 

• “Severity(严重性)”:攻击代表的潜在影响。 

• “Customized(自定义)”:复选标记表示用户已对该攻击进行自定义。 

• “Packet Logging(数据包记录)”:复选标记表示用户已对该攻击进行记录。 

• “Sensor Actions(Sensor 操作)”:对攻击所执行的 Sensor 操作类型,后面指示了 Sensor 操作所在的级别。 

• “Blocking(阻止)”:这指的是“SmartBlocking(智能阻止)”功能,适用于 6.1 版的 Sensor。在“智能阻止”功能中, 

根据触发攻击的攻击特征码的良性触发几率 (BTP) 值对攻击进行阻止。 

• “Notifications(通知)”:复选标记表示用户已对该攻击启用通知,后跟通知所在的级别。 




3 



• “Protection Categories(保护类别)”:显示攻击所属的“Protection Categories(保护类别)”的数量。例如,如果 

显示的数量为 2,则表示攻击属于 2 个“Protection Categories(保护类别)”。要查看这些类别的名称,请将鼠标 

移到数字上方。 

• “Sensor Software Versions(Sensor 软件版本)”:包含当前 Sensor 软件版本名称和上一个 Sensor 软件版本名 

称的两个列处于选中或未选中的状态,表示攻击是针对当前软件版本、上一个软件版本还是同时针对两个版本。 

图 3-56 “Configure Attack Details for Attack Category(配置攻击类别的攻击详细信息)”对话框 


• 选择一行并单击“View/Edit(查看/编辑)”以查看/自定义单个攻击的详细信息。继续执行步骤 4 的自定义攻击。 

• 选择多个行并单击“Bulk Edit(批量编辑)”可一次自定义多个攻击。批量编辑功能支持一次选择并编辑多个攻击, 

这对一次设置多个响应特别有用。 


• 在“Configure Attack Details(配置攻击详细信息)”页的右上角选择下拉列表。您可以根据以下标准过滤攻击列 

表: 

图 3-57 Attack Filter(攻击过滤器)‑ 下拉列表 

1 “All Selected Attacks(所有选定的攻击)”:显示所有攻击而不用过滤器。 



2 “Only Attacks Eligible for IPS Quarantine(仅显示适合 IPS 隔离的攻击)”:显示适合 IPS 隔离的攻击的列表。 

3 “Only Attacks Recommended for Blocking (RFB)(仅显示建议阻止(RFB)的攻击)”:显示 McAfee 建议阻止 

的攻击。 

4 “Only Attacks Recommended for SmartBlocking (RFSB)(仅显示建议智能阻止(RFSB)的攻击)”:显示 

McAfee 建议智能阻止的攻击。 

5 “Advanced Search(高级搜索)”:根据攻击名称、受影响的应用程序、参考 ID(如 CVE 或 BugTraq)、新攻 

击和基于设备系列的攻击等参数搜索攻击。 


3 



4 查看选择要进行自定义的攻击。要在策略级别自定义攻击,请单击描述旁的“Customize(自定义)”复选框并进行更 

改。 

在自定义攻击的过程中,随时都可以单击对话框底部的“Clear Custom(清除自定义)”按钮,清除所做更改。 

图 3-58 编辑攻击的攻击详细信息 ‑ 对话框 

• “Attack Name(攻击名称)”:由 McAfee 分配。 

• “Severity(严重性)”:攻击的潜在影响级别。要对各个攻击进行自定义,请参阅步骤 5。 

• “Attack Desc(攻击描述)”:单击以查看攻击的详细描述。 

• “Annotate Desc(注释描述)”:单击可为攻击大全中的攻击添加注释。 


• “Signature Desc(特征码描述)”:单击可打开一个新的窗口,其中列出用于检测攻击的特征码。单击“Done(完 

成)”关闭新窗口。 

图 3-59 攻击特征码显示 

• “Benign Trigger Probability(良性触发几率)”:攻击特征码触发误报的概率。 

• “Attack Direction(攻击方向)”:数据流的起源;攻击可以是从客户端或服务器发出。 

• “Applications Impacted(受影响的应用程序)”:列出受攻击影响的应用程序。 

5 (可选)如果您要让攻击具有更高或更低优先级,可通过改变下拉列表的值更改其“Severity(严重性)”。 

每个攻击都具有某种预先配置的严重性,它与攻击对网络所造成的负面影响程度有关。建议不要更改攻击的严重性。 

6 在“Configure attack detail(配置攻击详细信息)”窗口(请见步骤 4)中,您还可以配置“Sensor Actions(Sensor 操 

作)”和“Logging(日志记录)”。 

任务 

• 使用高级搜索来查找攻击第 87 页 

• 自定义 Sensor 对利用漏洞攻击的响应第 92 页 

• 配置利用漏洞攻击通知第 94 页 

另请参阅 



使用高级搜索来查找攻击 

在“Configure Attack Details(配置攻击详细信息)”页中,您可以使用“Advanced Search(高级搜索)”选项根据攻击名称、 

受影响应用程序的名称或参考 ID(例如 CVE 或 BugTraq)在选定策略中搜索利用漏洞攻击,或根据设备系列搜索攻击。 

要使用“Advanced Search(高级搜索)”选项,请执行以下操作: 




3 



任务 

1 在“Configure Attack Details for Attack Category: (配置攻击类别的攻击详细信息: ”) 

页右上角的下拉列表中单击“Advanced Search(高级搜索)”。 

图 3-60 “Show Advanced Search(显示高级搜索)”对话框 

Network Security Platform 在“Advanced Search(高级搜索)”中提供了以下类别: 

• “Attack Name(攻击名称)” 

• “Impacted Applications(受影响的应用程序)” 

• “Reference(引用)” 

• “NSP Attack ID(NSP 攻击 ID)” 

• “Snort ID” 

根据攻击名称搜索攻击 

• “New Attacks(新攻击)” 

• “Sensor Software Versions(Sensor 软件版本)” 

2 在“Search by(搜索依据)”字段中选择您需要的选项。 

将会根据您的选择显示一组字段,帮助您缩小搜索条件。 

3 根据您已选择的选项,输入搜索条件。 

4 单击“Search(搜索)”。 

任务 

1 从“Search by(搜索依据)”列表中选择“Attack Name(攻击名称)”。 


选择是否要将“Attack Name Search String(攻击名称搜索字符串)”输为: 

• “Full Text(全文)”:输入搜索条件的完整文本。例如,root。 

• “Regular Expressions(正则表达式)”:输入正则表达式(如“*”或“?”)获得搜索结果。例如:ro*。 

2 在自由文本字段中输入搜索字符串。 

根据受影响的应用程序搜索攻击 

任务 

根据参考搜索攻击 

1 从“Search by(搜索依据)”列表中选择“Impacted Applications(受影响的应用程序)”。 

2 在“Impacted Applications Search String(受影响的应用程序搜索字符串)”下面,选择: 

• “Full Text(全文)”:输入搜索条件的完整文本。例如,ftp。 

• “Regular Expressions(正则表达式)”:输入正则表达式(如“*”或“?”)获得搜索结果。例如,ft?。 


任务 

1 从“Search by(搜索依据)”列表中选择“Reference(参考)”。 

2 在“Reference by(参考依据)”下面,选择攻击的查看依据选项: 

• “CVE”:与攻击相关的通用漏洞披露 (CVE) 名称。 

• “CERT”:计算机应急响应小组 (CERT) 所列出攻击的 ID。 

• “BugTraq”:BugTraq 数据库中所列的攻击 ID。 

• “ArachNIDS”:ArachNIDS 数据库中所列出攻击的 ID。 

• “Microsoft”:Microsoft 所列出漏洞的 ID 或名称。 

3 在“Reference ID Search String(参考 ID 搜索字符串)”下面,选择: 

• “Full Text(全文)”:输入搜索条件的完整文本。例如,CVE‑2007‑0777。 

• “Regular Expressions(正则表达式)”:输入正则表达式(如“*”或“?”)获得搜索结果。例如,CVE‑2007*。 


根据新攻击的特征码文件搜索攻击 

任务 

1 从“Search by(搜索依据)”列表中选择“New attacks(新攻击)”。 

2 在“Search by New Attacks(按新攻击搜索)”下面,选择: 

根据 Sensor 软件版本搜索攻击 

• “Latest Sigset(最新特征码集)”:查看最新下载的特征码集内新攻击的特征码文件。 

• “Sigset Between(介于以下特征码集)”:查看两个特征码集版本之间的新攻击特征码文件。 



• “Date Between(介于以下日期)”:查看在某个时间段内发布的新攻击特征码文件。以 YYYY/MM/DD 格式输入 

日期。 


3 



任务 

1 从“Search by(搜索依据)”列表中选择“Sensor Software Versions(Sensor 软件版本)”。 

2 在“Search by Comparing Sensor Software Versions(通过比较 Sensor 软件版本搜索)”下,选择: 

图 3-61 Advanced Search(高级搜索)‑ 按 Sensor 软件搜索 

• “Software Version #1(软件第 1 版)”:从下拉列表提供的选项中选择 Sensor 类型和版本号。 


• “软件第 2 版”:从下拉列表提供的选项中选择 Sensor 类型和版本号。 

图 3-62 Sensor 软件版本选项 

• “Select Attacks by Sensor Software Version #1 and Version #2(按 Sensor 软件第 1 版和第 2 版选择攻击)”: 

从列表中选择所需的选项: 

• “All Versions(所有版本)” 

• “Both Version #1 and Version #2(第 1 版和第 2 版)” 

• “Only Version #1(仅限第 1 版)” 




3 



• “Only Version #2(仅限第 2 版)” 

• “Neither Version #1 nor Version #2(既不是第 1 版,也不是第 2 版)” 

图 3-63 按软件版本选择攻击 – 选项 

3 单击“Search(搜索)”。攻击列表将按选定的搜索条件来显示。 

自定义 Sensor 对利用漏洞攻击的响应 

您可以对 Sensor 响应和对利用漏洞攻击的数据包日志记录进行自定义。数据包日志记录对于调试是必不可少的。本节 

描述了在“Edit Attack Detail for Attack(编辑攻击的攻击详细信息)”窗口中的“Logging(日志记录)”选项卡和“Sensor 

Actions(Sensor 操作)”选项卡下配置利用漏洞攻击详细信息。 

要配置利用漏洞攻击详细信息,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Default IPS Settings(默认 IPS 攻击设置)”。 

2 选择要编辑的策略,然后单击“View/Edit(查看/编辑)”。 

此时会显示“Configure Attack Detail for Attack Category(编辑攻击的攻击详细信息)”窗口。 

3 选择利用漏洞攻击。单击“View/Edit(查看/编辑)”。 

此时会显示“Edit Attack Details for Attack(编辑攻击的攻击详细信息)”窗口。 


4 单击“Edit Attack Details for Attack(编辑攻击的攻击详细信息)”窗口中的“Logging(日志记录)”选项卡。 

“Sensor Response(Sensor 响应)”下的“Enable Alert(启用警报)”复选框在默认情况下处于选中状态,但是您可以通 

过取消选中该框来禁用针对攻击的警报。在禁用了主动攻击警报(主动检测)之后,仍然可以配置 Sensor 操作、攻击 

过滤器和通知。但如果禁用警报,则不能配置记录选项。禁用攻击警报之后,检测到攻击时将不会将警报发送到 

Threat Analyzer。如果设置了 Sensor 操作或其他可用操作(如攻击过滤器、通知),则会在检测到攻击时执行这些操 

作。禁用警报和禁用攻击检测是两种不同的操作。 

如果要在 Threat Analyzer 中分析所检测到的攻击,则应选中“Send Alert to the Manager(将警报发送到 Manager)” 

框。在对攻击启用阻止和禁用警报时,请务必小心。 

图 3-64 “Edit Attack Details For Attack(编辑攻击的攻击详细信息)”对话框/“Logging(日志记录)”选项卡 

5 请注意“Capture 128 Bytes of Attack Data Prior to Attack(捕获攻击前的 128 个字节的攻击数据)”复选框。 

默认情况下,所有检测到基于 TCP 和 UDP 的攻击最高可记录 128 字节的数据包数据,这对于接收和发送方向都是 

一样的。为便于显示,Manager 会附加一个“假”的以太网报头,使其与所复制数据包的真正报头相匹配。选中 

“Enable Logging(启用记录)”复选框后,将会记录更多参数。Sensor 会通过复制应用层的数据包数据并将其发送 

至 Manager 来记录该数据。下面的两个字段带有各自的选项以供选择: 

• “Customize Number of Bytes in Each Packet to Log(自定义每个数据包中要记录的字节数)” 

• Log Entire Packet(记录整个数据包):发现攻击时记录整个数据包。 

• Log First n Bytes(记录前 n 个字节):键入要记录的攻击数据包字节数。 

• “Customize Flow(自定义流)” 

• Single Flow(单一流):仅捕获来源到目的地的当前数据流。 

• Forensic Analysis(鉴证分析)(自/至来源和自目的地的数据流):捕获所有来自来源计算机、到达来源计算机 

和发自目标计算机的新数据流。 

• “Duration of Logging(日志记录持续时间)” 

• Attack Packet Only(仅攻击数据包):仅记录包含攻击的数据包。 

• Capture n Packets(捕获 n 个数据包):键入要记录的数据包数目。 

• Capture Time Duration(捕获持续时间):键入记录数据包的时间(秒、分、时或天)。 

• Rest of Flow(其余数据流):记录数据流中的攻击包和所有其他包。 



6 单击“Sensor Actions(Sensor 操作)”选项卡。选择 Sensor 在检测到攻击时要做出的一个或多个响应。 


3 



选项包括: 

• “Customize TCP Reset(自定义 TCP 重置)”,适用于以下主机: 

• 来源 

• 目标 

• 来源和目标 

• “Customize ICMP:Send ICMP Host Not Reachable to Source(Customize ICMP: 向源发送有关 ICMP 主机无法 

访问的消息)”:发送此消息,提示主机无法访问。 

图 3-65 “Edit Attack Details For Attack(编辑攻击的攻击详细信息)”‑“Sensor Actions(Sensor 操作)”选项卡 

• “Customize Blocking Setting(自定义阻止设置)”:允许对当前选定攻击配置自定义阻止设置。包括以下选项: 

• 禁用阻止 

• 启用阻止 

• 启用智能阻止 

• “IPS Quarantine / McAfee NAC(IPS 隔离/McAfee NAC)”:帮助您在策略级别启用/禁用 IPS 隔离以及 McAfee 

NAC 通知。 

另请参阅 

如何响应检测到的攻击第 18 页 


策略中的 IPS 隔离配置第 189 页 

配置利用漏洞攻击通知 

您可以配置针对利用漏洞攻击发送的通知。 

要配置利用漏洞攻击通知,请执行以下操作: 

任务 


2 选择要编辑的策略,然后单击“View/Edit(查看/编辑)”。 

即会显示“Policy Details(策略详细信息)”窗口。 

3 选择利用漏洞攻击。单击“View/Edit(查看/编辑)”。 

4 此时会显示“Edit Attack Details for Attack(编辑攻击的攻击详细信息)”窗口。 


5 在“Notifications(通知)”区域,配置在检测到攻击时要向用户发送的通知类型。 

您不必为每个攻击都设置通知,建议您只为那些需要立即注意的攻击设置通知。 

6 配置在检测到特定攻击时要接收的通知类型。选项包括: 

• “Email(电子邮件)”‑ 将电子邮件发送到配置的电子邮件地址 

• “Pager(寻呼机)”‑ 向配置的电子邮件寻呼机号码发送寻呼 

• “Script(脚本)”‑ 运行先前上载到数据库中的脚本 

电子邮件、寻呼机和脚本列表的配置以管理域节点为单位。 

• “Auto.Ack(自动确认)”:自动将数据库中的攻击标为“Acknowledged(已确认)”,因此检测到这类攻击时,就不 

会计入“Manager”主页的“Unacknowledged Alert Summary(未确认的警报汇总)”内,它们只能通过“Historical 

Threat Analyzer(历史 Threat Analyzer)”查询,在 Threat Analyzer 中查看。 

对于方向为“Unknown(未知)”的攻击(常见于 SPAN 或集线器模式),您必须将“Inbound(入站)”方向的利用漏洞 

攻击或 DoS 攻击设置为“Auto.Acknowledge(自动确认)”,才可使用这一功能。 

• “SNMP”:将警报发送到已配置的 SNMP 服务器。 

• “Syslog”:将警报发送到已配置的 Syslog 服务器。 

图 3-66 “Edit Attack Details For Attack(编辑攻击的攻击详细信息)”对话框 ‑“Notifications(通知)”区域 

7 单击“OK(确定)”返回到“Configure Attack Detail(配置攻击详细信息)”窗口。 

8 完成自定义后,单击“Save(保存)”以返回“Attacks Selected(选定攻击)”列表。 



如果您禁用每个协议的所有攻击,则“Enabled Attacks(已启用的攻击)”列中的数目将与“Available Attacks(可用攻 

击)”列中的数目不同。 


3 



9 转到“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 设置)”,然后单击“Policy Details(策略详细 

信息)”窗口中的“Properties(属性)”选项卡。 

10 在“Outbound Rule Set(出站规则集)”中,选择要应用的规则集,然后单击“Save(保存)”。 

图 3-67 “Add an IPS Policy(添加 IPS 策略)”对话框 

11 按照与自定义入站规则集类似的步骤,自定义利用漏洞攻击的实施。完成所有利用漏洞类别的配置后,进入自定义 

拒绝服务 (DoS) 模式。 

另请参阅 

警报通知选项第 223 页 

拒绝服务 (DoS) 模式 

拒绝服务 (DoS) 攻击通过将大量虚假流量发送给目标系统或主机,使系统缓冲区溢出以至于必须脱机修复,从而中断其 

网络服务。Sensor 在应对 DoS 攻击方面有基于学习和基于阈值两种功能。由于 Sensor 会记录完整的 TCP 状态,因此 

很容易将“不良”的 DoS 数据包与“正常”的流量数据包区分开来,以串联模式运行时可将这些不良的数据包丢弃。 

DoS 策略适用于入站、出站或双向流量。入站流量是在串联或 Tap 模式中标为“Outside(外部)”的端口所收到(即来自 

网络外部)的流量。采用 SPAN 或集线器模式时,除非通过创建 CIDR 块来区分,否则所有流量都被视为入站流量;发 

送给指定 CIDR 块的流量在 SPAN 端口上被视为入站流量。通常入站流量都发往受保护网络,如企业内部网。 

出站流量是从企业内部网的系统发出、在串联或 Tap 模式中标为“Inside(内部)”的端口上所观察到(即来自网络内部) 

的流量。 

另外还有一种称为学习模式的攻击,没有任何特定的方向性,具体地说就是 ICMP ECHO 异常和 TCP 控制异常。这些 

攻击的性质使得 Sensor 无法判定攻击究竟是入站流量还是出站流量。因此将其归类为双向。 

即使 Sensor 以串联模式运行,也“无法”阻止 ICMP Echo 异常和 TCP 控制异常攻击。 

用策略编辑器配置时,可以自定义严重性,对许多统计类别启用管理通知。生成的报告和 Threat Analyzer 有助于判断 

影响网络性能的统计信息类型。 


学习模式 

阈值模式 

在学习模式中,Sensor 监控网络流量,收集一段时间内一些流量测量的统计数据,创建一份“正常”的基准配置文件,称 

为长期配置文件。为了创建配置文件,通常需要两天的初始学习时间。之后 Sensor 会经常更新这些配置文件(通常在指 

定时间内有多个配置文件要处理),并存放在 Sensor 内部的闪存内,以便了解网络的最新状况。另外,Sensor 也会实 

时创建短期配置文件 ‑ 实质上是网络流量的快照。Sensor 会比较短期配置文件和长期配置文件,只要短期配置文件的统 

计数据显现出与长期配置文件差异过大的流量异常情况,就会发出警报。学习和检测算法也会将瞬间集中或类似现象引 

起的正常流量波动情况考虑在内:通常这些情况都不会引发警报。(瞬间集中指的是正常状况所造成的流量短期暴增现 

象,例如星期一早上刚好大家都在 9:00 左右同时登录。) 

流量暴增达到多高的程度以及持续多长的时间应视为异常,以及是否要发出警报,都由响应敏感度决定。将响应敏感度 

设置为“Low(低)”时,检测算法应尽量容忍流量暴增现象(也就是说,只要网络还有充足的带宽和/或服务器还有足够的 

容量,就不会发出警报);设置为“High(高)”时,系统对任何流量暴增都非常敏感。“High(高)”敏感度是一把双刃剑: 

一方面能够检测到小规模的 DDoS 攻击,但另一方面也会让系统的误报数量大增,而“Low(低)”敏感度的情形则刚好相 

反。 

DoS 学习模式在创建策略时配置,在接口和子接口级别实施。您可以在这些资源级别自定义学习模式配置文件,也可 

在 Sensor 级别重置(重新学习)或重新加载学习模式配置文件。这些操作都是使用“Configuration(配置)”页来执行的。 

另请参阅 

DoS 数据管理第 244 页 

在阈值模式中,Sensor 会监控网络从来源到目标的传输流量中,是否有大量数据包(如 SYN 攻击和过多的 IP 碎片)流 

过,这在 Sensor 接口或子接口中检测。使用策略编辑器配置或在接口或子接口级别自定义时,必须为要检测的阈值攻 

击指定数量和间隔时间(以秒为单位)。当启用攻击的流量超过自定义的阈值时,Sensor 就会发出警报。您也可以对特 

别需要注意的攻击启用通知功能。 

尽管为阈值和间隔时间提供了默认值,但您必须为要检测的每个 DoS 阈值模式配置实际阈值和间隔时间。在研究了每种 

DoS 阈值攻击的当前防御级别,以精确地确定最能保护您的网络的阈值个数和时间间隔之后,再自定义 DoS 阈值,这样 

是最有效的。 

自定义拒绝服务 (DoS) 模式 

您可以自定义攻击设置和 DoS 攻击的攻击响应。 

要自定义 DoS 攻击详细信息,请执行以下操作: 




3 



任务 

1 选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Default IPS Attack Settings(默认 IPS 攻击设置)” 

| “DoS Attacks(DoS 攻击)”。 

2 选择一个 DoS 攻击,然后单击“View/Edit(查看/编辑)”。 

即会显示“Edit Attack Details(编辑攻击详细信息)”窗口。 

图 3-68 攻击详细信息 ‑ DoS 

3 DoS 攻击字段说明如下: 

字段名字段描述 

“Attack Name(攻击名称)” 显示攻击的完整名称。 

“Customize Severity(自定义严 

重性)” 

“Attack Description(攻击描 

述)” 

“Annotate Description(注释描 

述)” 

“Benign Trigger Probability(良 

性触发几率)” 

“Customize Severity(自定义严 

重性)” 

指定攻击可能造成的潜在影响。 

攻击的描述。 

攻击的注释。 

指定误报警报的可能性。 

指定严重性级别。 


字段名字段描述 

“Sensor Response(Sensor 响 

应)” 

“Customize Blocking Setting 

(自定义阻止设置)” 


任务 

配置拒绝服务攻击通知 

指定 Sensor 响应。 

• 选择“Send alert to the Manager(将警报发送到 Manager)”以激活对攻击的搜 

索。 

• 选择“Blocking(阻止)”“Drop DoS attack packets of this attack type when 

detected(检测到此攻击时,丢弃此攻击类型的 DoS 攻击数据包)”以在检测到 

攻击时丢弃入侵的 DoS 数据包。您必须为以这种方式应对的每个“Learning 

Mode(学习模式)”攻击设置此选项。它仅适用于以串联模式部署的 Sensor。 

阻止并丢弃检测到的此攻击类型的 DoS 攻击数据包。 

有关监控模式的详细信息,请参阅“拒绝服务 (DoS) 模式”。 

• 配置拒绝服务攻击通知第 99 页 

您可以配置针对 DoS 攻击发送的通知。 

要配置 DoS 攻击详细信息,请执行以下操作: 

任务 


2 选择一个 DoS 攻击,然后单击“View/Edit(查看/编辑)”。 

3 在“Notifications(通知)”区域,配置在检测到攻击时要让配置用户接收的通知类型。 

您不必为每个攻击设置通知,只需为值得加以注意的攻击设置通知。 

要在策略级别自定义攻击响应,首先单击每个响应旁的“Customize(自定义)”。 

图 3-69 针对 DoS 攻击的“Notifications(通知)”设置 

4 查看选定攻击的详细信息。(可选)单击“Attack Description(攻击描述)”以查看完整的攻击描述。 

图 3-70 “Edit Learning Attack Detail For Attack(编辑攻击的学习模式攻击详细信息)”对话框 ‑“Attack(攻击)”区域 

5 (可选)单击“Annotate Description(注释描述)”可为攻击大全中的攻击添加注释。 




3 



6 (可选)如果要提高或降低攻击的优先级,可单击“Severity(严重性)”下拉列表,并选择其他严重性级别。 



“Summary(摘要)”窗口会显示自定义 DoS 攻击的详细信息。 

图 3-71 含有自定义 DoS 攻击详细信息的“Summary(摘要)”窗口 


如何配置非标准端口 

目标 IP 地址在非标准端口上侦听协议时,该端口称为非标准端口。例如,HTTP 默认使用端口 80 或 8080;因此, 

Sensor 读取端口 80 或 8080 的数据包时,会尝试将该流量作为 HTTP 解码。但是,如果用户在端口 2560 上运行 

HTTP 服务器,则建议用户添加此非标准端口参数。这样可以避免由于无法识别的端口协议通信引起误报,以及恶意活 

动通过“后门”传播,让系统得到保护。 

• 添加非标准端口条目 

• 编辑非标准端口条目 

添加非标准端口条目 

“IPS Settings(IPS 设置)”节点的“Non‑Standard Ports(非标准端口)”操作应用于同一管理域中的所有 Sensor。而且, 

如果某个 Sensor 已分配至子域,则该 Sensor 同样会接收非标准端口规则。 

每个协议可以添加多个非标准端口,但每次只能添加一个端口。如果一个协议添加了多个端口,则所有输入的非标准端 

口都将出现在一个条目中。例如,FTP 流量添加了两个非标准端口 1121 和 1281(标准 FTP 端口为 21)。每个非标准 

端口都单独进行添加,但它们一并出现在同一条目中。 

要在策略配置中添加非标准端口,请执行以下操作: 

任务 

1 单击“IPS Settings(IPS 设置)” | “ IPS & Recon(IPS 和侦测)” | “ Non‑Standard Ports(非标准端口)”。 


3 选择一个“Protocol(协议)”。 

4 可以针对步骤 3 中选择的每个“Protocol(协议)”选中“Enable SSL(启用 SSL)”。 


5 系统会自动选中“Transport(传输)”协议。 

可以在下拉列表中更改传输协议。 

6 在“Standard Port Number(标准端口号)”中键入端口号。 

7 在“Non‑Standard Port Number(非标准端口号)”中键入端口号。 

8 单击“Save(保存)”,或者单击“Cancel(取消)”以放弃。 

9 通过执行“更新所有 Sensor 的配置”中的步骤,将更改下载到您的 Sensor。 

图 3-72 非标准端口的配置 

另请参阅 

更新设备配置第 235 页 

编辑非标准端口条目 

非标准端口可以通过“IPS Settings(IPS 设置)/Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” 

| “Non‑standard Ports(非标准端口)”或“IPS Settings(IPS 设置)/Failover Pair Node(故障转移对节点)” | 

“Advanced Scanning(高级扫描)” | “Non‑standard Ports(非标准端口)”在 Sensor 名称或故障转移对节点上进行添 

加。但是,通过“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Non‑standard Ports(非标准端口)”在 

“IPS Settings(IPS 设置)”节点上添加的端口无法从“Sensor_Name(Sensor 名称)”或故障转移对节点上进行删除或 

编辑。只有从“Sensor_Name(Sensor 名称)”或“Failover Pair(故障转移对)”节点上添加的端口才可以从这些节点上 

进行编辑或删除。 

编辑非标准端口条目依您在给定协议中输入的非标准端口个数而定。例如,如果将端口 1021 用于 FTP 流量并添加这一 

条目,则返回编辑条目时,唯一的可用选项会是删除端口 1021,从而删除该条目。但是,如果为 FTP 流量分别添加了 

端口 1021 和 1121 两个条目,则编辑此非标准端口条目时,您将可以删除其中一个非标准端口,而不是同时删除两者。 

要编辑非标准端口条目,请执行以下操作: 

任务 

1 单击“IPS Settings(IPS 设置)” | “ IPS & Recon(IPS 和侦测)” | “ Non‑Standard Ports(非标准端口)”。 

2 选择一个条目。 

3 单击“Edit(编辑)”。 

4 选择要删除的非标准端口。 




3 



5 单击“Delete(删除)”并单击“OK(确定)”以确认删除。 

6 通过执行更新所有 Sensor 的配置中的步骤,将更改下载到您的 Sensor。 

另请参阅 


使用事件生成器服务 

非标准端口可以通过“IPS Settings(IPS 设置)/Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” 

| “Non‑standard Ports(非标准端口)”或“IPS Settings(IPS 设置)/Failover Pair Node(故障转移对节点)” | 

“Advanced Scanning(高级扫描)” | “Non‑standard Ports(非标准端口)”在 Sensor 名称或故障转移对节点上进行添 

加。但是,通过“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Non‑standard Ports(非标准端口)”在 

“IPS Settings(IPS 设置)”节点上添加的端口无法从“Sensor_Name(Sensor 名称)”或“Failover Pair(故障转移对)”节 

点上进行删除或编辑。只有从“Sensor_Name(Sensor 名称)”或“Failover Pair(故障转移对)”节点上添加的端口才可 

以从这些节点上进行编辑或删除。 

“Incident Generator(事件生成器)”操作用于安装及启动事件生成器服务。它能设置攻击事件的条件,一旦符合这些条 

件,便可对攻击进行实时关联性分析。安装包括服务应用程序以及配置和日志文件等。 

实时警报关联是对过去(最近检测到的)和将来(将要发生)的警报进行分析,以确定一定情况下是否符合一系列的条件 

(场景),从而识别一些反复性的入侵者/目标或网络漏洞。场景可以自定义,以对发自任一来源、以一个主机为目标或其 

他此类模式的攻击进行研究。最小的条件集有: 

• “Source IP(来源 IP)”或“Destination IP(目标 IP)”:默认值为任意来源 IP 或目标 IP 地址。 

• “Threshold Value(阈值)”:要在“Threshold Interval(阈值)”间隔内检测到的攻击数目,只有达到这个攻击数目才认 

为发生了一个事件。默认值为 10 个攻击。 

• “Threshold Interval(阈值间隔)”:必须在这一时间内超出阈值才认为发生了事件。默认值为 5 分钟。开始时间为检 

测到第一次攻击的时间。而结束时间是检测到最后一次攻击的时间。 

• “Period of Quiet(安静期)”:没有发生符合条件的警报的时间长度或间隔。默认值为 2 分钟。 

IG 服务可为多个来源或目标 IP 统计多组数据。当某一场景的阈值条件得到满足,系统就会触发一个事件。 

例如,您可以将事件配置为 5 分钟内检测到 100 次对任意目标 IP 的攻击。然后,在 5 分钟间隔内,检测到 116 次针对 

目标 IP 为 192.168.5.3 的攻击,以及 145 次针对目标 IP 为 192.168.5.4 的攻击。由于有两个目标 IP 地址符合场景条 

件,将分别得到两个单独的事件。每个事件都含有在设置间隔内检测到的符合场景条件的每次攻击。如果在达到阈值和 

间隔之后,继续检测到符合场景条件的攻击,则事件将继续进行关联分析,直至符合安静期的条件。 

通过“Incident Viewer(事件查看器)”(详细信息请参阅“使用 Threat Analyzer 事件查看器”),您可以查看检测到的攻击并 

确定是否存在某种攻击模式,如攻击者试图发现漏洞并以特洛伊木马等恶意程序感染系统。 

每一事件都由一次或多次实例构成。也就是说,对于某一特定来源或目标 IP,在阈值间隔之内发生了一次或多次达到阈 

值的实例,这些阈值间隔以安静期分隔。 

例如,可将场景配置为在 10 分钟内检测到来自任一来源 IP 的 100 次攻击即产生一个事件报告。安静期可以是 2 分钟。 

在 10 分钟的间隔内,共检测到来自来源 IP 172.29.22.6 的 532 次攻击。在这 10 分钟内,有一个 2 分钟的安静期。在 

安静期前,检测到 372 次攻击。在安静期后,检测到 160 次攻击。因此,这一事件由两个发生情况组成。 

在给定时间内,每个 Manager 只能打开一个 IG 激活会话。 

由于 IG 需要系统处理周期,因此 McAfee 建议您从客户机运行 IG。在 Manager 服务器上运行 IG 会严重影响系统性能。 

要安装并激活 IG 服务,请执行以下操作: 


任务 

1 选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Incident Generation(生成事件)”。 

2 单击“Enable(启用)”。 

Manager 会确定当前有没有其他用户连接至事件生成器。 

• 如果 IG 当前不存在连接,则显示以下消息:“Note: The Incident Generator is enabled and has not been 

started on any machine.To start the service locally, click “Start Service”.(注意: 虽然已启用事件生成器,但尚未 

在任何计算机上启动它。要在本地启动此服务,请单击“Start Service(启动服务)”)”。请转至“步骤 3”。 

• 如果其他用户连接到 IG,则状态显示为“Connected(已连接)”,并且“Started(已启动)”字段将显示已连接会话 

的 IP 地址。 

您必须了解以下字段: 

• “Status as of(状态起始于)”:事件生成器状态最后一次更新的时间。 

• “Enabled(启用)”:状态由用户操作决定。如果启用,则为“Yes(是)”。 

• “Started(已启动)”:显示最近一次启动事件生成器服务的客户端 IP 地址。“No(无)”表示当前尚未在任何客户端 

上运行服务。 

• “Status(状态)”:依服务的工作状态而定。默认值为“Unknown(未知)”。 

图 3-73 Incident Generator Details(事件生成器详细信息)‑ 预配置 

3 单击“Download Service(下载服务)”。在“File Download(文件下载)”对话框中单击“Save(保存)”。 

图 3-74 事件生成器 ‑“File Download(文件下载)”对话框 




3 



4 将 IGService.zip 保存到客户端计算机中。 

图 3-75 保存 IGService.zip 

5 完成下载后,单击“Open(打开)”以打开包含 IGSetup.exe 的文件夹。 

图 3-76 事件生成器 ‑“Download Complete(下载完成)” 


6 双击“IGSetup.exe”。 

图 3-77 启动 IGSetup.exe 

7 单击“Extract all(全部解压)”以解压缩经过压缩的文件。 

图 3-78 压缩文件夹警告 




3 



8 在“Extraction Wizard(解压缩向导)”的起始页中单击“Next(下一步)”。 

图 3-79 Extraction Wizard(解压缩向导)‑ 起始页 

9 将该文件解压缩到客户端计算机中的所需位置处,选中“Show extracted files(显示解压后的文件)”,然后单击“Finish 

(完成)”以查看解压后的文件。 

图 3-80 “Extraction Complete(解压缩完成)”对话框 


10 双击“IG_setup.exe” 

图 3-81 解压后的 IG_setup.exe 

11 单击“Run(运行)” 

图 3-82 运行 IG_setup 

12 事件生成器开始安装,同时出现安装向导屏幕。 

图 3-83 已安装的事件生成器 




3 



13 按照安装向导中的屏幕说明,将事件生成器安装在客户端计算机中。 

图 3-84 事件生成器安装向导 

14 事件生成器安装完成后,单击“Activate(激活)”以启动事件生成器服务。 

“Status(状态)”字段从“Unknown(未知)”更改为“Connected(已连接)”。请注意激活时间。 

图 3-85 Incident Generator Details(事件生成器详细信息)‑ 配置后 

事件生成器服务在服务安装后即与 Manager 进行通信,但只有在激活后才开始生成事件。 

事件生成器安装程序在下载时接受 Manager 会话的 IP 地址。该会话的 IP 地址可以为 IPV4,也可以为 IPV6。 

15 打开 Threat Analyzer 并选择“Incident Viewer(事件查看器)”以查看生成的事件。有关详细信息,请参阅“使用 

Threat Analyzer 事件查看器”。 

16(可选)单击“Disable(禁用)”或关闭您的客户端计算机(主机)以停止事件生成器服务。 

任务 

• 卸载事件生成器服务第 108 页 

卸载事件生成器服务 

要卸载事件生成器服务,请执行以下操作: 


任务 

1 转到“开始” | “设置” | “控制面板” | “添加/删除程序”,并选择“McAfee Incident Generator(McAfee 事件生成器)” 

2 单击“删除”以卸载该服务。 

如果停止服务,服务文件将从客户端系统文件中移除。禁用服务后,您需要在任一客户端上重复此安装步骤以在将来 

启动事件生成器。 

事件生成器服务必须通过 Manager UI(“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Incident Generation 

(生成事件)”)启动或停止。出于此目的而使用操作系统的服务管理控制台将会导致不可预料的结果。 

如何导出和导入策略 

Network Security Platform 可以在非生产性 Manager 服务器上创建/复制策略,然后将新的策略/攻击过滤器导入生产性 

Manager 之中。此外,可以将自定义策略/过滤器从 Manager 导出至非生产性计算机上,然后加以编辑或执行其他操 

作。 

• 导出策略:将策略从 Manager 导出至客户端。 

• 导入和比较策略:将策略导入至 Manager。 

导出策略 

导出策略操作可让您将来自 Manager 服务器的一个或多个自定义(创建/复制的)IPS 策略和侦测策略保存到客户端。这 

对存档以及将策略从测试 Manager 环境转移至真实环境中相当有效。例如,从客户端登录到测试 Manager 中,然后创 

建新的策略。创建之后,将策略导出到客户端。然后从客户端登录到真实 Manager 中,并导入策略以供实际使用。 

要将一个或多个策略从 Manager 服务器导出到客户端,请执行以下操作: 




3 



任务 

1 选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Export(导出)”。 

2 选择要从“Export Policies(导出策略)”表中导出的一个或多个策略。通过选择“Policy Name(策略名称)”旁边的复选 

框,可以选择或取消选择所有列出的策略。 

图 3-86 “Export Policies(导出策略)”表 

3 选择了所需策略之后,单击“Export(导出)”。 

4 浏览至需要保存导出文件的位置。 

5 查看导出文件的目的地,验证导出是否成功。策略文件将另存为 XML 文件,它含有选择用于导出的所有策略。因 

此,如果选择导出两个策略,则它们会保存在同一个文件中。 

如何导入和比较策略 

虽然此功能输出为 XML 文件,但不应对该文件进行读写操作。对于此文件,除了可以进行不同介质间正常的复制操 

作外,其他任何操作都可能导致导入失败。 

“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Import(导入)”操作可以让您对 Manager 服务器中的策略与 

外部策略进行比较,并将外部策略添加到 Manager 服务器。您可以在 Manager 服务器上通过 CD‑ROM 导入或浏览到 

所连接的网络服务器来导入;或者从远程客户端上导入到 Manager。 

与子域的可用策略有关的可见性规则也适用于导入的策略。因此,对于导入的自定义(创建或复制)策略,如果在创建过 

程中没有选中“Visible to Child Admin Domains(对子管理域可见)”复选框,则导入的策略将仅在管理域中可见。 


选择要导入的策略 

导入和比较策略涉及以下操作: 

• 选择要导入的策略 

• 在导入策略前比较策略 

• 完成策略导入 

要将策略导入 Manager 服务器数据库,请执行以下操作: 

任务 

在导入策略前比较策略 

1 选择“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Import(导入)”。 

2 单击“Browse(浏览)”,以在系统中搜索已导出的策略文件。 

3 单击“Next(下一步)”,将文件下载至 Manager。 

图 3-87 从文件导入策略配置 

4 查看已经应用的策略与所导入策略之间的区别。 

在导入前选择策略: 

图 3-88 导入策略差异状态 

任务 

1 选择要导入的策略,然后单击“Difference(差异)”。 



随即显示“Policy Diff(策略差异)”页。此页提供两个不同 Network Security Platform 策略之间的差异的只读列表(包 

括配置为“Inbound(入站)”和“Outbound(出站)”的单个策略之间的差异)。在策略导入过程中,利用“Policy Diff(策 


3 



略差异)”页可以选择一个存储在 Manager 服务器上的策略,然后与当前正在导入的策略进行比较。然后,此实用程 

序会显示这两个文件之间的差异。 

两个策略中具有相同值的属性不会显示。 

图 3-89 策略差异 ‑ 快照视图 

两个策略之间的差异信息以 3 个不同的视图提供,而每个视图在显示差异信息的详细程度方面有所不同。 

• “Snapshot(快照)”:此视图会概要地显示差异;此视图会指出 6 个逻辑组内的差异。 

• “Summary(摘要)”:摘要视图显示所有详细信息(“Exploit(利用漏洞)”、“Threshold(阈值)”和“Statistical(统 

计)”区域中的攻击差异详细信息除外,这几项会在详细信息视图中显示)。 

• “Detail(详细信息)”:详细信息视图显示所有数据差异,包含攻击详细信息。 


完成策略导入 

在所有这三个视图中,数据都以标准的 Windows 文件夹结构显示,可以在所有级别上展开/折叠。水平滚动条和垂直 

滚动条是同步的;在一个策略窗口中滚动一个滚动条,另一个窗口中的滚动条也会随之滚动。在您导航到其他视图 

并返回时,视图的状态无法保持;状态会重新设置为视图的最初状态。 

图 3-90 策略差异 ‑ 详细信息视图 

左侧显示导入的策略;右侧显示现有的策略。策略中特定项目的差异数以红色文本显示并用括号括起来(例如,如果 

有两个区别,则显示 (2))。叉号(“X”)表示策略中缺少窗口对等侧策略中的某部分。 

对于所显示的差异数有限制。如果差异计数大于 100,只在实用程序中显示前 100 个攻击(包含差异细节)。这表示 

此区域中的差异数超过 100。 

如果为任一策略配置了“Outbound Policy(出站策略)”,则不显示“Outbound Policy(出站策略)”详细信息,而只显 

示名称。在实用程序中只比较攻击过滤器名称;攻击过滤器定义不是策略定义的一部分,因此不予比较。 

在将策略导出文件导入到 Manager 时,在策略导出文件中存在但在导入的特征码集中找不到的攻击将始终显示在 

“Policy Diff(策略差异)”信息中。 

2 关闭“Policy Diff(策略差异)”窗口返回“Import Policy Difference Status(导入策略差异状态)”屏幕。 

任务 

1 选择要导入的策略,然后单击“Apply(应用)”。 



2 选择“IPS Settings(IPS 设置)” | “IPS Settings(IPS 设置)” | “Summary(摘要)”以验证策略是否成功导入。 


3 



连接限制策略 

连接限制策略包括一套规则,Sensor 通过这些规则来限制主机可以建立的连接数或连接速率。 

Sensor 能够定义阈值,从而限制主机能够建立的连接数(对于 TCP 来说为三方握手)。Sensor 将允许小于或等于定义 

阈值的连接数或连接速率,而超过该值将被丢弃。这有助于尽量减少服务器上基于连接的 DoS 攻击。 

此技术与 McAfee ® Global Threat Intelligence IP 信誉相集成,有助于根据外部主机的信誉和地理位置,针对流向/来自 

外部主机的流量来定义连接限制规则。 

您也可以在接口级别和子接口级别分配已定义的连接限制策略。 

示例: 

• 当将单个来源的活动 HTTP 连接数限制为 100 时,此后的连接将被丢弃。 

• 当将单个来源的整体活动连接数(所有 TCP 和 UDP)限制为 500 时,此后的连接将被丢弃。 

• 当将单个来源的每秒 DNS 请求数限制为 200 时,此时间段内的后续连接将被丢弃。 

另请参阅 

连接限制策略第 355 页 

连接限制策略的优势 

连接限制策略的部分优势如下: 

• 尽量减少服务器上基于连接的 DoS 攻击。 

• 根据外部主机的信誉和地理位置,对流向/来自外部端口的流量进行控制。 

连接限制策略的工作方式 

您可以在管理域级别创建连接限制策略。 

您可以使用处于 SPAN、Tap 或串联模式的监控端口来配置连接限制策略。 

SPAN 模式和 Tap 模式下的响应操作不同。对于这些模式,不能丢弃/隔离警报。 

连接根据预定义的阈值来限制。阈值定义为每秒连接数或活动连接数。例如,如果您将阈值定义为每秒 1 个连接,则 

每 10 秒只能允许 10 个连接。因此,如果第一秒内有 10 个连接,则将丢弃第二秒到第十秒的所有其他连接。另一方 

面,如果每秒有 1 个连接,则将允许到第十秒为止的所有 10 个连接。这种情况也称为 Traffic Sampling(流量采样)。 

最小阈值和最大阈值分别为每秒 1 个连接和每秒 65535 个连接。 

当创建连接限制策略后,您可以在以下级别分配相同策略: 

• 接口级别 

• 子接口级别 

这些资源是 VLAN 或 CIDR 类型的监控端口。您可以根据监控端口的配置,将策略分配到这些级别。 

当分配了规则并创建了策略后,系统会监控流量,以基于配置的阈值来限制连接数。每当连接超过所定义的阈值时,都 

会发送一个警报。您可以针对该连接采取下面的任一响应操作。 

• Alert Only(仅发出警报) 

• Alert & Drop Excess Connections(发出警报并丢弃多余连接) 


• Alert & Deny Excess Connections(发出警报并拒绝多余连接) 

• Alert & Quarantine(发出警报并隔离) 

对于不同的 Sensor 型号,连接限制策略的工作方式有所差别。尽管阈值决定要限制的连接数,但更高级的 M 系列 

Sensor 型号具有多个处理器,可实现负载平衡。例如,对于 M‑1250 到 M‑3050 Sensor,如果将 http 流量的阈值定义为 

每秒 5 个连接,则 10 秒内将只允许 50 个连接。对于 M‑8000 Sensor,跨越多个处理器来处理连接将实现负载平衡。根 

据每个 Sensor 在任意给定时间时处理的流量,Sensor 限制的确切连接数可能略有差异。 

连接限制规则的组件 

本节介绍了连接限制规则的各种组件。 

图 3-91 连接限制规则的组件 

请使用以下组件来管理连接限制规则: 

• “Rule number(规则编号)”:“Alerts(警报)”中引用的规则的序列号 

• “Enabled(启用)”:规则的状态 

• “Description(描述)”:添加规则描述(可选) 

• “Direction(方向)”:选择所用规则的以下任一方向: 

• “Inbound(入站)”‑ 用于入站流量 

• “Outbound(出站)”‑ 用于出站流量 

• “Bidirectional(双向)”‑ 用于入站和出站流量 

图 3-92 方向组件 

• “Rule Type(规则类型)”:选择以下任一规则类型: 

• “Protocol(协议)”‑ 限制来自主机的 TCP/UDP/ICMP 活动连接数或连接速率 

• “GTI” ‑ 根据外部主机的信誉和/或地理位置来限制连接速率 

图 3-93 规则类型组件 

当 Global Threat Intelligence (GTI) IP 信誉处于启用状态时,只适用基于 GTI 的规则。 

上述两种规则都在每个方向(入站/出站)的基础上指定。 




3 



• “Threshold Type(阈值类型)”:选择以下任一阈值类型: 

• “Connection Rate(连接速率)”‑ 每秒定义的连接速率 

• “Active Connections(活动连接数)”‑ 活动连接的数量 

图 3-94 阈值类型组件 

只有“Connection Rate Threshold Type(连接速率阈值类型)”可用于GTI 规则。 

• “Threshold(阈值)”:在“Connection Rate Threshold(连接速率阈值)”对话框中定义限制连接的值(连接/秒)。 

图 3-95 “Connection Rate Threshold(连接速率阈值)”对话框 

• “External Reputation(外部信誉)”:选择以下任一外部 GTI 信誉(风险级别): 

• High Risk(高风险) 

• Medium Risk or High Risk(中风险或高风险) 

• Unverified, Medium or High Risk(未验证、中风险或高风险) 

• Any(任何) 

图 3-96 外部信誉组件 

此组件仅适用于 GTI 规则类型。 

• “External Location(外部位置)”:选择外部地理位置(GTI 国家/地区)。 

此组件仅适用于 GTI 规则类型。 

• “Service(服务)”:从“Service(服务)”对话框下拉列表中选择以下任一传输协议: 

• TCP 

• UDP 

您可以指定 TCP 协议的端口号。 

您可以指定 UDP 协议的端口号。 


• Ping (ICMP echo Request)(Ping(ICMP Echo 请求)) 

• All TCP and UDP(所有 TCP 和 UDP) 

图 3-97 服务组件 

服务组件仅适用于协议规则类型。 

• “Response(响应)”:选择以下任一响应操作: 


• Alert & Drop Excess Connections(发出警报并丢弃多余连接) 

• Alert & Deny Excess Connections(发出警报并拒绝多余连接) 


图 3-98 响应组件 

协议规则类型和 GTI 规则类型之间的比较 

下表显示了两种规则类型之间的比较: 

规则组件协议规则类型 GTI 规则类型 

Description(描述) 适用适用 

Direction(方向) 适用适用 

Threshold Type(阈值类型) 两种阈值类型均适用仅适用“Connection Rate(连接速率)”阈值类型 

Threshold(阈值) 适用适用 

External Reputation(外部信誉) 不适用适用 

External Location(外部位置) 不适用适用 

Service(服务) 适用不适用 

Response(响应) 适用适用 

规则类型注意事项 

对于规则类型,请遵循以下注意事项: 

• 对于协议规则类型: 

• 在一个策略中,对于一个方向,只能定义一个所有 TCP/UDP 连接速率规则。 

• 在一个策略中,对于一个方向,只能定义一个所有 TCP/UDP 活动连接规则。 




3 



• 对于 GTI 规则类型 

• 对于 GTI 连接速率规则,地理位置和风险级别不能同时为“any(任意)”。 

• 对于 GTI 连接速率规则,定义的风险级别表示选定的风险级别及更高。例如,如果没有定义高风险规则,则中风 

险规则可应用于高风险流量。 

• 对于一个指定地理位置,用户只能创建两个 GTI 规则: 

• 一个 GTI 规则具有定义的特定信誉级别(高风险、中风险、未确认、最低风险):此规则将应用于此地理位置 

上具有与已定义级别相同或更低信誉的流量。此规则中定义的级别可看成是针对此地址位置的恶意隔绝级别。 

• 一个 GTI 规则具有“ANY(任意)”信誉:此规则将应用于针对此地理位置的任意流量(包括所有信誉级别,甚 

至包括没有可用信誉信息的流量)。此规则仅基于地理位置,并且可以在不启用 GTI 的情况下工作(前提是 

将地理位置数据库推送到 Sensor)。 

• 对于 GTI 连接速率规则,“Quarantine(隔离)”响应操作不适用于出站方向。 

• 当不同规则类型影响相同流量时,将对首先到达的阈值采取操作。 

规则应用顺序如下: 

协议连接速率规则 ‑> 协议活动连接数规则 ‑> 所有 TCP/UDP 连接速率规则 ‑> 所有TCP/UDP 活动连接数规则 

‑> 地理位置特定的信誉 GTI 连接速率规则 ‑> 地理位置特定的任意信誉 GTI ‑>任意地理位置信誉特定的 GTI 连接 

速率 

• GTI 规则均不适用于列入白名单的主机。 

• 当启用了 GTI 并配置了连接限制规则时,您便可以阻止入站连接上接收到的恶意流量。例如,您可以将 Sensor 

部署在 Web 服务器的前面,并启用 GTI 和连接限制规则,以限制对服务器的访问并阻止 DoS 攻击。 

XFF 对连接限制的影响 

本节介绍了 X‑Forwarded‑For (XFF) 对 Connection Limiting(连接限制)功能的影响。 

启用了 XFF 时对 HTTP 流量的影响 

当启用了 XFF 时,则会假设该 VIDS 级别的所有 HTTP 流量均为 XFF 流量。当启用了 XFF 时,如果流量为非 XFF, 

则不会进行流量限制。 

Sensor 会检查 XFF 流量是否遵循基于协议的规则。当连接数超过阈值时,会触发响应操作。根据配置,可能会发出警 

报,也可能会阻止连接。 

此功能将无视 syn cookie 设置而执行。XFF 流量不支持隔离响应。 

启用了 XFF 时对 HTTPS 流量的影响 

当禁用了 SSL 时,Sensor 根据来源 IP 地址来处理针对 HTTPS 流量的连接限制。此功能与 XFF 是否启用无关。 

当启用了 SSL 时,如果 Sensor 无法解密流量(Sensor 上没有服务器证书),则不会针对 XFF 和非 XFF HTTPS 流量采 

取连接限制。 

当启用了 SSL 时,如果 Sensor 能够解密流量(Sensor 具有服务器证书),则不会针对非 XFF HTTPS 流量采取连接限 

制。 

连接限制对于 XFF HTTPS 和 HTTP 流量会采取相同的行为。 

非标准端口对 HTTP/HTTPS 流量的影响 

默认情况下,只针对标准端口上的 HTTP/HTTPS 流量执行 XFF 连接限制。如果 HTTP/HTTPS 流量在非标准端口上运 

行,则您需要在 Manager 上定义非标准端口。 

XFF IP 对警报的影响 

XFF IP 可以为 IPv4 或 IPv6,而与代理 IP(也可以为 IPv4 或 IPv6)无关。连接限制只基于 XFF IP,而非代理 IP。 


GTI 不支持 XFF IP,因此所有 GTI 规则类型均不适用于 XFF 流量。 

如果启用了 XFF 和连接限制,则针对正常的非 XFF HTTPS 流量,不会完成任何连接限制过程。 

从 IPS 设置节点配置连接限制策略 

任务 

1 转到“IPS Settings(IPS 设置)” | “Policies(策略)” | “Connection Limiting Policies(连接限制策略)”。 

图 3-99 从 IPS 设置节点配置连接限制策略 

2 单击“New(新建)”以创建新策略。 

即会打开“Properties(属性)”选项卡。 

3 在“Properties(属性)”选项卡下的“Statistics(统计数据)”部分会显示以下信息: 

• Last Updated(上次更新时间) 

• Last Updated By(上次进行更新的用户) 

• Assignments of this Policy(此策略的分配) 




3 



• Inbound Connection Limiting Rules(入站连接限制规则) 

• Outbound Connection limiting Rules(出站连接限制规则) 

图 3-100 “Properties(属性)”选项卡 

单击“Visible to Child Admin Domain(对子管理域可见)”以使该策略对子管理域可见。 

4 在“Properties(属性)”选项卡下,键入策略的“Name(名称)”和“Description(描述)”,然后单击“Connection 

Limiting Rules(连接限制规则)”。 

即会打开“Connection Limiting Rules(连接限制规则)”选项卡。 

5 使用以下选项,将规则添加到策略中: 

• Insert Above(在上方插入) 

• Clone(复制) 

• Insert Below(在下方插入) 


• Move Up(上移) 

• Move Down(下移) 

图 3-101 “Connection Limiting Rules(连接限制规则)”页 

单击“Delete(删除)”以删除策略。 

在单击“New(新建)”后,“New(新建)”选项会替换为“Insert Above(在上方插入)”选项。 

6 下表显示了每个规则中的字段: 

字段描述 

Rule number(规则编号) 警报中引用的规则的序列号 

Enabled(已启用) 规则的状态 

Description(描述) (可选)规则的描述 

Direction(方向) 所用规则的方向 

Rule Type(规则类型) GTI 与协议 

Threshold Type(阈值类型) 连接速率与活动连接数 

阈值连接数/秒或活动连接的数量 

External Reputation(外部信誉) GTI 风险级别 

External Location(外部位置) GTI 所在国家/地区 

Service(服务) 协议和端口 

Response(响应) 对匹配的规则采取的行动 




3 



7 单击“Save(保存)”以保存策略的规则。 

8 您可以“Clone(复制)”、“View/Edit(查看/编辑)”或“Delete(删除)”策略。 

在接口级别分配连接限制策略 

任务 

1 转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “IPS Interface(IPS 接 

口)” | “Protection Profile(保护配置文件)” | “Connection Limiting Policy(连接限制策略)”。 

图 5-102 接口级别的连接限制策略 

2 选中“Assign a Connection Limiting Policy?(分配连接限制策略?)”复选框。单击“New(新建)”以创建连接限制策略。 

有关相应的配置,请参阅“在‘IPS 设置’级别配置连接限制策略”一节中的步骤。 

在子接口级别分配连接限制策略 

任务 

• 转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “IPS Sub‑Interface 

(IPS 子接口)” | “Protection Profile(保护配置文件)” | “Connection Limiting Policy(连接限制策略)”。 

图 3-103 在子接口级别分配连接限制策略 

有关配置的详细信息,请参阅“在‘IPS 设置’级别配置连接限制策略”一节。 

连接限制策略警报 

在连接限制策略中创建规则时,可以定义阈值。当 Sensor 监控到流量,且连接超出了所配置的阈值时,系统会限制该 

连接并发出警报。您可能会收到下面的任意一种响应操作: 



• Alert & Drop Excess Connection(发出警报并丢弃多余连接) 

• Alert & Deny Excess Connection(发出警报并拒绝多余连接) 


只有一项针对连接限制功能定义的侦测警报:“Too Many TCP/UDP/ICMP Sessions(TCP/UDP/ICMP 会话过多)”。您 

可以在“Real‑time Threat Analyzer(实时 Threat Analyzer)”的“All Alerts(所有警报)”页中查看该警报。双击警报查看警 

报详细信息。 

图 3-104 连接限制警报 

场景 

相同的主机触发相同的规则: 

在此场景下,警报超时间隔期间内不会向 Threat Analyzer 发送警报。因此,当向 Sensor 发送流量时,您只有在首次警 

报触发 5 分钟后才能看到该警报。此条件不适用于其他主机或其他规则的连接限制警报。 

超出连接总数 



默认情况下,警报的超时间隔为 5 分钟。您可以通过“Reconnaissance Policy Editor(侦测策略编辑器)”来编辑警报超时。 

当响应操作设置为“Alert Only(仅发出警报)”时,连接限制警报会显示“Exceed Connection Count(超出连接总数)”。 


3 



一旦达到预定义的阈值,Sensor 就会发出连接限制警报。因此,首次警报的“Exceed Connection Count(超出连接总 

数)”始终显示为 1。如果流量持续,并且在警报超时间隔后再次触发警报(针对同一连接限制策略),那么下一次警报中 

显示的“Exceed Connection Count(超出连接总数)”等于 Sensor 在这两次警报时间间隔之间监控到的超出连接总数。 

如果流量持续时间不够长,没有达到下一次警报时间间隔,则不会再次触发连接限制警报。在这种情况下,即使连接超 

出了配置的阈值,也不会收到限制。 

连接限制主机条目耗尽警报 

根据定义的阈值限制连接,但不会发出警报。 

CLI 命令 

以下命令用于调试连接限制策略。 

• show connlimitstat ‑ 显示连接限制统计数据 

• show connlimithost ‑ 显示连接限制主机表统计数据 

• clrconnlimithost ‑ 清除连接限制主机表 

有关详细信息,请参阅“McAfee Network Security Platform CLI 手册”。 

连接限制策略的限制 

连接限制策略的主要限制包括: 

• 仅适用于 IPv4 流量(对于基于 GTI 的规则)。 

基于协议的规则对于 IPv4 流量和 IPv6 流量均适用。 

• 在任何规则中定义的阈值均基于来源 IP。 

• 对于每个 Sensor,最多可定义 1024 条规则。 

下表显示不同的 Sensor 型号所支持的最大主机条目数。 

Sensor 型号支持的最大主机条目数 

M‑2750、M‑2850、M‑2950、M‑3050、M‑4050、M‑6050 和 M‑8000 256,000 

M‑1250 和 M‑1450 128,000 

连接限制规则的限制 

本节介绍了有关连接限制规则的限制的详细信息。 

• 连接速率取样时间 

• 针对连接速率监控的流量取样时间为 10 秒。这意味着如果您定义每秒发送 5 个连接,那么 10 秒内只能发送 

50 个连接。因此,如果您发送的连接数超出 50 个,就会发出警报。 

• 故障转移设置 

• 在故障转移设置中,每个 Sensor 根据其自身的系统时间监控流量。由于每个 Sensor 的系统时间有所不同,因 

此每个 Sensor 对流量进行取样的时间会不尽相同。这可能会导致每个 Sensor 的连接限制响应操作不匹配。 

• 新主机速率 

• 每个 Sensor 型号都有每秒能处理的最大新主机数量的限制。如果新主机速率超出这个值,Sensor 将无法限制连 

接。 

• IPv6 流量 

• 基于协议的连接限制规则类型对于 IPv4 流量和 IPv6 流量均适用。GTI 不支持 IPv6 流量,因此基于 GTI 的连接 

限制规则类型仅适用于 IPv4 流量。 


• SPAN 端口 

• 连接限制规则适用于 SPAN 端口。如果 CIDR 不是针对 SPAN 端口定义的,则入站连接限制规则将适用于 

SPAN 端口上的所有流量。如果 CIDR 是针对 SPAN 端口定义的,则流向 CIDR 的流量将被视为入站流量,而来 

自 CIDR 的流量被视为出站流量。 

• IP 信誉 

• 必须为 GTI 规则类型启用 GTI IP 信誉。 

• 无状态检查 

• 连接限制适用于无状态检查。 


攻击过滤器是用来过滤 IPv4 或 IPv6 流量中的攻击/攻击响应的规则,此过滤器基于来源 IP 地址、目标 IP 地址或两者。 

您还可以定义基于端口的攻击过滤器,除了来源 IP 或目标 IP 地址外,此过滤器还基于源或目标端口(TCP/UDP 端口) 

来过滤攻击。 

在 Manager 中,您可以从“IPS Settings(IPS 设置)”节点定义攻击过滤器,并将这些过滤器分配给 Sensor 和 Sensor 

接口。在域级别定义的攻击过滤器将与属于该域的所有 Sensor 关联。同样,在 Sensor 级别定义的攻击过滤器将与属于 

该 Sensor 的所有接口/子接口相关联。 

您可以在 Manager 中定义以下攻击过滤器类型: 

• “IPv4”:无任何源/目标端口设置的 IPv4 攻击过滤器 

• “IPv6”:无任何源/目标端口设置的 IPv6 攻击过滤器 

• “TCP/UDP port(TCP/UDP 端口)”:仅具有源/目标端口设置的攻击过滤器 

• “IPv4 with TCP/UDP port(带 TCP/UDP 端口的 IPv4)”:具有源/目标端口设置的 IPv4 攻击过滤器 

• “IPv6 with TCP/UDP port(带 TCP/UDP 端口的 IPv6)”:IPv6 攻击过滤器源/目标端口设置 

最后三个攻击过滤器(“TCP/UDP Port(TCP/UDP 端口)”、“IPv4 with TCP/UDP Port(带 TCP/UDP 端口的 IPv4)”,以 

及“IPv6 with TCP/UDP Port(带 TCP/UDP 端口的IPv6)”)基于源或目标 TCP/UDP 端口设置。 

在定义攻击过滤器时,您可以为源或目标 IP 地址设置选择下面的任一标准: 

• 任意 IP 地址 • IP 地址范围 

• 任意内部 IP 地址 • 单个 IP 地址 

• 任意外部 IP 地址 

对于基于端口的攻击过滤器类型(“TCP/UDP Port(TCP/UDP 端口)”、“IPv4 with TCP/UDP Port(带 TCP/UDP 端口的 

IPv4)”和“IPv6 with TCP/UDP Port(带 TCP/UDP 端口的 IPv6)”),可以在“Source port(源端口)”和“Destination port 

(目标端口)”设置中选择下面的任一选项: 

• Any port(任意端口) 

• TCP/UDP Port(TCP/UDP 端口) 

• TCP port(TCP 端口) 

• UDP port(UDP 端口) 


如何管理攻击过滤器和攻击响应 3 


3 



要使用攻击过滤器,请在“Admin Domain(管理域)”、“Sensor”、“Interface(接口)”或“Sub‑interface(子接口)”级别选择 

“IPS Settings(IPS 设置)”,并转到“Attack filters(攻击过滤器)”选项卡。 

图 3-105 “Attack Filters(攻击过滤器)”选项卡 

您可以执行以下任务: 

• 编辑攻击过滤器:这包括添加、复制、查看和删除警报。 

• 管理攻击过滤器分配 

• 导出攻击过滤器 

• 导入攻击过滤器 

另请参阅 

攻击过滤器分配第 130 页 

如何使用攻击过滤器编辑器 

要使用 Attack Filter Editor(攻击过滤器编辑器)管理攻击过滤器,请选择“IPS Settings(IPS 设置)” | “Attack Filters(攻 

击过滤器)”。 

在此页中,可以执行以下任务: 

• 添加攻击过滤器 

• 复制攻击过滤器 

• 查看/编辑攻击过滤器 

• 删除攻击过滤器 

“Attack Filters(攻击过滤器)”页面上的“Attack Filters(攻击过滤器)”列表显示了以下信息: 

表 3-3 

字段描述 

Filter Name(过滤器名称) 攻击过滤器的名称。 

Filter Type(过滤器类型) 过滤器类型基于: 

• IP 地址。这可以为 IPv4 或 IPv6。 

• 端口。这是指 TCP/UDP 端口。 

• IP 地址和端口。这可以是 IPV4 与 TCP/UDP 端口或 IPV6 与 TCP/UDP 端口。 

Admin Domain(管理域) 拥有此过滤器的管理域的名称。 

Editable(可编辑) 指示是否可以编辑该过滤器。 

添加攻击过滤器 

要在 Manager 中添加攻击过滤器,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Attacks Filters(攻击过滤器)”。 

2 在“Attack Filters(攻击过滤器)”中单击“New(新建)”。 


此时会显示“Add an Attack Filter(添加攻击过滤器)”窗口,其中包括以下选项: 

图 3-106 添加攻击过滤器 

表 3-4 

字段描述 

Name(名称) 攻击过滤器的名称。 

Admin Domain(管理域) 该攻击过滤器被添加到的管理域的名称。 

Filter Type(过滤器类型) 攻击过滤器的类型;过滤器可以基于 IP 地址、端口或两者: 

Matching Criteria(匹配标 

准) 

3 输入攻击过滤器的“Name(名称)”。 

• IPv4 • IPv4 and TCP/UDP Port(IPv4 和 TCP/UDP 端口) 

• IPv6 • IPv6 and TCP/UDP Port(IPv6 和 TCP/UDP 端口) 

• TCP/UDP Port(TCP/UDP 

端口) 

源/目标 IP 或源/目标端口的标准 

4 输入“Filter Type(过滤器类型)”。例如,“IPv4”。类型可以为“TCP/UDP Port(TCP/UDP 端口)”、“IPv4 with TCP/ 

UDP Port(带 TCP/UDP 端口的 IPv4)”或“IPv6 with TCP/UDP Port(带 TCP/UDP 端口的 IPv6)”。 

5 要在“IP Address Settings(IP 地址设置)”或“Port Settings(端口设置)”中添加匹配标准,请在“Matching Criteria(匹 

配标准)”区域中单击“New(新建)”。 

此时将显示“Add Matching Criteria(添加匹配标准)”窗口。根据第 4 步中选择的过滤器类型,此窗口将显示“IP 

Address Settings(IP 地址设置)”或“Port Settings(端口设置)”,或显示两者。 

IP 地址设置是指来源 IP 和目标 IP;端口设置是指来源端口和目标端口。 

6 “Add Matching Criteria(添加匹配标准)”页显示下面的任一选项,具体取决于第 4 步中选择的“Filter Type(过滤器类 

型)”: 

字段描述 

Source(来源) 来源过滤器类型的 IP 地址。 

Destination(目标) 目标过滤器类型的 IP 地址。 



Source Port(来源端口) 来源端口(当类型包括 TCP/UDP 端口时,设置选项可用) 

Destination Port(目标端口) 目标端口(当类型包括 TCP/UDP 端口时,设置选项可用) 


3 



使用上述选项,您可以定义攻击过滤器规则。 

• 对于 IPv4 和 IPv6 类型的攻击过滤器,仅会显示“IP Address Settings(IP 地址设置)”标准。 

• 对于“TCP/UDP Port(TCP/UDP 端口类型)”的攻击过滤器,仅会显示基于端口的设置。 

• 对于“IPv4 with TCP/UDP Port(带 TCP/UDP 端口的 IPv4)”和“IPv6 with TCP/UDP Port(带 TCP/UDP 端口的 

IPv6)”这两种攻击过滤器类型,将显示“IP Address Settings(IP 地址设置)”(“Source(来源)”或 “Destination 

(目标)”)和“Port Settings(端口设置)”标准(“Source Port(来源端口)”和 “Destination Port(目标端口)”)。 

例如,当您选择“IPv4 and TCP/UDP Port(IPv4 和 TCP/UDP 端口)”作为过滤器类型时,“Add Matching Criteria(添 

加匹配标准)”窗口将显示“IP Address Settings(IP 地址设置)”和“Port Settings(端口设置)”。 

图 3-107 添加匹配标准 


7 对于来源和目标 IP 地址设置,您可以选择下面的任一标准: 

图 3-108 选择来源 IP 

例如,在“Source IP Address(来源 IP 地址)”中,您可以选择所需的选项,例如“Range of IP Address(IP 地址范 

围)”。之后将显示“Start IP Address(起始 IP 地址)”和“End IP Address(结束 IP 地址)”以输入排除了攻击/响应的 

IP 地址范围。 

请注意,并不是所有上述标准都适合于所有的攻击过滤器类型。例如,如果您定义类型为“IPv4 with TCP/UDP Port 

(带 TCP/UDP 端口的 IPv4)”的攻击过滤器,则无法同时为来源和目标选择“Any port(任意端口)”匹配标准。虽然 

IP 地址实际上可以是这些选项中的任何一个,但其中必须至少有一个是“Any Port(任意端口)”。随即会弹出一条错 

误消息:“Invalid Source and Destination Combination(来源和目标组合无效)”。 

图 3-109 说明过滤器类型无效的错误消息 

8 对于基于端口的攻击过滤器,您可以为“Source Port(来源端口)”或“Destination Port(目标端口)”选择“Port Settings 

(端口设置)”标准。 

图 3-110 端口设置 




3 



9 在选择匹配标准后,请选择“OK(确定)”。 

选定的匹配标准将在“Add an Attack Filter(添加攻击过滤器)”窗口的“Matching Criteria(匹配标准)”区域中列出。您 

可以为攻击过滤器添加多个标准集。 


攻击过滤器已添加到“Attack Filters(攻击过滤器)”。 

复制攻击过滤器 

要复制攻击过滤器,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Attack Filters(攻击过滤器)”。 

2 在“Attack Filters(攻击过滤器)”中,选择要复制的攻击过滤器,然后单击“Clone(复制)”。 

此时将显示“Clone an Attack Filter(复制攻击过滤器)”窗口。 

3 根据需要编辑“Name(名称)”和“Filter Type(过滤器类型)”。 

4 您可以编辑“Name(名称)”、“Filter Type(过滤器类型)”,也可以“New(新建)”、“Clone(复制)”、“View/Edit(查 

看/编辑)”或“Delete(删除)”来源和目标攻击过滤器。 

5 单击“Save(保存)”以完成所复制的攻击过滤器。 

如果已对过滤器进行了复制,则 Manager 会显示一条信息性消息,但不会创建另一个复制。 

查看或编辑攻击过滤器 

要查看或编辑攻击过滤器,请执行以下操作: 

任务 


2 从“Attack Filters(攻击过滤器)”中选择攻击过滤器,并单击“View/Edit(查看/编辑)”。 

此时将显示“Edit Attack Filter(编辑攻击过滤器)”窗口。 

3 您可以编辑“Name(名称)”、“Filter Type(过滤器类型)”,也可以“New(新建)”、“Clone(复制)”、“View/Edit(查 

看/编辑)”或“Delete(删除)”来源和目标攻击过滤器。 

删除攻击过滤器 

要删除攻击过滤器,请执行以下操作: 

任务 


2 从“Attack Filters(攻击过滤器)”中选择要删除的攻击过滤器,然后单击“Delete(删除)”。Network Security 

Platform 在完成请求之前将提示您确认是否要删除过滤器。 

攻击过滤器分配 

您可以在域级别上分配攻击过滤器或将其分配给特定的 Sensor。 

要在域级别上分配攻击过滤器,请转至 “IPS Settings(IPS 设置)” | “Attack Filters(攻击过滤器)” | “Filter Assignments 

(过滤器分配)”。 

要在 Sensor 级别上分配攻击过滤器,请转至“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS 

Sensor” | “Protection Profile(保护配置文件)” | “Attack Filter Assignments(攻击过滤器分配)”。 


“Attack Filter Assignments(攻击过滤器分配)”页会显示两个选项卡:“Exploit(利用漏洞)”和“Reconnaissance(侦 

测)”。 

图 4-111 编辑攻击过滤器分配 

“Exploit(利用漏洞)”选项卡下的字段 



“Exploit(利用漏洞)”选项卡有两个子选项卡:“Inbound(入站)”/“Outbound(出站)”。这两个子选项卡显示相同的字段, 

但一个显示的是入侵攻击,另一个显示的是外发攻击。 


3 



字段描述 

Protocol(协议) 显示攻击中使用的协议。 

No. of Available Attacks(可用攻击数目) 每种协议的攻击数目。 

图 4-112 “Reconnaissance(侦测)”选项卡 

“Reconnaissance(侦测)”选项卡中的字段 

字段描述 

Attack Name(攻击名称) Network Security Platform 指定的攻击名称。 

Attack ID(攻击 ID) Network Security Platform 指定的攻击 ID。 

# of Attack Filters(攻击过滤器数目) 为该攻击分配的攻击过滤器数目。 

另请参阅 

如何管理攻击过滤器和攻击响应第 125 页 


查看分配的攻击过滤器侦测第 133 页 

查看分配的利用漏洞攻击过滤器 

要查看或编辑分配的攻击过滤器,请执行以下操作: 

任务 

1 从“Filter Assignments(过滤器分配)”窗口中选择“Inbound(入站)”或“Outbound(出站)”。 



“Filter Assignment: (过滤器分配: )”页即会打开。要过滤搜索,请选择位于“Filter 

Assignment: (过滤器分配: )”页右上角的下拉列表。 

图 4-113 “Configure Alert Filter Association(配置警报过滤器关联)”对话框 

您可以根据以下标准过滤攻击列表: 

a 要查看所有攻击,请选择“All Selected Attacks(所有选定的攻击)”。 

b 要查看适合 IPS 隔离的攻击,请选择“Only Attacks Eligible for IPS Quarantine(仅适合 IPS 隔离的攻击)”。 

c 选择“Only Attacks Recommended for Blocking(仅显示建议阻止的攻击)”,来查看 McAfee 建议阻止 (RFB) 的 

攻击。 

d 选择“Only Attacks Recommended for SmartBlocking(仅显示建议智能阻止的攻击)”,来查看 McAfee 建议智能 

阻止 (RFSB) 的攻击。 

e 选择“Advanced Search(高级搜索)”选项,使用攻击名称、受影响的应用程序名称、参考 ID(如 CVE 或 

BugTraq)或新攻击来搜索攻击。 

3 选择一个攻击,然后单击“View/Edit(查看/编辑)”。 

此时将打开“Filter Assignment(过滤器分配)”页。此页显示可用和选定的攻击过滤器、与攻击关联的 IP 地址的类型 

(IPv4 或 IPv6)和位数。 

您还可以在“Filter Assignment(过滤器分配)”页中使用“Bulk Edit(批量编辑)”选项来编辑多个攻击。 

4 单击“Done(完成)”以保存更改。 

另请参阅 




查看分配的攻击过滤器侦测 

要查看或编辑分配的“Reconnaissance(侦测)”攻击过滤器,请执行以下操作: 

任务 

1 在“Filter Assignments(过滤器分配)”页,选择“Reconnaissance(侦测)”。 





3 





图 4-114 警报过滤器侦测 

您可以根据以下标准查看或编辑攻击过滤器: 

a 要添加攻击过滤器,请在“Available Attack Filters(可用的攻击过滤器)”中选择攻击过滤器,然后单击“Add(添 

加)”。 

b 要删除攻击过滤器,请在“Selected Attack Filters(选定的攻击过滤器)”中选择一个攻击过滤器,然后单击“Remove 

(删除)”。 

3 单击“Save(保存)”以保存所做的更改。 

另请参阅 


导出攻击过滤器 

要导出攻击过滤器,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Attack Filters(攻击过滤器)” | “Export(导出)”。 

此时即会显示“Export Attack Filters(导出攻击过滤器)”窗口。 

2 选择要导出的一个或多个过滤器。 

3 单击“Export(导出)”。随后,系统会提示您将过滤器“Save(保存)”到 XML 文件,“Open(打开)”过滤器,或“Cancel 

(取消)”请求。 

导入攻击过滤器 

您可以将包含攻击过滤器的文件导入到 Manager 服务器。 

要导入攻击过滤器文件,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Attacks Filters(攻击过滤器)” | “Import(导入)”。 

2 “Import Attack filters(导入攻击过滤器)”中指示是否通过选中复选框来跳过重复的过滤器定义。否则,取消选中此字 

段。 

3 单击“Browse(浏览)”。 



4 选择要导入的文件。Network Security Platform 将提示您输入文件名称。 

5 单击“Import(导入)”接受攻击过滤器的导入文件。 

防火墙策略包含依序列出的规则,以允许或拒绝流量到达 Sensor 的 IPS/IDS 引擎并继续在网络上传输。防火墙策略无 

需完全检查即可阻止(即丢弃或拒绝)特定流量,从而能够最大程度地发挥 Sensor 的检查和预防功能。 

在 Network Security Platform 中,防火墙策略包括一组依序列出的规则,这些规则用于管理哪些流量可以通过 Sensor 

检查引擎和后端网络,哪些流量应该被阻挡,也就是从网络上丢弃或被拒绝(仅限 TCP 流量)。因此,通过这一功能, 

Sensor 可以拒绝对检查引擎及后端网络的访问,因此能提早丢弃不当的流量。 

您可以基于各种参数实施策略。策略可以基于应用程序、流量的来源或目标国家/地区、来源或目标网络、来源或目标主 

机等。 

您可以在较广泛的级别控制流量,也可以在较细致的级别控制流量。例如,您可以拒绝所有使用特定端口的 TCP 流量。 

您还可以定义一个策略来防止用户在所有工作日的上午 9 点到下午 5 点之间访问特定的社交网站。防火墙策略提供了非 

常灵活的选项,能够控制进入或离开网络的流量。 

Network Security Platform 的防火墙功能独立于 McAfee ® Firewall Enterprise。本节仅讨论 Network Security Platform 的 

防火墙功能。 

防火墙策略的优点 

使用防火墙策略的一些优势如下所示: 

• 您可以在非常细致的级别进行监控。例如,您可以识别正在尝试使用被阻止的应用程序(如 Facebook)的主机。 

• 您可以根据时间,实施不同的策略。例如,您可以在周末允许游戏应用程序,但是工作日阻止这些程序。 

• 您可以根据地址位置控制流量。 

• 您可以控制应用程序的特定方面。例如,您可以允许使用 Yahoo! Messenger 进行聊天,但禁止文件传输功能。 

• 通过使用 Sensor 来实现防火墙,您可以在企业网络内的多个子网络中实施策略。例如,与工程部门网络相比,您可 

以对财务部门网络执行更为严格的策略。 

• 您可以选择在允许的流量上实施 IPS,以便完全保障网络的安全。相反地,您可以使用防火墙功能从 IPS 检查中排 

除特定流量。 

防火墙策略类型 

您可以在 Network Security Platform 中使用两种防火墙策略 ‑ 高级和经典。就功能而言,这两种类型很相似。但是顾名 

思义,与经典防火墙策略相比,高级防火墙策略能提供更多选项来过滤流量。 

请注意以下几点: 

• 经典防火墙策略是 7.0 版之前的 Network Security Platform 所具有的访问控制列表 (ACL) 功能。如果对已配置 

ACL 的 7.0 版之前的 NSP 进行升级,则这些 ACL 将在升级后显示为经典防火墙策略。有关详细信息,请参阅 

“McAfee Network Security Platform 7.0 升级手册”。 

• 所有 Sensor 型号均支持经典防火墙策略。 

• 只有运行 7.0 及更高软件版本的 M 系列 Sensor 才支持高级防火墙策略。 

高级和经典防火墙策略之间的区别 

下表捕获了两类防火墙策略之间的区别。 


防火墙策略 3 


3 



高级经典 

支持设备运行软件 7.0 版或更高版本的 M 系列 Sensor。所有 Sensor 型号。 

用来过滤流量来源或 

目标的选项 

您可以基于以下选项来过滤来源或目标: 

• 国家/地区 • 主机所属的 IPv4 地址范围 

• 主机的 DNS 名称 • 网络或网络组 

• 主机的 IPv4 地址 

用来过滤流量的选项您可以基于以下选项来过滤流量: 

用来基于时间实施防 

火墙策略的选项。 

用来为每个防火墙策 

略组件指定多个条件 

的选项。 

防火墙策略组件 

• 一个特定的第 7 层应用程序,或者一组第 7 层应用程序。例如,您 

可以在允许使用 Yahoo! Mail 的同时过滤出 Yahoo! Games。这些 

应用程序可以位于标准或自定义通信端口上。 

• IP 协议或 TCP/UDP 端口编号。 

您可以基于以下选项来过 

滤来源或目标: 

• 主机的 IPv4 地址 

• 网络 

有。例如,Sensor 可以仅在每个周末实施策略。没有。 

有。例如,在防火墙规则中,您可以指定以下任一条件作为流量的来 

源: 

• 10.0.0.0/8 网络 

• 192.168.10.10 主机 

• 192.168.20.10 

, 

本节介绍了组成防火墙策略的各种组件。在继续操作前,请先熟悉这些组件。 

您可以仅根据 IP 协议或 

TCP/UDP 端口号过滤流 

量。 

没有。对每个策略组件, 

只能指定一个条件。 

防火墙策略:表示网络安全策略,Sensor 根据这些策略允许或阻止流量进出网络。如前文所述,防火墙策略有两种 ‑ 高 

级和经典。 

访问规则:访问规则是防火墙策略的构造块。访问规则是访问规则列表 (ACL),是排序的规则集,它定义了允许的流量 

和阻止的流量。 

规则对象:使用规则对象可以定义访问规则。规则对象映射到一个或多个与网络流量相关的组件。规则对象的示例包括 

应用程序、来源主机和目标主机、来源网络和目标网络等。因此,例如,您可以对 IPv4 地址集进行分组以创建规则对 

象,然后可以创建访问规则,在其中将此规则对象指定为流量来源或目标。每次要在访问规则中引用此 IP 地址集时, 

您只需使用此规则对象。 

对于高级防火墙策略,您可以为访问规则的每个组件指定多个规则对象。例如,您可以将多个规则对象指定为流量来源。 

对于经典防火墙策略,您只能为每个组件指定一个规则对象。同样,经典防火墙策略中使用的规则对象中只能含有一个项 

目。例如,您想在经典策略中使用的主机 IPv4 规则对象中只能包含一个 IPv4 地址。 

以下是当前可用的规则对象类型: 

• Applications(应用程序):表示 Sensor 可检测到的各种软件程序。Manager 从特征码集派生应用程序列表。您不能 

修改可用应用程序的列表。应用程序只与高级防火墙策略关联。 

如果 McAfee Labs 弃用了在防火墙策略中使用的某个应用程序,则系统会发出严重性为“警告”的故障消息。您必须稍 

后在策略中删除或修改这些规则;否则,特征码集将无法推送到 Sensor。 

• Application on Custom Port(自定义端口上的应用程序):当应用程序在特定端口上通信时,您可以使用此规则来检 

测该应用程序。例如,如果您希望 Sensor 检测在端口 2021 上的 FTP,则自定义端口上的应用程序只与高级防火 

墙策略关联。 




• Application Group(应用程序组):如果预定义的应用程序组无法满足您的要求,您可以自己创建。您可以创建一个 

应用程序组,以将一个以上的“Application(应用程序)”与“Application on Custom Port(自定义端口上的应用程序)” 

规则对象组合起来。一般情况下,可以为需要 Sensor 以相似方式处理的应用程序创建一个应用程序组。例如,可以 

将与 Internet 游戏相关的所有应用程序组合在一起,形成一个应用程序组。最多可以将 10 个项目分到一个应用程序 

组中。应用程序组只与高级防火墙策略关联。 

您可以将“Application(应用程序)”和“Application on Custom Port(自定义端口上的应用程序)”规则对象组合起来,以 

形成一个应用程序组。您不能将应用程序组包含在另一个应用程序组中。 

• Country(国家/地区):“Country(国家/地区)”规则对象使您能够基于来源或目标国家/地区允许或阻止流量。 

Sensor 根据映射到国家/地区的 CIDR,识别来自或发往这些国家/地区的流量。国家/地区只与高级防火墙策略关联。 

国家/地区与 CIDR 的映射信息来源于 MaxMind 的地理位置数据库。您不能手动修改或更新此国家/地区的列表。 

McAfee 通过特征码集对此国家/地区与 CIDR 的映射列表进行更新。在 Sensor 的 CLI 中,使用 Status 命令,查看 

Sensor 中是否含有地区位置数据库。 

• Host IPv4(主机 IPv4):您可以创建想在防火墙规则中使用的来源和目标 IPv4 地址的列表。您最多可以在规则对象 

中指定 10 个地址。 

• Host DNS Name(主机 DNS 名称):您可以创建想在防火墙规则中使用的来源和目标主机名称的列表。Sensor 与 

您配置的 DNS 服务器取得联系,以将这些名称解析为 IP 地址。例如,您可以为 facebook.com、faceparty.co.uk 

和 ibibo.com 创建“Host DNS Name(主机 DNS 名称)”规则对象。您可以在一个规则对象中添加 10 个主机 DNS 名 

称。主机 DNS 名称只适用于高级防火墙策略。 

Sensor 只使用 UDP(并且从不依靠 TCP)进行 DNS 查询,即便 DNS 服务器强制实施 TCP 也是如此。 

• IPv4 address range(IPv4 地址范围):您可以创建 IPv4 地址列表,以在防火墙规则中使用。在规则中,您可以指 

定一个 IPv4 地址范围作为流量来源或目标。例如,您可以将一个规则应用于从 10.1.1.1 到 10.1.1.25 范围之间的流 

量。此规则对象只适用于高级防火墙策略。您最多可以在规则对象中指定 10 个范围。 

• Network(网络):您可以创建 CIDR 地址列表,以在防火墙规则中使用。在规则中,您可以指定 CIDR 作为流量来 

源或目标。例如,您可以将一个规则应用于针对 172.16.225.0/24 网络的流量。根据 RFC 1918 保留的三个 IPv4 范 

围作为默认网络提供。您最多可以在规则对象中指定 10 个 CIDR。 

• Network Group(网络组):您可以将一个或多个国家/地区、主机 IP、主机名称、IP 范围或网络组合起来,形成一 

个网络组。例如,您可以将所有北美国家/地区和多个 IP 范围组合起来,形成一个“Network Group(网络组)”规则对 

象。此规则对象只适用于高级防火墙策略。您最多可以在一个“Network Group(网络组)网络组”规则对象中指定 10 

个项目。 

• Finite Time Period(有限时间段):您可以将 Sensor 配置为只在特定时间段内不断地强制实施防火墙规则。例如, 

您可以从今年 6 月 10 日上午 9 点到今年 6 月 11 日上午 10 点强制实施一个规则。为此,您需要创建一个“Finite 

Time Period(有限时间段)”规则对象,指定开始时间和日期以及结束时间和日期。包含开始时间和结束时间。 

“Finite Time Period(有限时间段)”只适用于高级防火墙策略。在一个防火墙访问规则中只能指定一个“Finite Time 

Period(有限时间段)”规则对象。 

当使用基于时间的规则对象时,请确保已配置了相应的“Time Zone(时区)”。Sensor 会根据需要自动考虑夏令时因 

素。在 Manager 中,GMT 为默认时区。 

• Recurring Time Period(循环时间段):您可以按某些时间频率反复地强制实施防火墙规则。例如,您可以在所有工 

作日的上午 9 点到下午 5 点强制实施一个规则。使用此规则对象以反复地强制实施一个规则。要强制实施某个规则 

仅一次,请使用“Finite Time Period(有限时间段)”规则对象。 

当使用基于时间的规则对象时,请确保已配置了相应的“Time Zone(时区)”。请注意,Sensor 会根据需要自动考虑 

夏令时因素。“Recurring Time Period(循环时间段)”只适用于高级防火墙策略。 


3 



• Recurring Time Period Group(循环时间段组):您最多可以将 10 个循环时间段分成一组,以形成“Recurring Time 

Period Group(循环时间段组)”规则对象。“Recurring Time Period Group(循环时间段组)”只适用于高级防火墙策 

略。 

您可以将“Finite Time Period(有限时间段)”规则对象与“Recurring Time Period(循环时间段)”规则对象和 

“Recurring Time Period Group(循环时间段组)”规则对象结合使用。在此情况下,“Finite Time Period(有限时间段)” 

优先。此外,为了使 Sensor 检查该访问规则,“Finite Time Period(有限时间段)”和至少一个“Recurring Time Period 

(循环时间段)”必须处于活动状态。 

• Service(服务):要基于 IP 协议、ICMP 代码或 TCP/UDP 端口号限制流量,请使用“Service(服务)”规则对象。您 

可以创建“Service(服务)”规则对象或使用默认规则对象。系统预定义了标准 TCP 和 UDP 端口上的常见服务以及 

ICMP 代码。例如,telnet 在端口 23 上预定义为 TCP。同样,系统也预定义了 ICMP 代码,如 ICMP Echo 回复和 

ICMP 请求。当创建“Service(服务)”规则对象时,选项用于指定协议编号、TCP 端口或 UDP 端口。对于自定义 

ICMP 代码,您需要在端口字段中指定 IP 协议编号和 ICMP 代码。对于每个规则对象,您只能定义一个 IP 协议规 

范。 

对于使用“Service(服务)”规则对象的访问规则,Sensor 会考虑已针对 IPS 配置的任何非标准端口。例如,如果已指 

定端口 2023 作为 FTP 非标准端口,则当您已在一个规则中使用 FTP 服务规则对象时,Sensor 会考虑端口 21 和端 

口 2023 上的 FTP。 

对于某些流量,您可以使用一种以上的规则对象。例如,对于 FTP 和 HTTP,您可以使用“Application(应用程序)” 

规则对象或“Service(服务)”规则对象。如果您使用默认的“Service(服务)”规则对象来阻止 FTP,则 Sensor 只会阻 

止标准端口 21 上的 FTP。如果您使用默认的“Application Service Group(应用程序服务组)”来阻止 FTP,则 

Sensor 会阻止任意端口上的 FTP。如果使用“Service(服务)”规则对象,则 Sensor 甚至会丢弃 SYN 数据包。如果 

使用“Application(应用程序)”规则对象,则 Sensor 只会在三方握手后丢弃流量。这是由于只有在握手后,Sensor 

才能识别该应用程序, 

Sensor 按照由上至下的方式来处理一个策略的访问规则。因此,如果您想丢弃基于服务的流量,请将这些访问策略放 

在策略中最高的位置。 

如果使用经典防火墙策略,请注意以下事项: 

• 建议不要为动态协商端口的协议(如 FTP、TFTP 和 RPC 服务)设置允许规则。对于 RPC 服务,可以对整个 

RPC 配置明确允许和拒绝的规则,但无法针对其中任何一部分配置,例如 statd 和 mountd。 

• 多媒体协议(如 H.323)和服务(即时消息发送和对等通信)可能协商不同于控制通道的数据通道,或协商不符合 

标准的端口。但可以通过拒绝固定的控制端口将访问规则配置成拒绝这些动态协议。 

• 要拒绝使用动态协商的协议,您可以选择将策略配置成丢弃在这些传输中检测到的攻击。Network Security 

Platform 可以检测 Yahoo Messenger、KaZaA 和 IRC 等程序的使用和攻击。 

• Service Group(服务组):您可以将希望以相似方式处理的服务分为一组。这样,您可以轻松地管理防火墙策略。服 

务组只与高级防火墙策略关联。您最多可以在一个“Service Group(服务组)”规则对象中指定 10 个服务。 

防火墙策略的工作方式 

您可以在管理域级别创建防火墙策略。也可以使用以下两个预定义的防火墙规则: 

• Allow All Traffic But Bypass Scanning(跳过扫描,允许所有流量):这个预定义的高级策略可以允许任何流量,而无 

需检查是否存在攻击。 

• Scan All Traffic(扫描所有流量):这个预定义的经典策略可以允许任何流量,但需要检查是否存在攻击。 

您可以预定义这些策略,对其进行复制和重新配置,也可以创建自己的策略。您不能删除默认的策略。 

要使防火墙策略生效,您需要将其分配到 Sensor 资源。以下是 Sensor 资源: 

• 预置设备:此资源是 Sensor 自身,分配到此资源的策略应用于到达 Sensor 的所有流量。此策略称为“Pre‑device(预 

置设备)”策略。实际上,此策略是 Sensor 实施的第一个防火墙策略。 

• 每个物理端口的接口或子接口。 


• Sensor 的物理端口。 

• 后置设备:此资源也是 Sensor。但是在将策略分配到其他 Sensor 资源后,它对到达 Sensor 的所有流量都实施 

“Post‑device(后置设备)”策略。 

您可以对每个 Sensor 资源实施独一无二的防火墙策略。您可以使用处于 SPAN、Tap 或串联模式的监控端口来实施防 

火墙策略。但是,请在指定响应操作时考虑模式的因素。例如,丢弃流量并非 SPAN 或 Tap 模式中的相关响应。 

要了解与应用程序相关的高级防火墙策略如何工作,您必须回顾“应用程序标识”一节。 

以下简要介绍了实现防火墙功能时涉及到的步骤: 

1 确保您已经按照要求部署了 Network Security Platform。有关详细信息,请参阅“McAfee Network Security Platform 

入门手册”。 

2 确保您已经将监控端口连接到要监控的网络。 

3 除了防火墙以外,如果您要 Sensor 检查流量中是否存在攻击,请确保您已经配置了 IPS 或 IDS 功能,并且 

Sensor 正在检测和报告攻击。 

4 创建您计划在自己的访问规则中使用的规则对象。例如,识别主机 IPv4 地址和 IPv4 地址范围,并创建相应的规则 

对象。 

5 如果使用“主机 DNS 名称”规则对象,请务必在 Manager 中配置 DNS 服务器详细信息。同时确保这些服务器可由 

Sensor 的管理端口访问。如果这些 DNS 服务器无法访问,则会发出故障消息。 

DNS 服务器详细信息应用于防火墙、与 GTI 文件信誉的集成以及 NTBA。 



6 如果您正在使用基于时间的规则对象,请确保已在 Manager 中配置了时区。预配置的时区为 GMT。 

7 在相应的管理域中创建所需的防火墙策略。当创建防火墙规则时,您需要定义访问规则。因此,一个策略包含一组 

依序排列的访问规则,Sensor 以自上而下的方式处理这些访问规则。 

在创建防火墙策略后,您需要将其分配到一个 Sensor 资源。对于每个资源只能分配一个防火墙策略。以下称为 

Sensor 资源: 

• 预置设备级别:分配到此资源的防火墙策略具有最高优先级。也就是说,Sensor 首先会针对此策略的访问规则 

来匹配流量。一般而言,您会分配将阻止网络中特定流量的策略。例如,您可能要在网络中永久阻止 p2p 流量。 

• 接口或子接口级别:这些资源是 VLAN 或 CIDR 类型的监控端口。您可以根据配置监控端口的方式,将防火墙策 

略分配到接口或子接口。 

Sensor 会先考虑分配到预置设备级别的策略,然后考虑接口和子接口上的策略。Sensor 只会对在相应接口或子 

接口看到的流量强制执行此策略。因此,通常您将对在来源和目标方面非常细致的策略进行分配。例如,可能为 

针对特定主机或网络的策略。 


3 



• 物理端口级别:对要在端口级别实施的策略进行分配。通常,与分配到接口或子接口级别的策略相比,这些策略 

不够细致。Sensor 会先考虑接口或子接口的策略,然后考虑此级别的策略。 

• 后置设备级别:与预置设备级别相似,分配到此资源的策略应用于整个 Sensor,但是 Sensor 只会在最后考虑此 

策略。 

不强制要求以任何特定顺序来将防火墙策略分配到 Sensor 资源。例如,您可以只在预置设备级别或子接口级别 

分配策略。 

在 Sensor 级别(预置设备或后置设备)以及端口/端口对分配的策略会由相应接口和子接口(如果适用)继承。对 

于防火墙策略,接口是其对应端口或端口对的子集。也就是说,在 Sensor 级别为端口/端口对分配的策略会由对 

应的接口和任何子接口继承。但在接口级别分配的策略不会由对应的子接口继承,因为以下策略应用规则会将接 

口通信流与子接口通信流分开:如果您在子接口上应用的不是继承的策略,那么特定于子接口的流量将不受在接 

口级别执行的策略的保护。因此,对于防火墙策略,继承规则要求在 Sensor 级别(预置设备和后置设备)或物理 

端口/端口对级别创建全局策略:接口策略只适用于接口,子接口规则也只适用于子接口。 

在分配防火墙策略后,Manager 创建了这些策略中所有访问规则的总体列表。这是“Effective Firewall Rules(有 

效防火墙规则)”的列表,Sensor 以自上而下的方式处理这些规则。也就是说,从列表顶部的第一条规则开始, 

依序检查到底部的最后一条规则。Network Security Platform 采用第一个匹配过程,即实施序列中第一个匹配的 

规则,而并不处理剩下的规则。 

“Effective Firewall Rules(有效防火墙规则)”列表中的规则根据 Sensor 资源的层次结构排序。也就是说,预置设 

备防火墙策略的规则列在顶部,接着是接口或子接口策略的规则,然后是端口级别的策略,最后是后置设备级别 

的策略。 

Manager 会分别计算入站和出站的“Effective Firewall Rules(有效防火墙规则)”。 

可以在接口和子接口级别查看“Effective Firewall Rules(有效防火墙规则)”。转到“admin_domain_name(管理 

域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “interface/sub‑interface(接口/子接 

口)”。在“Protection Profile(保护配置文件)”页中,转到“Firewall Policy(防火墙策略)”部分,然后根据需要单击 

“Inbound Rules(入站规则)”或“Outbound Rules(出站规则)”。 

8 在将防火墙策略分配到所需的 Sensor 资源后,进行配置升级。 

9 可以将 Sensor 配置为将匹配流量的详细信息发送到 Syslog 服务器进行分析。 

a 配置 Syslog 服务器。 

b 在 IPS 设置级别启用 Syslog 通知。 

c 在 Sensor 级别,启用防火墙日志记录。 

应用程序标识 

从 7.0 版开始,M 系列 Sensor 能够标识遍历您的网络的应用程序,并且对它们发挥作用。因此,您可以允许或阻止您 

网络上的特定应用程序。例如,您可以只阻止您网络中 Facebook 的连接,而同时允许其他 HTTP 和 HTTPS 流量。 

除了控制您网络中的应用程序外,您还可以查看通过您的网络访问的 Internet 应用程序。相关详细信息(如特定应用程序 

消耗的网络带宽)现在可供查看。您还可以检查这些应用程序是否生成了任何攻击。 

应用程序标识可用于以下功能中:涉及应用程序的防火墙策略和“Top Applications Summary(前几位应用程序摘要)”监 

视器。因此,要高效地使用这些功能,您要先理解“Application Identification(应用程序标识)”的工作方式。 

应用程序 

对于“Application Identification(应用程序标识)”,我们将以下这些称为应用程序: 

• 某一特定协议上的网络连接,如:HTTP、DHCP 和 FTP。 

• 通过某个网络访问的特定计算机应用程序,如:Facebook、Yahoo! Instant Messenger 和 Gmail。 

McAfee 可基于正在进行的研究创建应用程序特征码。这一功能包括为之前没有特征码的应用程序创建特征码。同时还 

包括为无效和过时的应用程序删除特征码。这些应用程序特征码使得 Sensor 能准确地检测您网络中的应用程序。 


这些应用程序特征码捆绑在一起,作为 McAfee 更新服务器下载到 Manager 中的常规“Signature Set(特征码集)”的一 

部分。因此,如果将 Manager 连接到 McAfee Update Server,则您的 Network Security Platform 的应用程序数据库将 

始终保持最新。 

应用程序相关术语 

本节介绍了理解“Application Identification(应用程序标识)”需熟悉的术语。 

应用程序类别 

McAfee 可将相似的应用程序归入一个类别中。根据功能和特点,一个应用程序可以归到多个类别中。例如,Skype 可 

以归到“Instant Messaging(即时消息传送)”、“File Sharing(文件共享)”和“Voice Over(网络电话)”类别。 

通常,一个类别是由您希望以相似方式处理的应用程序组成的。因此,类别可以减少您所需的防火墙访问规则的数量。 

例如,您可以创建规则来阻止 Web 邮件类别,而不用为每个 Web 邮件应用程序创建单独的规则。 

您可以在“Rule Objects(规则对象)”窗口中查看类别列表。转到“IPS Settings(IPS 设置)” | “Firewall(防火墙)” | 

“Rule Objects(规则对象)”,然后在“Type(类型)”中选择“Application Group(应用程序组)”。默认应用程序组为应用程 

序类别。 

图 3-115 应用程序类别列表 

要查看属于默认应用程序组中某一类别的应用程序,请双击该类别。在“View Rule Object(查看规则对象)”窗口中,选 

择所需的类别。 

应用程序功能 

默认组列表及其中包含的应用程序可能会因特征码集的版本不同而异。 



通过 Network Security Platform,您不仅可以控制特定的应用程序,还可以控制应用程序的具体功能。例如,您可以在 

阻止 Yahoo! Messenger 的文件传输功能的同时允许它的其他功能。为了提供这些精细的控制功能,McAfee 将为应用 

程序的某些关键和常用功能创建特征码。这些具有特征码的功能称为应用程序功能。 

就功能而言,Network Security Platform 将应用程序功能本身就视为一种应用程序。因为应用程序功能同时也可以归为 

应用程序类别。此类别可能不同于父应用程序所属的类别。但是,应用程序的防火墙规则可能会影响针对相应的应用程 

序功能编写的规则。例如,假设您先设置了一个规则允许 Yahoo! Messenger,接着又设置了另一个规则阻止通过 

Yahoo! Messenger 进行文件传输。现在,用户将能够使用 Yahoo! Messenger 的文件传输功能,因为该流量符合第一 

条允许 Yahoo! Messenger 的规则。 


3 



应用程序功能会在“Rule Objects(规则对象)”窗口中跟其他应用程序一起列出。 

图 3-116 应用程序和应用程序功能列表 

风险 

为了让您了解应用程序和应用程序功能对网络造成的影响,McAfee Labs 将应用程序和应用程序功能的风险分为高、 

中、低三个等级。风险计算基于以下因素: 

• 应用程序或应用程序功能的易受攻击性。 

• 应用程序或应用程序功能传播恶意软件的概率。 

“应用程序识别”的工作方式 

与攻击检测类似,Application Identification(应用程序识别)是 Sensor 的一项功能。Sensor 可以在 SPAN、Tap 和串联 

模式下识别应用程序。默认情况下,应用程序识别功能处于禁用状态。以下功能可以打开 Sensor 的应用程序识别功能: 

• 基于应用程序、自定义端口上的应用程序或应用程序组的防火墙访问规则。 

• 针对“Top Applications Summary(前几位应用程序摘要)”监视器启用的应用程序识别功能。 

识别应用程序这一过程会消耗较多资源。如果 Sensor 在整个流量上进行应用程序识别,则 Sensor 吞吐量可能会降低 

10% 左右。根据流量类型不同,实际吞吐量的下降量会有差异。 

从防火墙的角度来看,您需要理解防火墙访问规则如何在规则之间导致依赖性因子。对于防火墙,您可以指定四种响应 

操作: 

• Inspect(检查):Sensor 允许与防火墙访问规则相匹配的流量,但是会检查其中是否存在攻击。 

• Drop(丢弃):Sensor 丢弃此流量。 

• Deny(拒绝):Sensor 丢弃流量并执行 TCP 重置。 

• Ignore(忽略):Sensor 允许流量而不进一步检查。 

下面介绍的依赖性因子只应用于一些规则,您将 Sensor 对这些规则的响应操作设置为“Inspect(检查)”或“Ignore(忽 

略)”。 

依赖性因子:如果您创建的规则允许某个应用程序,则在默认情况下,也允许与之相关的所有应用程序和服务。例如, 

如果允许 Facebook,则在默认情况下也允许 HTTP。由此,也会允许所有未知的 HTTP 应用程序,即没有特征码的 

HTTP 应用程序。例如,假设您要允许 Facebook 但阻止所有其他的 HTTP 流量,则您需要按照相同顺序为以下条件创 

建访问规则: 

• 检查 Facebook 

• 拒绝 HTTP 


假设用户尝试访问已知的 Gmail 应用程序,则 Sensor 会识别 Gmail 流量,并根据第二条规则进行阻止。现在,假设用 

户尝试访问未知的 HTTP 应用程序,则 Sensor 无法在 HTTP 级别之外识别该应用程序,因为没有特征码。因为第一条 

规则暗示允许 HTTP,所以 Sensor 允许此流量通过。总之,会允许所有未知的 HTTP 应用程序,并阻止除 Facebook 

以外的所有已知 HTTP 应用程序。 

假设您按照相同顺序为以下条件创建了访问规则,则会阻止所有 HTTP 应用程序(包括 Facebook): 

• 拒绝 HTTP 

• 检查 Facebook 

同样地,涉及应用程序功能的规则也会导致依赖性因子。也就是说,通过允许应用程序功能,可以允许应用程序自身以 

及没有特征码的应用程序的其他功能。 

当计算访问规则之间的依赖性因子时,请考虑规则的所有组件(例如来源、目标、有效时间、应用程序类别等)。请考虑 

下面的一组示例规则: 

1 来源:x ¦ 目标:y ¦ 应用程序:TwileShare ¦ 响应操作:检查(即使用 IPS 允许) 

2 来源:x ¦ 目标:y ¦ 应用程序:Twitter ¦ 响应操作:丢弃 

3 来源:a ¦ 目标:b ¦ 应用程序:Twitter ¦ 响应操作:丢弃 

当 Sensor 检测到从 x 到 y 的 Twitter 流量时,它会使用 IPS 允许此流量,虽然根据第二条规则它必须丢弃此流量。这 

是因为,TwileShare 依赖 Twitter。因此,如果在第一条规则中允许从 x 到 y 的 TwileShare 流量,也会允许 x 到 y 的 

Twitter 流量。但是,如果 Sensor 检测到从 a 到 b 的 Twitter 流量,它会根据第三条规则丢弃该流量,因为第一条规则 

暗示仅允许从 x 到 y 的 Twitter 流量,而不允许从 a 到 b 的 Twitter 流量。 

请考虑下面的规则: 

1 来源:x ¦ 目标:y ¦ 应用程序:Twitter ¦ 响应操作:丢弃 

2 来源:x ¦ 目标:y ¦ 应用程序:TwileShare ¦ 响应操作:检查(即使用 IPS 允许) 

在此情况下,会根据规则 1 丢弃从 x 到 y 的 Twitter 流量;根据规则 2 允许从 x 到 y 的 TwileShare 流量并进行检查。 

如何配置防火墙策略 

要配置防火墙策略,应首先创建所需的规则对象,定义防火墙规则,然后为该策略定义访问规则。在创建防火墙规则后, 

您可以将其分配到所需的 Sensor 资源中。本节提供了有关管理防火墙规则及其组件的分步信息。 

管理规则对象 

您需要使用规则对象来创建防火墙规则。在 Manager 中,每个规则对象都有一个关联图标,便于轻松标识。下表列出 

了可用的规则对象和相应的图标。 

图标规则对象 

Application(应用程序) 

Application Group(应用程序组) 

Application on Custom Port(自定义端口上的应用程序) 

Country(国家/地区) 

Finite Time Period(有限时间段) 

Host DNS Name(主机 DNS 名称) 

Host IPv4(主机 IPv4) 

IPv4 Address Range(IPv4 地址范围) 




3 



图标规则对象 

Network(网络) 

Network Group(网络组) 

Recurring Time Period(周期性时间段) 

Recurring Time Period Group(周期性时间段组) 

Service(服务) 

Service Group(服务组) 

规则对象大致分为三类: 

• Default(默认):这些规则对象由 McAfee 预定义。例如,“Application(应用程序)”和“Country(国家/地区)”属于默 

认规则对象。 

• Custom(自定义):这些规则对象需要您自己定义。例如,“Host DNS Name(主机 DNS 名称)”规则对象需要自己定 

义。 

• Default and custom(默认和自定义):对于这一类型,McAfee 提供了预定义的值列表,但您可以向列表中添加其他 

值。例如,“Network(网络)”规则对象预定义了 3 个保留的专用网络,但您也可以创建自己的“Network(网络)”规则 

对象。 

任务 

除了网络以外,不能克隆其他的默认 Rule Object(规则对象)。不能编辑或删除任何默认规则对象。只有在创建自定义规 

则对象的管理域中,才能编辑或删除这些自定义规则对象。 

• 查看规则对象第 144 页 

• 添加规则对象第 145 页 

• 修改规则对象第 151 页 

• 删除规则对象第 152 页 

查看规则对象 

任务 

1 转到“admin_domain_name(管理域名称)” | “IPS Settings(IPS 设置)” | “Firewall(防火墙)” | “Rule Objects(规则 

对象)”。 

此处列出了选定管理域的规则对象。对于列出的规则对象,必须满足以下条件之一: 

• 属于默认规则对象。 

• 在父管理域中创建,但设置为对子管理域可见。 

• 在当前管理域中创建的规则对象。 

2 要定位特定的规则对象,请结合使用以下方法: 

• 在“Search(搜索)”文本框中输入字符串。 

• 此时会列出名称中包含搜索字符串的规则对象。例如,键入“google”会列出名称中包含“google”的规则对象。 

• 根据需要勾选“Default(默认)”或“Custom(自定义)”复选框。 


• 在“Show(显示)”列表中选择规则对象类型。 

• 单击“Name(名称)”、“Owner(所有者)”、“Type(类型)”或“Editable(可编辑)”标题,对列表进行升序或降序排 

序。 

图 3-117 定位规则对象 

将鼠标移至某个规则对象名称上,可显示该服务的部分详细信息。 

3 要查看规则对象的完整详细信息,请双击该规则对象,或选择该规则对象并单击“View/Edit(查看/编辑)”。 

添加规则对象 

任务 


对象)”。 

此处列出了选定管理域的规则对象。 


3 从“New Rule Object(新规则对象)”窗口中选择“Type(类型)”。 

4 输入规则对象的“Name(名称)”。 

对于给定的管理域,每个规则对象必须有唯一的名称。 




3 



5 (可选)输入“Rule Object(规则对象)”的“Description(描述)”。 

“Owner(所有者)”字段将显示您创建“Rule Object(规则对象)”所在的当前管理域。 

6 (可选)选择“Visible to Child Admin Domains(对子管理域可视)”。 

图 3-118 添加规则对象 

根据您选择的“Type(类型)”,“New Rule Object(新规则对象)”窗口中的其余字段会有所不同。请参考下面的相关 

章节。通常,在“Rule Object(规则对象)”中最多可以添加 10 个项目。例如,在“DNS Host Name Rule Object 

(DNS 主机名规则对象)”中最多可以添加 10 个“DNS Host Name(DNS 主机名)”。 

任务 

• 添加应用程序组第 147 页 

• 添加自定义端口上的应用程序第 147 页 

• 添加主机 IPv4 地址第 148 页 

• 添加主机 DNS 名称第 148 页 

• 添加 IPv4 地址范围第 148 页 

• 添加网络第 148 页 

• 添加网络组第 149 页 

• 添加有限时间段第 149 页 

• 添加周期性时间段第 150 页 

• 添加周期性时间段组第 150 页 

• 添加服务第 150 页 

• 添加服务组第 151 页 


添加应用程序组 

任务 

1 

开始之前 

• 请确保您当前位于“New Rule Object(新规则对象)”窗口,并且已完成“添加规则对象”中的步骤。 

• 确保您已选择“Application Group(应用程序组)”作为“New Rule Object(新规则对象)”窗口中的“Type 

(类型)”。此处显示了选定的管理域可使用的所有“Applications(应用程序)”和“Applications on Custom 

Ports(自定义端口上的应用程序)”规则对象。您可以将此列表中的项目进行分组,以创建您的 

“Application Group(应用程序组)”。 

要精简可用应用程序列表,您可以结合使用以下方法: 

• 在“Search(搜索)”文本框中输入要搜索的字符串。 

• 选择“Default(默认)”将列出预定义的“Applications(应用程序)”,而选择“Custom(自定义)”则会列 

出“Applications on Custom Ports(自定义端口上的应用程序)”。 

• 选择类别。例如,选择“Social Networking(社交网络)”作为“Category(类别)”,以列出所有相关的 

“Applications(应用程序)”。类别与应用程序所属的类型相对应。例如,Gmail 属于“Web Mail(网络 

邮件)”类别。 

从“Available Applications(可用应用程序)”列表中选择相应的应用程序,然后单击 

选定的应用程序都将被移至右边。将鼠标移至某个应用程序名称上,可显示该应用程序的部分详细信息。风险与应 

用程序带来的恶意软件传播风险相对应。 

2 单击“New(新建)”创建“Application on Custom Port(自定义端口上的应用程序)”。 

创建的“Application on Custom Port(自定义端口上的应用程序)”将自动在“Selected Applications(选定的应用程序)” 

下方列出。 


添加自定义端口上的应用程序 

任务 

开始之前 


• 确保您已选择“Application on Custom Port(自定义端口上的应用程序)”作为“New Rule Object(新规则 

对象)”窗口中的“Type(类型)”。 

1 从默认应用程序列表中选择“Application(应用程序)”。 

2 选择“IP Protocol(IP 协议),然后输入端口号。 

可以输入一个介于 1 到 65534 之间的值作为端口号。 

3 单击“Add(添加)”。 

4 要为应用程序添加更多端口号,请重复执行第 2 步和第 3 步。 

5 要删除端口号,请选择该端口号,然后单击“Remove(删除)”。 

6 为应用程序完成添加所需的端口号后,单击“Save(保存)”。 




3 

添加主机 IPv4 地址 

任务 

添加主机 DNS 名称 

开始之前 


• 确保您已选择“Host IPv4(主机 IPv4)”作为“New Rule Object(新规则对象)”窗口中的“Type(类型)”。 

1 在“Host IP Address(主机 IP 地址)”字段中输入有效的 IPv4 地址,然后单击“Add(添加)”。 

在输入 IP 地址时,请不要指定 CIDR 前缀 (32)。每个“Rule Object(规则对象)”中最多可输入 10 个地址。要从列表 

中删除地址,请选择该地址,然后单击“Remove(删除)”。 


任务 

添加 IPv4 地址范围 

添加网络 



开始之前 


• 确保您已选择“Host DNS Name(主机 DNS 名称)”作为“New Rule Object(新规则对象)”窗口中的“Type 

(类型)”。 

1 最好输入完全限定的域名,然后单击“Add(添加)”。 

如果域名不是完全限定的,Sensor 会通过“DNS Settings(DNS 设置)”页面上提供的 DNS 后缀对该域名进行解析。 

为此,Sensor 将与您在“DNS Settings(DNS 设置)”页面上配置的 DNS 服务器 IP 进行通信。 

每个“Rule Object(规则对象)”中最多可输入 10 个主机名。要从列表中删除主机名,请选择该主机名并单击“Remove 

(删除)”。 


任务 

开始之前 


• 确保您已选择“IPv4 Address Range(IPv4 地址范围)”作为“New Rule Object(新规则对象)”窗口中的 

“Type(类型)”。 

1 输入有效的 IPv4 范围,然后单击“Add(添加)”。 

例如,输入 172.16.220.10 至 172.16.220.50 作为范围。每个“Rule Object(规则对象)”中最多可输入 10 个范围。 

要从列表中删除范围,请选择该范围,然后单击“Remove(删除)”。 


开始之前 


• 确保您已选择“Network(网络)”为“New Rule Object(新规则对象)”窗口中的“Type(类型)”。 


添加网络组 

任务 

1 输入有效的 CIDR 块,然后单击“Add(添加)”。 

例如,输入 172.16.200.0/24。您可以在单个“Rule Object(规则对象)”中输入多个 CIDR 块。要从列表中删除某个 

CIDR 块,请选择该 CIDR 块,然后单击“Remove(删除)”。 


任务 

1 

添加有限时间段 

开始之前 


• 确保您已选择“Network Group(网络组)”为“New Rule Object(新规则对象)”窗口中的“Type(类型)”。 

这将显示可供选定的管理域使用的所有“Country(国家/地区)”、“Host IPv4(主机 IPv4)”、“Host DNS 

Name(主机 DNS 名称)”、“IPv4 Address Range(IPv4 地址范围)”和“Network(网络)”规则对象。您 

可以将此列表中的项目进行分组,以创建您的“Network Group(网络组)”。 

要精简可用网络对象列表,您可以结合使用以下方法: 


• 根据需要,选择“Default(默认)”或“Custom(自定义)”。 

• 在“Show(显示)”字段中,选择一种类型。例如,如果选择“Country(国家/地区)”,将仅列出“Country 

(国家/地区)”规则对象。 

从“Available Network Objects(可用的网络对象)”中选择,然后单击。 

选定的对象都将被移至右边。将鼠标移至某个应用程序名称上,可显示该应用程序的部分详细信息。单击“New(新 

建)”以创建“Host IPv4(主机 IPv4)”、“Host DNS Name(主机 DNS 名称)”、“IPv4 Address Range(IPv4 地址范围)” 

和“Network(网络)”规则对象。 

2 单击“New(新建)”以创建“Host IPv4(主机 IPv4)”、“Host DNS Name(主机 DNS 名称)”、“IPv4 Address Range 

(IPv4 地址范围)”或“Network(网络)”规则对象。 

您创建的“Rule Object(规则对象)”将自动在“Selected Network Objects(选定的网络对象)中列出。 


任务 

开始之前 


• 确保您已选择“Finite Time Period(有限时间段)”作为“New Rule Object(新规则对象)”窗口中的“Type 

(类型)”。 

1 在相应的字段中输入开始日期和时间以及结束日期和时间。 



要修改特定值,请将光标移至相应值上,然后使用旁边的箭头键增大或减小该值。您也可以使用键盘上的箭头键。 

例如,要增加月份值,可单击月份部分,然后使用向上箭头键增加月份值。 

更改特定值可能会改变左边显示的即时值。也就是说,如果更改的分钟数超过 59,小时数就会相应增加 1 小时。类 

似地,如果更改的小时数超过 23,日期就会相应增加 1 天。 


3 

添加周期性时间段 


任务 

添加周期性时间段组 

添加服务 



开始之前 


• 确保您已选择“Recurring Time Period(周期性时间段)”为“New Rule Object(新规则对象)”窗口中的 

“Type(类型)”。 

1 选择一周中的某天。 

2 选择时间段。 

您可以选择整天,也可以选择特定的时间段。要修改小时或分钟值,请将光标移至相应值上,然后使用旁边的箭头 

键增大会减小该值。您也可以使用键盘上的箭头键。 


任务 

1 

开始之前 

如果更改的分钟数超过 59,小时数就会相应增加 1 小时。 


• 确保您已选择“Recurring Time Period Group(周期性时间段组)”为“New Rule Object(新规则对象)”窗 

口中的“Type(类型)”。这将显示可供选定的管理域使用的所有“Recurring Time Periods(周期性时间 

段)”。您可以将此列表中的项目进行分组,以创建“Recurring Time Period Group(周期性时间段)”。 

要精简可用对象列表,您可以结合使用以下方法: 



从“Available Recurring Time Periods(可用的周期性时间段)”中选择所需的时间段,然后单击。 

选定的对象都将被移至右边。将鼠标移至某个“Recurring Time Period(周期性时间段)”上,可显示其部分详细信息。 

2 单击“New(新建)”以创建“Recurring Time Period(周期性时间段)”。 

您创建的“Recurring Time Period(周期性时间段)”将自动在“Selected Network Objects(选定的网络对象)下方列 

出。 


开始之前 


• 确保您已选择“Service(服务)”为“New Rule Object(新规则对象)”窗口中的“Type(类型)”。 


添加服务组 

任务 

1 选择“IP Protocol(IP 协议)”。 

如果您选择 TCP 或 UDP,则可以选择输入一个介于 1 到 65534 之间的值作为端口号。或者,您也可以指定一个介 

于 0 到 255 之间的协议编号。在每个规则对象中只能指定一个 IP 协议。 


任务 

1 

开始之前 


• 确保您已选择“Service Group(服务组)”为“New Rule Object(新规则对象)”窗口中的“Type(类型)”。 

这将显示可供选定的管理与使用的所有默认和自定义的“Service(服务)”。您可以将此列表中的项目进 

行分组,以创建您的“Service Group(服务组)”。 

要精简可用服务列表,您可以结合使用以下方法: 

• 在“Search(搜索)”框中输入要搜索的字符串。 


从“Available Services(可用服务)”中选择所需的服务,然后单击。 

选定的服务都将被移至右边。将鼠标移至某个服务名称上,可显示该服务的部分详细信息。 

2 单击“New(新建)”以创建服务。 

该服务将自动在“Selected Services(选定的服务)”下方列出。 


修改规则对象 

只有在创建规则对象的管理域中,才能修改规则对象。如有必要,您可以复制在父管理域中创建的自定义规则对象,然 

后在当前的管理域中根据需要对其进行修改。 

任务 




对象)”。 


2 找出要修改的规则对象。 

要过滤列表,请取消选中“Default(默认)”并选中“Custom(自定义)”,然后从“Show(显示)”下拉菜单中选择相应的 

规则对象类型。 

3 确保对于要修改的规则对象,选定了“Editable(可编辑)”字段。然后双击该字段,或选择该规则对象并单击“View/ 

Edit(查看/编辑)”。 

如果没有选定“Editable(可编辑)”字段,则规则对象属于父管理域。 

4 进行所需的更改,然后单击“Save(保存)”。 



如果您修改的规则对象是正在使用的防火墙策略的一部分,则您必须执行 Sensor 配置更新以使所做的更改生效。 


3 



删除规则对象 

开始之前 

确保规则对象没有用于任何防火墙访问规则或 NAC 网络访问区域。 

只有在创建规则对象的管理域中,才能删除规则对象。 

任务 




对象)”。 


2 找出要删除的规则对象。 

要过滤列表,从“Show(显示)”下拉列表中选择“Custom(自定义)”并选择相应的规则对象类型。 

3 确保对于要删除的规则对象,选定了“Editable(可编辑)”字段。然后选择“Rule Object(规则对象)”并单击“Delete(删 

除)”。 

如果没有选定“Editable(可编辑)”字段,则规则对象属于父管理域。 


配置 DNS 服务器详细信息 

如果有基于“Host DNS Name(主机 DNS 名称)”规则对象的防火墙规则,则需要在 Manager 中配置 DNS 服务器详细信 

息。Sensor 使用这些 DNS 服务器详细信息将主机 DNS 名称解析为 IP 地址。这也适用于使用“Network Group(网络组)” 

规则对象的规则,“Network Group(网络组)”规则对象又使用“主机 DNS 名称”规则对象。 

Sensor 只使用 UDP(并且从不依靠 TCP)进行 DNS 查询,即便 DNS 服务器强制实施 TCP 也是如此。 

您可以在管理域级别配置 DNS 服务器详细信息。默认情况下,这些规则将应用于: 

• 所有相应的子管理域。 

• 此域中的所有 Sensor。 

• 相应子管理域中的所有 Sensor。 

您可以根据需要在子管理域级别和每个 Sensor 级别覆盖 DNS 服务器详细信息。 

任务 


• 要为管理域配置 DNS 服务器详细信息,请执行以下操作: 

1 转到“admin_domain_name(管理域名称)” | “Device List(设备列表)” | “Misc(其他)” | “DNS”。 

2 清除“Inherit Settings from Parent Admin Domain?(是否从父管理域继承设置?)”,以覆盖父域的设置。 

• 要为 Sensor 配置 DNS 服务器详细信息,请执行以下操作: 

1 转到“admin_domain_name(管理域名称)” | “Device List(设备列表)” | “Sensor_name(Sensor 名称)” | “Misc 

(其他)” | “DNS”。 

2 清除“Use the Device List Settings?(是否使用设备列表设置?)”,以覆盖管理域的设置。 

2 选择“Enable Name Resolution?(是否启用名称解析?)” 


3 输入 DNS 后缀。 

您可以输入多个值(以空格隔开)。Sensor 以相同的顺序使用这些后缀,解析防火墙规则中不符合条件的 DNS 主机 

名称。例如,防火墙规则中的 DNS 主机名为“host1”,而 DNS 后缀为“mycompany.com”和“mycompany.org”。要解 

析这一主机名,Sensor 会首先尝试 host1.mycompany.com。如果失败,则会尝试 host1.mycompany.org。 

4 输入主 DNS 服务器的 IPv4 或 IPv6 地址。 

5 (可选)输入次 DNS 服务器的 IPv4 或 IPv6 地址。 

如果无法访问主 DNS 服务器,则 Sensor 会与次 DNS 服务器通信。 

6 如果正在配置管理域的详细信息,请针对“Referesh Interval(刷新间隔)”输入 24 到 9999 之间的值。 

虽然该字段仅适用于 NTBA,在配置管理域的详细信息时,您必须输入一个值。 


要解析“Host DNS Name(主机 DNS 名称)”规则对象,Sensor 管理端口必须能够连接到特定的 DNS 服务器。因此, 

要确保这一点,请从 Sensor CLI ping DNS 服务器。 

图 3-119 配置 DNS 服务器详细信息 

8 对相关 Sensor 执行“Configuration Update(配置更新)”。 

配置时区 

如果 Sensor 无法与 DNS 服务器通信,则严重性级别为“警告”的故障会出现在“Status(状态)”页中。 

如果有任何防火墙规则使用基于时间的规则对象,您将需要在 Manager 中选择时区。基于时间的规则对象为“Finite 

Time Period(有限时间段)”、“Recurring Time Period(循环时间段)”和“Recurring Time Period Group(循环时间段组)”。 

您可以在管理域级别配置时区。默认情况下,这些规则将应用于: 

• 所有相应的子管理域。 

• 此域中的所有 Sensor。 

• 相应子管理域中的所有 Sensor。 

您可以根据需要在子管理域级别和每个 Sensor 级别覆盖时区。 



当将 Sensor 端口委托到子管理域级别时,对于这些端口只会应用 Sensor 的时区,而不是子管理域的时区。 

当选择时区时,Sensor 会根据选定时区来解析基于时间的规则对象。Sensor 也会根据需要自动考虑夏令时因素。 


3 



任务 


• 要在管理域配置时区,请执行以下操作: 

1 转到“admin_domain_name(管理域名称)” | “Device List(设备列表)” | “Misc(其他)” | “Time Zone(时 

区)”。 

2 清除“Inherit Settings from Parent Admin Domain?(是否从父管理域继承设置?)”,以覆盖父域的设置。 

• 要为 Sensor 配置时区,请执行以下操作: 

1 转到“admin_domain_name(管理域名称)” | “Device List(设备列表)” | “Sensor_name(Sensor 名称)” | “Misc 

(其他)” | “Time Zone(时区)”。 

2 清除“Use the Device List Settings?(是否使用设备列表设置?)”,以覆盖管理域的设置。 

2 为“Current Time Zone(当前时区)”选择时区。 


4 对相关 Sensor 执行“Configuration Update(配置更新)”。 

选定的时区适用于所有相应的 Sensor。 

管理防火墙策略 

您可以通过创建防火墙策略来定义防火墙实现。在创建策略后,您需要将其分配到下面的一个或多个 Sensor 资源中: 

• 预置设备 

• 接口或子接口 

• 端口 

• 后置设备 


添加访问规则 

查看防火墙策略 

任务 

1 转到“admin_domain(管理域)” | “IPS Settings(IPS 设置)” | “Policies(策略)” | “Firewall Policies(防火墙策略)”。 

此时会列出在选定管理域及其父域中创建的防火墙策略。“Editable(可编辑)”字段已勾选的策略即为在选定管理域中 

创建的策略。您可以根据“Name(名称)”、“Owner(所有者)”等任何标题对列表进行排序。 

2 选择一个策略,然后单击“View/Edit(查看/编辑)”以查看该策略的规则。 

3 在“Access Rules(访问规则)”选项卡中,单击“Filter(过滤器)”输入搜索条件。 

创建防火墙策略 

开始之前 

出于可用性考虑,提供了一个选项,可供您在创建防火墙访问规则时创建规则对象。但是,系统性方法是 

在创建防火墙访问规则之前创建所需的规则对象。 

您可以使用访问规则作为构造块以创建防火墙策略。然后您需要将策略分配到一个或多个 Sensor 资源。 

任务 



3 在“Properties(属性)”选项卡中,输入策略的“Name(名称)”和“Description(描述)”。 

“Owner(所有者)”字段对应您选定的管理用户。 

4 默认情况下,“Visible to Child Admin Domains(对子管理域可见)”处于选中状态。如有必要,清除所做的选择。 

5 在“Type(类型)”中选择“Advanced(高级)”或“Classic(经典)”。 

任务 

• 添加访问规则第 155 页 

• 为 Sensor 资源分配防火墙策略第 157 页 

开始之前 

请确保您已完成“创建防火墙策略”中的步骤。 




3 



任务 

1 在“Firewall Policies(防火墙策略)”窗口中,单击“Access Rules(访问规则)”。 

单击“Access Rules(访问规则)”后,您将无法更改策略类型。 

2 单击“Insert Above(在上方插入)”或“Insert Below(在下方插入)”。 

将插入默认的“Access Rule(访问规则)”。 

图 3-120 添加访问规则 

3 修改默认的“Access Rule(访问规则)”。 

a 将鼠标移动到“Description(描述)”字段的右角,会显示出编辑图标。 

b 单击编辑图标,会显示“Description(描述)”文本框。 

c 输入描述(长度不超出 64 个字符),然后单击“OK(确定)”。 

d 要更改“Source(来源)”的值,请将鼠标移至右角,然后单击编辑图标。 

e 对于“Advanced Firewall(高级防火墙)”策略,请更改“Destination(目标)”、“Application(应用程序)”和 

“Effective Time(有效时间)”对应的值。而对于“Classic(经典)”策略,请更改“Destination(目标)”和“Service(服 

务)”对应的值。 

对于“Advanced(高级)”策略,通常每个字段最多可以添加 10 个规则对象。而对于“Classic(经典)”策略,则只 

能添加 1 个。另外,如果采用的是“Classic(经典)”策略,一个对策对象也只能包含一个项目。 

在“Access Rule(访问规则)”中,您可以选择“Service(服务)”或“Application(应用程序)”,但不能同时选择两 

者。 

f 要更改“Response(响应)”操作,请将鼠标移动到右角,然后单击编辑图标。 

g 对于“Primary Action(主操作)”字段,请从以下选项中选择: 

• Inspect(检查):允许流量通过但要检查其中是否有攻击。 

• Drop(丢弃):仅丢弃流量。 

• Deny(拒绝):丢弃流量并重新设置与流量来源的连接。 

• Ignore(忽略):允许流量通过而且不进行任何进一步的检查。 

h 选择“Log to Syslog(记录到 Syslog)”,可以将“Firewall(防火墙)”日志信息发送到配置的 Syslog 服务器。 


i 单击“OK(确定)”。 

j 要更改“Direction(方向)”字段,请在该字段右角单击,然后从以下值中选择一个: 

• Inbound(入站):只对外部端口所载的流量应用该规则。 

• Outbound(出站):只对内部端口所载的流量应用该规则。 

• Either(任一):对两种端口都应用该规则。 

4 重复执行第 2 步和第 3 步,以添加更多“Access Rules(访问规则)”。 

5 取消选中“Prompt for assignment after save(保存后提示分配)”。 

如果您取消选中该选项,则可以立即保存相应策略,并将其分配给 Sensor 资源,此内容将在接下来几节中说明。如 

果您选择该选项,当您保存相应策略时,“Assignments(分配)”窗口自动弹出;您可以将该策略分配给所需的 

Sensor 资源。 


为 Sensor 资源分配防火墙策略 

任务 

开始之前 

请确保您已完成“添加访问规则”中的步骤。 

1 转到“admin_domain(管理域)” | “IPS Settings(IPS 设置)” | “Firewall Policies(防火墙策略)”。 

2 单击与要分配的策略对应的“Assignments(分配)”值。 



此时将显示“Assignments(分配)”窗口。此窗口会列出管理域的可用资源。要对可用资源列表进行过滤,请在 

“Search Resources(搜索资源)”文本框中输入要搜索的字符串。您还可以使用“Show device‑level resources(显示 

设备级别资源)”、“Show physical port pairs(显示物理端口对)”和“Show interfaces and sub‑interfaces(显示接口和 

子接口)”复选框。当您选中这些复选框时,相应管理域的 Sensor 资源会在“Available Resources(可用资源)”中列 

出。例如,如果管理域只拥有从父域分配的 Sensor 端口,而没有自带的 Sensor,那么列出的资源中将没有设备级 

别的资源。 


3 



3 

在“Assignments(分配)”窗口中,从“Available Resources(可用资源)”中选择相应资源,然后单击。 


单击“Reset(重置)”以取消您在当前会话中执行的分配。 

5 验证相应的端口、接口或子接口上有效的入站和出站规则列表。 

请注意,Sensor 使用有效规则检查流量时将按照从上到下的方式。 

可以在接口和子接口级别查看“Effective Firewall Rules(有效防火墙规则)”。转到“admin_domain_name(管理域名 

称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “interface/sub‑interface(接口/子接口)”。在 

“Protection Profile(保护配置文件)”页中,转到“Firewall Policy(防火墙策略)”部分,然后根据需要单击“Inbound 

Rules(入站规则)”或“Outbound Rules(出站规则)”。 

6 进行 Sensor 配置更新以强制执行策略。 

分配防火墙策略的其他方法 

为 Sensor 资源分配防火墙策略有多个选项。上述方法介绍了如何为多个 Sensor 资源分配策略。您还可以 

转到某个特定 Sensor 资源的“Protection Profile(保护配置文件)”页面,然后为该资源选择一个防火墙策 

略。下面对这些选项进行了介绍。确保您不会为多个 Sensor 资源分配同一个防火墙策略。 

要为预置设备或后置设备分配防火墙策略,请执行以下操作: 

1 转到“admin_domain_name(管理域名)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名 

称)” | “IPS Sensor” | “Protection Profile(保护配置文件)”。 

2 转到“Protection Profile(保护配置文件)”页面的“Firewall Policy(防火墙策略)”部分,然后在 

“Assignment Logic(分配逻辑)”下拉列表中,选择要为其分配防火墙策略的 Sensor 级别资源。 

3 选择预置设备和/或后置设备防火墙策略。 




要将防火墙策略分配到端口或接口,请执行以下操作: 

1 转到“admin_domain_name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名 

称)” | “interface(接口)” | “Protection Profile(保护配置文件)”。 

2 在“Protection Profile(保护配置文件)”页中,转到“Firewall Policy(防火墙策略)”部分,然后从 

“Assignment Logic(分配逻辑)”下拉列表,选择要向其分配防火墙策略的资源。 

3 将防火墙策略分配到选定的资源。 

图 3-121 将防火墙策略分配到端口和接口 


5 验证入站和出站“Effective Firewall Rules(有效防火墙策略)”。 

6 进行 Sensor 配置更新,以强制执行策略。 

要将防火墙策略分配到子接口,请执行以下操作: 

1 转到“admin_domain_name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名 

称)” | “sub‑interface(子接口)” | “Protection Profile(保护配置文件)”。 

2 在“Protection Profile(保护配置文件)”页,转到“Firewall Policy(防火墙策略)”,然后选择 

“Sub‑Interface Policy(子接口策略)”。 




3 



3 从列表中选择一个策略,或单击“New(新建)”来创建策略。 

如果创建了新策略,则该策略将自动分配到此子接口。 

图 3-122 将防火墙策略分配到子接口 




修改防火墙策略 

任务 


此时会列出在选定管理域及其父域中创建的防火墙策略。您可以为所列出的任何策略更改分配,但是,只能为在选 

定管理域中创建的策略修改访问规则。这些策略的“Editable(可编辑)”字段已勾选。 

2 要更改分配,请执行以下操作: 

a 单击策略的“Assignments(分配)”值。 

b 



c 单击“Save(保存)”以保存所做的更改并退出“Assignments(分配)”窗口。 

3 要修改策略的属性、规则或分配,请选择要修改的策略并单击“View/Edit(查看/编辑)”。 

4 在“Access Rules(访问规则)”选项卡中,您可以: 

• 使用“Insert Above(在上方插入)”或“Insert Below(在下方插入)”按钮插入规则。 

• 使用“Move Down(下移)”和“Move Up(上移)”按钮更改规则顺序。 

• 复制现有规则。 

• 启用或禁用规则。 

• 修改规则值。 



如果您选择了“Prompt for assignment after save(保存后提示分配)”,即会打开“Assignments(分配)”窗口,您可以 

在其中修改当前分配。 

6 要使更改生效,请执行配置更新。 

导出防火墙策略 

您可以将预定义和自定义的防火墙策略导出到本地文件系统中。在资源树中,转到“IPS Settings(IPS 设置)”,然后转 

到“Firewall(防火墙)”,再转到“Export(导出)”。在“Export Firewall Policies(导出防火墙策略)”页中,您可以选择多个 

防火墙策略并将它们导出到一个 XML 文件。然后,您可以将此 XML 文件导入到相同版本的 Manager 中。 

图 3-123 将 ACL 配置导出到文件 

导入防火墙策略 

使用此导出功能,您只能导出防火墙策略的定义。如果将一个策略分配到 Sensor、端口、接口或子接口,并且您要导出 

此分配情况,则您需要进行 Sensor 配置导出。有关验证端口配置的详细信息,请参阅“McAfee Network Security 

Platform 设备管理手册”。 

在相同版本的 Manager 之间,您可以导出和导入防火墙策略。当您执行导出操作时,选定的防火墙策略会导出为 XML 

文件。接着,您可以将此 XML 文件导入到 Manager 中,以创建该 XML 文件中所包含的防火墙策略。 

图 3-124 “Import ACL File(导入 ACL 文件)”对话框 




3 



任务 

如何理解 L3 ACL 规则 

1 转到“IPS Settings(IPS 设置)” | “Firewall(防火墙)” | “Import(导入)”。 

2 表示是否通过选中复选框来跳过重复的防火墙策略。 

如果您选中该选项,Manager 将只会导入尚未在 Manager 中显示的策略。 

3 单击“Browse(浏览)”并选择要导入的文件。 

4 单击“Apply(应用)”。 

如何针对零碎流量使用 L3 ACL 

使用 L3 ACL,可以基于哪个 Network Security Platform 将跳过对于零碎流量的重组处理,来为主机(或网络)有选择性 

地指定规则。这有助于缩短指定网络或主机的零碎流量的延迟时间。 

L3 ACL 对于非零碎流量不适用。 

建议您仅针对受信任的主机而且仅在收到大量的零碎流量时才使用此功能。例如,如果您的 NFS 服务器正通过 

Network Security Sensor 发送大量的零碎流量,则可以使用 L3 ACL。请注意,在接收来自未知主机的流量时使用此功 

能可能意味着规避对 IP 碎片的使用。 

N‑450 Sensor 不支持 L3 ACL。 

在 Network Security Platform 中,可以设置为使用 L3‑ACL 的规则包括: 

• Allow(允许):与所应用的 L3 ACL 相匹配的零碎流量将在不重组的情况下以串联方式发送。 

• Allow + intrusion prevention(允许 + 入侵防护):与所应用的 L3 ACL 相匹配的零碎流量将在由 IPS 处理之前进行 

重组。 

• Drop(丢弃):与所应用的 L3 ACL 相匹配的零碎流量将由 Sensor 丢弃。 

与任何 L3 ACL 规则都不匹配的所有零碎流量都将在由 IPS 处理之前进行重组。 

在 Network Security Platform 提供了三个新协议,这些协议支持 ICMP、TCP 和 UDP 的 L3 规则,即 L3‑ICMP、 

L3‑TCP 和 L3‑UDP。不支持用户指定的协议编号。 

配置零碎流量的访问规则 

可以从 Manager 配置零碎流量的访问规则。 

任务 

1 选择“IPS Settings(IPS 设置)” | “Policies(策略)” | “Firewall Policies(防火墙策略)”。 


3 输入防火墙策略的“Name(名称)”。 

4 (可选)输入对策略的“Description(描述)”。 


您不能在以后修改“Type(类型)”。 

6 单击窗口底部的“Access Rules(访问规则)”按钮。 

7 单击“Insert Above(在上方插入)”或“Insert Below(在上方插入)”以插入默认的访问规则。 


8 在“Application(应用程序)”部分,将鼠标移动到右角,然后单击。 

9 在“Application(应用程序)”窗口中,选择“Default for Elements(元素默认值)”。 




3 



10 从“Show(显示)”下拉列表中选择“Service(服务)”。 

即会列出默认的服务规则对象。 

11 您可以从三个 L3 协议中选择任意一个:L3‑ICMP、L3‑TCP 和 L3‑UDP。 

图 3-125 设置 L3 ACL 协议 

L3 ACL 的 TCP 设置 

在配置了 L3 ACL 之后,应当将“TCP Flow Violation(TCP 流违规)”设置为“Permit out‑of‑order(允许乱序)”(默认设 

置)。 

在 Manager 中,选择“IPS Settings(IPS 设置)/ ” | “Advanced Scanning(高级扫描)” | “TCP Settings 

(TCP 设置)”。 

在“TCP Settings(TCP 设置)”页中,从“TCP Flow Violation(TCP 流违规)”下拉列表选择“Permit out‑of‑order(允 

许乱序)”。 

图 3-126 L3 ACL 的 TCP 流违规设置 


限制 

• 只有在“TCP flow violation(TCP 流违规)”设置为“Permit out‑of order(允许乱序)”时,您才可以针对零碎流量使用 

访问规则。 

• 针对零碎流量应用了访问规则时,不应当使用 Syn‑cookie。 

• 零碎流量的访问规则不支持防火墙日志记录。 

如何查看匹配流量的详细信息 

对于与访问规则相匹配的所有流量,Sensor 可将详细信息转发到 Syslog 服务器。您可以将这些详细信息用于分析和报 

告。例如,您可以查看在指定时间段内尝试访问社交网站的所有主机。您还可以将与防火墙访问规则相匹配的数据包记 

录下来。 

要查看匹配流量的详细信息,您需要进行以下配置: 

• 如果您希望 Sensor 将记录的详细信息直接发送到 Syslog 服务器,请配置 Syslog 服务器并确保它可供 Sensor 的管 

理端口访问。或者,如果您希望 Sensor 通过 Manager 发送详细信息,则 Manager 必须能够与 Syslog 服务器通信。 

在这种情况下,Sensor 将日志转发到 Manager,Manager 对日志设置格式并将其转换为 Syslog 消息,然后将其发 

送到所配置的 Syslog 服务器。 

只有 M 系列的 Sensor 可以将日志直接发送到 Syslog 服务器。 

此后,您可以在第三方 Syslog 应用程序中查看日志。 

在 Syslog 转发中,管理域可以选择包括来自对应子域的日志。 

• 在管理域级别启用“Firewall Rule Match Notification(防火墙规则匹配通知)”。 

• 在 Sensor 级别启用“Firewall Logging(防火墙日志记录)”。 

启用规则匹配通知 

任务 

1 选择“IPS Settings(IPS 设置)” | “Firewall(防火墙)” | “Rule Match Notification(规则匹配通知)”或“NAC Settings 

(NAC 设置)” | “Firewall(防火墙)” | “Rule Match Notification(规则匹配通知)”。 

2 对“Enable Syslog Notification(启用 Syslog 通知)”选择“Yes(是)”。 

3 为“Admin Domains(管理域)”选择下面一个或多个选项: 

• “Current(当前):”发送当前域中的防火墙规则匹配通知。对当前域始终启用此选项。 

• “Children(子域):”包括当前域的所有子域的防火墙警报。 

4 输入 syslog “Server Name or IP Address(服务器名称或 IP 地址)”。 

5 在目标服务器上键入授权接收 Syslog 消息的通信“Port(端口)”。 

syslog 的标准端口 514 预先填入此字段中。 

6 选择“Facility(工具)”的值。这是标准 Syslog 优先级值。选项包括: 

• Security/authorization (code 4)(安全/授权(代码 4)) 

• Security/authorization (code 10)(安全/授权(代码 10)) 

• Log audit (note 1)(日志审核(注释 1)) 

• Log alert (note 1)(日志警报(注释 1)) 

• Clock daemon (note 2)(时钟守护程序(注释 2)) 




3 



• Local user 0 (local0)(本地用户 0 (local0)) 








7 指定要转发的防火墙警报的“Severity(严重性)”。选项包括: 

• Emergency(紧急):系统不可用 

• Alert(警报):必须立即采取措施 

• Critical(非常严重):非常严重的情况 

• Error(错误):错误情况 

• Warning(警告):警告情况 

• Notice(注意):普通但重要的情况 

• Informational(信息):信息性消息 

• Debug(调试):调试级消息 

8 单击“Test Connection(测试连接)”以检查 Manager 是否能将 syslog 发送到 syslog 服务器。 

检查 syslog 服务器,以确定其是否接收到了 Manager 发送的测试消息。若没有,请检查您所提供的 syslog 服务器 

名称或 IP 地址。通过 Manager 服务器对 syslog 服务器进行 Ping 操作,以查看 Manager 是否能到达 syslog 服务 

器。对于“防火墙访问规则(Firewall Access Rules)”,您可以将 M 系列 Sensor 配置为向 syslog 服务器直接发送消 

息。在这种情况下,请通过 Sensor 的 CLI 对 syslog 服务器执行 Ping 操作。此选项在防火墙“Logging(日志记录)” 

页面“(IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Firewall(防火墙)” | “Firewall Logging(防火墙 

日志记录))”上可用。 



单击“Save(保存)”后,便可以自定义发送到 Syslog 服务器的消息格式。 

图 3-127 防火墙 Syslog 转发程序设置 

10 您可以选择 syslog 转发消息的“Message Body(消息正文)”。 

有两种消息类型: 

• “System Default(系统默认)”:默认消息是带有以下两个容易识别的字段的简易警报摘要:“Attack Name(攻击 

名称)”和“Attack Severity(攻击严重性)”。默认消息示例: 

"$IV_SENSOR_NAME$$IV_ACL_ID$$IV_ACL_ACTION$$IV_APPLICATION_PROTOCOL$$IV_SOURCE_IP 

$$IV_SOURCE_PORT$ $IV_DESTINATION_IP$$IV_DESTINATION_PORT$" 

• “Customized(自定义)。” 

默认情况下,转发给 syslog 服务器的防火墙日志消息采用“Debug(调试)”严重性,且具有“Security authorization 

(安全授权)”优先级值。 

11 执行 Sensor 的配置更新,使通知设置生效。 

任务 

使用 Sensor 的 CLI 中的 show acl stats 命令,来查看通过 Manager 发送的 ACL 日志数。如果使用 M 系列 Sensor, 

您还可以查看直接发送的 ACL 数。 

• 创建自定义 Syslog 消息第 167 页 

创建自定义 Syslog 消息 

开始之前 



在配置了 Syslog 服务器并应用了更改之后,您可以自定义 Syslog 消息的格式。确保您已经完成了“启用规 

则匹配通知”中的步骤。 


3 

任务 




1 在“Rule Match Notification(规则匹配通知)”页中的“Message Body(消息正文)”字段中,单击“Edit(编辑)”。 

2 键入消息并单击用于标识警报的格式参数。 

您可以在“Message(消息)”字段中键入文本,并单击此字段下面提供的一个或多个元素。 

为正确显示 Syslog 信息,确保您使用美元符号 ($) 分隔相邻的两个元素。示例:$IV_SENSOR_NAME$ 

3 在“Customize Syslog Forwarder Message(自定义 Syslog 转发程序消息)”页中,单击“Save(保存)”。 

4 在“Rule Match Notification(规则匹配通知)”页中,单击“Save(保存)”。 

Sensor 提供可以从 Manager 中的 IPS 设置节点进行配置和管理的保护选项。 

保护选项包括: 

• IP Reputation(IP 信誉) 

• Advanced Botnet Detection(高级僵尸网络检测) 

• Heuristic Web Application Server Protection(启发式 Web 应用程序服务器保护) 

• Fingerprints(指纹) 

IP 信誉 

Sensor 与 McAfee ® Global Threat Intelligence (GTI) 服务器相集成,以获取电子邮件、IP 地址和 URL 的实时信誉评 

级。通过某个 IP 的 IP 信誉获取的评级可用于根据配置丢弃/隔离从主机发出的流量。信誉分数表明了风险等级。 

当启用 IP 信誉时,Sensor 将来源主机的信誉作为执行阻止的附加因素,由此增强了智能阻止功能。 

事实上信誉可以通过 IP 和端口的组合来确定。因此,根据当前使用的端口不同,同一个 IP 地址的信誉可能会有所不同。 

相关详细信息,请参阅“McAfee Network Security Platform 集成手册”。 

另请参阅 

在接口级别管理保护配置文件第 297 页 

从 IPS 设置节点配置 IP 信誉 

如果 Manager 未与 Global Threat Intelligence (GTI) 查找集成,则您可以看到如下消息:“Please enable sending of 

Alert Data Details on the Participation page to make integration with GTI Lookup available.(请在“参与”页上启用警报数 

据详细信息的发送,以便能够使用与 GTI 查找的集成。)”转到“Integration(集成)” | “Global Threat Intelligence” | 

“Participation(参与)”,以启用集成。 

要配置 IP 信誉查找设置,请执行以下操作: 


任务 

1 在 Manager 中,选择“IPS Settings(IPS 设置)” | “Default Protection Options(默认保护选项)” | “IP Reputation 

(IP 信誉)”。 

2 在“IP Reputation(IP 信誉)”部分中,选择“Use IP Reputation to augment SmartBlocking?(是否使用 IP 信誉来增 

强智能阻止?)”选项,以增强对高风险主机攻击的阻止能力。 

图 5-128 “IP Reputation(IP 信誉)”对话框 

3 在“Protocols(协议)”部分中,可以选择从左侧的“Queried(已查询)”框中排除协议,以将排除的协议填充到右侧的 

“Whitelisted(白名单)”框中。 

这有助于优化查找性能。 

图 5-129 “Protocols(协议)”选项 

4 选择“Whitelist All Internal IP Addresses?(是否将所有内部 IP 地址列入白名单?)”以排除主机/网络,进而优化查找 

过程。 

图 5-130 “Whitelisted Hosts(白名单主机)”/“Whitelisted Networks(白名单网络)”选项 


默认保护选项 3 

5 从“Participation(参与)”页选择“Inherit CIDR Exclusion list(继承 CIDR 排除列表)”,以直接从“Integration(集成)” 

| “Global Threat Intelligence” | “Participation(参与)”页添加排除列表。 


3 



6 在“Whitelisted Networks(白名单网络)”部分,单击“New(新建)”,输入白名单网络。单击“Add(添加)”。单击“Cancel 

(取消)”,以删除最近添加的白名单网络。 

图 5-131 “New(新建)”/“Edit(编辑)”/“Delete(删除)”选项 

单击“Edit(编辑)”或“Delete(删除)”,以编辑或删除白名单网络。 

7 单击“Save(保存)”以保存配置。 

高级僵尸网络检测 

Bot 被定义为在已遭破坏的系统上运行的恶意软件,目的是入侵已遭破坏的计算机的集中管理网络(称为僵尸网络)。就 

目前所知,单个僵尸网络由超过一百万个已遭破坏的计算机组成,可以算是当前全球 Internet 所面临的最大威胁。 

僵尸牧人将从包含成千上万个傀儡的大规模僵尸网络转移到规模更小且更具针对性的网络。另外,适用于命令与控制 

(C&C) 的 IRC 协议逐步被淘汰,进而采用更隐匿的协议,如 HTTP、通过 433 端口的非 SSL 加密流量,等等。 

对类似 Bot 的行为的识别通常要经过几个阶段(每个阶段采用单独的攻击 ID 来识别)。通常攻击特征码可以检测单流中 

的攻击(除侦测攻击外)。Network Security Platform 可以通过为不同流之间的多个攻击建立关联来支持“高级僵尸网络 

检测”功能。通过在给定的时间段中观测主机,从而在攻击之间建立关联。 

成功建立关联后,高级僵尸网络检测可提供从不同攻击阶段检索到的详细信息。Network Security Platform 还可以将攻 

击信息转发至 NTBA Appliance,以便建立类似的关联。 

另请参阅 


从“IPS Settings(IPS 设置)”节点配置高级僵尸网络检测 

要从“IPS Settings(IPS 设置)”节点配置高级僵尸网络检测,请执行以下操作: 


任务 

1 转到“IPS Settings(IPS 设置)” | “Default Protection Options(默认保护选项)” | “Advanced Botnet Detection(高级 

僵尸网络检测)”。 

图 5-132 “Advanced Botnet Detection(高级僵尸网络检测)”选项卡 

2 从“Heuristic Detection(启发式检测)”字段下的下拉列表中选择“Low(低)”/“Medium(中)”/“High(高)”敏感度级别。 

启发式检测将不同的 Bot 活动关联起来,并在满足特定条件时发出警报。 

敏感度级别确定了启发式引擎进行分析所必需的的可信度。例如,当选择了低敏感度级别时,引擎在发出警报前, 

其检测到 Bot 这一点必须具有高信心度。 

默认情况下会选中“Low(低)”敏感度。 


保护 Web 应用程序服务器 

确保 Web 服务器的安全是网络安全专业人员所面临的一大挑战。因为 Web 服务器在网络中的位置及其所托管的应用程 

序的性质,企业 Web 服务器通常最易受到攻击并且最容易成为攻击目标。攻击 Web 服务器的攻击的动机可能是为了获 

得经济利益、获取机密数据、进入阻止网络或仅仅为了造成尴尬或不便。 

Web 应用程序的一个关键组件是数据库。Web 应用程序使用 SQL 来与数据库交互,以检索和存储数据。在交互期间, 

Web 应用程序服务器将 SQL 查询与用户提供的数据一同发送到自己的数据库中。这使得 Web 应用程序和数据库容易 

遭受 SQL 注入攻击的侵害,在这种攻击中,攻击者会尝试针对 Web 应用程序数据库执行任意 SQL 命令和查询。当用 

户提供的数据没有适当验证,或由于服务器应用程序存在漏洞时,这些攻击可能会成功。 

在 Network Security Platform 7.0 版之前,SQL 注入防护功能是基于特征码的。从 7.0 版开始,也有基于启发式分析 

的 SQL 注入防护机制。这一功能称为启发式 Web 应用程序服务器保护。本节详细介绍了启发式 Web 应用程序服务器 

保护功能的实现和配置。 

“启发式 Web 应用程序服务器保护”的工作方式 



启发式 Web 应用程序服务器保护是 McAfee 正在进行的广泛研究的成果。您可以在接口和子接口级别启用此功能。如 

果启用了此功能,Sensor 会检查相应接口与子接口上的 HTTP 和 HTTPS 流量是否存在 SQL 注入。对于 HTTPS 流量, 

您必须已经启用解密并与 Sensor 共享服务器密钥。 


3 



当启用启发式 Web 应用程序服务器保护时,以下选项可供使用: 

• 您可以针对在特定接口/子接口发现的所有 HTTP 流量启用启发式分析,或者针对特定网站路径启用该功能。因此, 

对于启发式分析,Sensor 只考虑那些包含这些路径的 HTTP 请求。在 Manager 中,这些路径称为“Website Paths 

to Protect(要保护的网站路径)”。 

• 您可以针对受保护的网站路径启用默认的启发式检测机制。Sensor 考虑那些到达受保护网站路径的规范化 HTTP 请 

求中所保留的每个 SQL 关键字。Sensor 在确定是否为攻击时会考虑各种因素(如查询中的关键字数量、查询的语法 

等)。由于启发式分析的研究仍在继续,McAfee 可能会不时地对启发式规则和算法进行调整。如果更新了特征码 

集,即可使用这些更改。 

当 Sensor 通过默认的启发式检测机制检测出了攻击,即会发出“HTTP: Web Application Server Attack Detected 

(HTTP: 检测到 Web 应用程序服务器攻击)”警报(NSP 攻击 ID:0x4029d300)。 

• 您可以使用特定字符串来增强默认的启发式检测机制。Sensor 将这些字符串视为黑名单标记。当 Sensor 在到受保 

护网站路径的 HTTP 请求中检测到任何这些字符串时,会将其视为攻击。例如,您可以指定存储过程的名称,因为 

这些名称不应当在 HTTP 请求中。在 Manager 中,这些列入黑名单的标记称为“Blacklisted Text(黑名单文本)”。 

当 Sensor 检测到了列入黑名单的文本,则会发出“HTTP: Stored Procedure Name Detected by SQL Injection 

Heuristic Engine(HTTP: SQL 注入启发式引擎检测到存储过程名称)”警报(NSP 攻击 ID:0x00011200)。 

启发式 Web 应用程序服务器保护功能仅适用于运行 7.0 或更高版本的 M 系列 Sensor。此功能在串联、Tap 和 SPAN 模 

式下工作。 

实现启发式 Web 应用程序服务器保护的简要步骤 

1 确保您要保护的 Web 应用程序服务器已连接到合适的 Sensor 监控端口。有关详细信息,请参阅“McAfee Network 

Security Platform 入门手册”。 

2 要让 Sensor 检查 HTTPS 流量,请确保已经启用了 SSL 解密并且您已经将所需的 SSL 密钥导入到 Sensor。 

3 如果必要,为 Web 应用程序服务器创建子接口。 

4 请确保已经将所需的 IPS 策略应用到 Web 应用程序服务器所连接到的接口或子接口。同时,请确保在这些 IPS 策 

略中列出并启用了以下攻击: 

a HTTP: Web Application Server Attack Detected(HTTP: 检测到 Web 应用程序服务器攻击)(NSP 攻击 ID: 

0x4029d300) 

b HTTP: Stored Procedure Name Detected by SQL Injection Heuristic Engine(HTTP: SQL 注入启发式引擎检测 

到存储过程名称)(NSP 攻击 ID:0x00011200) 

为上面列出的攻击配置所需响应操作。 

5 在管理域配置启发式 Web 应用程序服务器保护选项。 

6 为所需的接口和子接口配置并启用启发式 Web 应用程序服务器保护。 

7 监控 Threat Analyzer 中与 SQL 注入相关的警报。 

另请参阅 


在管理域配置启发式 Web 应用程序服务器保护 

默认情况下,启发式 Web 应用程序服务器保护功能处于禁用状态。要启用该功能,您必须指定“Website Paths to Protect 

(要保护的网站路径)”和“Blacklisted Text(黑名单文本)”选项。然后,您必须为接口或子接口启用该功能。您可以在管 

理域级别指定您的选项,并在接口和子接口级别继承该选项。如有必要,您可以为接口或子接口指定不同的选项。 

在子管理域级别、接口级别和子接口级别,您不能修改从管理域继承的配置。因此,您需要在父管理域修改该配置。但 

是,这会影响继承这些设置的所有子管理域、接口和子接口。 


对于子接口,您只能从其所属的管理域进行继承。请查看这里显示的图表。对于 229 子网和 230 子网子接口,您可以从 

制造 I 域进行继承。 

当创建接口时,启发式 Web 应用程序服务器保护功能在默认情况下处于禁用状态。当创建子接口时,该功能也会处于 

禁用状态,而与是否在相应接口中启用了该功能无关。 

本节介绍了如何在管理域配置启发式 Web 应用程序服务器保护的分步信息。 

任务 

1 在“Resource Tree(资源树)”中,转到“admin domain(管理域)” | “IPS Settings(IPS 设置)” | “Default Protection 

Options(默认保护选项)” | “Heuristic Web Application Server Protection(启发式 Web 应用程序服务器保护)”。 

2 清除“Inherit Settings from Parent Admin Domain?(是否从父管理域继承设置?)” 

该复选框对于根管理域不可用。 

3 在“New Path(新路径)”中输入要保护的网站路径,然后单击“Add(添加)”。 

例如,如果指定 /private‑banking/ 作为路径,则 Sensor 仅检查那些包含 /private‑banking/ 的请求。对于每个 

Sensor,您最多可以指定 512 个这样的路径。如果没有指定路径,则 Sensor 会检查所有的 HTTP 请求。 

要删除现有路径,请选择该路径并单击“Delete(删除)”。 

启发式 Web 应用程序服务器保护会影响 Sensor 性能。因此,只配置要保护的重要网站路径。 




3 



4 要指定黑名单文本,请在“New String(新建字符串)”中输入文字并单击“Add(添加)”。 

这些字符串的长度必须为 3 到 255 字符之间。如果 Sensor 在查询受保护网站时检测到任何这些字符串,则会将其 

视为攻击。如果定义这些字符串,则 Sensor 会针对这些字符串以及内置的默认启发式规则检查这些查询。否则,它 

只会检查默认的启发式规则。 

如果 Sensor 要引发警报,则黑名单文本应出现在请求 URI 中的路径后。例如,假设“private‑banking”为路径,而 

“get_balance”为黑名单文本,则在请求 URI 中,“get_balance”应出现在“private‑banking”之后,以便 Sensor 检测该 

黑名单文本。 


图 5-133 管理域上的启发式 Web 应用程序服务器保护 

6 对于必要的接口和子接口,配置启发式 Web 应用程序服务器保护。 

默认情况下,接口和子接口从相应的管理域(而不是受保护的网站路径)处继承黑名单字符串。也就是说,将 

Sensor 配置为检查所有的 HTTP 请求中是否含有黑名单字符串和内置启发式规则。在为该接口或子接口启用启发 

式 Web 应用程序服务器保护之前,您可以检查这些设置并根据需要进行更改。 

在接口级别配置启发式 Web 应用程序服务器保护 











任务 

1 单击“Resource Tree(资源树)”中的接口或子接口,然后单击“Protection Profile(保护配置文件)”页中“Protection 

Options(保护选项)”部分的“Heuristic Web Application Server Protection(启发式 Web 应用程序服务器保护)”。 

2 要从管理域中继承设置,选择“Inherit Settings from IPS Settings Node?(是否从 IPS 设置节点继承设置?)” 

• 要继承网站路径和黑名单文本,请针对“Website Paths to Protect(要保护的网站路径)”选择“Specific(特定)”。 

• 要只继承黑名单文本,请针对“Website Paths to Protect(要保护的网站路径)”选择“All(全部)”。在此情况下, 

Sensor 会对该接口或子接口看到的所有 HTTP 请求应用内置启发式规则和继承的黑名单标记。 

您不能只从管理域继承网站路径。 




3 



3 要覆盖管理域中的设置,请清除“Inherit Settings from IPS Settings Node?(是否从 IPS 设置节点继承设置?)” 

• 对于启发式 Web 应用程序服务器保护,如果 Sensor 需要考虑任何 HTTP 请求,请针对“Website Paths to Protect 

(要保护的网站路径)”选择“All(全部)”。 

• 要指定网站路径,请针对“Website Paths to Protect(要保护的网站路径)”选择“Specific(特定)”,然后在“New 

Path(新路径)”中输入路径并单击“Add(添加)”。例如,如果指定 /private‑banking/ 作为路径,则对于启发式 

Web 应用程序服务器保护,Sensor 只会考虑包含 /private‑banking/ 的请求。对于每个 Sensor,您最多可以指 

定 512 个这样的路径。如果没有指定路径,则 Sensor 会检查所有的 HTTP 请求。 


• 要指定黑名单文本,请在“New String(新建字符串)”中输入文字并单击“Add(添加)”。添加的字符串将列在 

“Current Blacklist(当前黑名单)”表中。它们的类型始终为自定义。请注意以下几点: 

• 这些字符串的长度必须为 3 到 255 字符之间。 

• 在每个 Sensor 中最多可指定 256 个字符串。 

• 如果 Sensor 在查询受保护网站路径时检测到任何这些字符串,则会将其视为攻击。如果定义这些字符串, 

则 Sensor 会针对这些字符串以及内置的默认启发式规则检查这些查询。否则,它只会检查默认的启发式规 

则。 

• 如果 Sensor 要引发警报,则黑名单文本应出现在请求 URI 中的路径后。例如,假设“private‑banking”为路 

径,而“get_balance”为黑名单文本,则在请求 URI 中,“get_balance”应出现在“private‑banking”之后,以便 

Sensor 检测该黑名单文本。 



图 5-134 “Heuristic Web application server Protection(启发式 Web 应用程序服务器保护)”对话框 

5 在接口或子接口的“Protection Profile(保护配置文件)”页,以正确的方向启用“Heuristic Web Application Server 

Protection(启发式 Web 应用程序服务器保护)”。 

要保护 Web 应用程序服务器,通常您以入站方向启用该功能。 

图 5-135 配置“Heuristic Web application Server Protection(启发式 Web 应用程序服务器保护)” 

6 在启用启发式 Web 应用程序服务器保护后,单击“Protection Profile(保护配置文件)”页中的“Save(保存)”。 

7 完成 Sensor 配置更新,以使配置生效。 

Sensor 会根据您的配置来保护 Web 应用程序服务器。 




3 



当 Sensor 通过默认的启发式检测机制检测出了攻击,即会发出“HTTP:Web Application Server Attack Detected 

(HTTP: 检测到 Web 应用程序服务器攻击)”警报(NSP 攻击 ID:0x4029d300)。这被视作是利用漏洞攻击。Threat 

Analyzer 的“Alert Details(警报详细信息)”页显示 Sensor 在查询中检测到的任何保留的 SQL 关键字。这些内容会显示 

在“Alert Details(警报详细信息)”页中的“SQL Injection Details(SQL 注入详细信息)”部分。 

图 5-136 0x4029d300 警报详细信息 


当 Sensor 检测到了自定义的列入黑名单的文本,则会发出“HTTP:Stored Procedure Name Detected by SQL Injection 

Heuristic Engine(HTTP: SQL 注入启发式引擎检测到存储过程名称)”警报(NSP 攻击 ID:0x00011200)。这被视作是 

违反策略。“SQL Injection Details(SQL 注入详细信息)”部分显示 Sensor 在相应 HTTP 请求中发现的自定义列入黑名单 

的文本。 

图 5-137 0x00011200 警报详细信息 

文件信誉 



Network Security Platform 与 McAfee ® Global Threat Intelligence 文件信誉 [以前称为McAfee Artemis 技术] 集成,文 

件信誉是一项基于云的服务,提供针对恶意软件下载的实时防护。 

Network Security Platform 还为用户提供了用来将自定义指纹上载到 Manager 的选项,该选项可取代 GTI 查找功能或 

与该功能组合使用。 


3 



Network Security Platform 通过这个增强的集成来提供以下功能: 

• 对于检测到的恶意软件的响应操作(例如,发出警报、发出 TCP 重置或阻止文件) 

• 允许 Network Security Platform 管理员上载自定义指纹以检测恶意攻击 

• 报告 GTI 文件信誉检测结果和其他相关统计数据 

有关详细信息,请参阅“McAfee Network Security Platform 集成手册”。 

指纹 

转到“IPS Settings(IPS 设置)” | “Default Protection Options(默认保护选项)” | “File Reputation(文件信誉)”。 

Network Security Platform 支持以下指纹: 

• “GTI Fingerprints(GTI 指纹)”:Sensor 为恶意软件创建了一个指纹,并将其发送到 GTI 云服务器,此服务器最终 

将对该恶意软件强制执行响应操作。 

• “Custom Fingerprints(自定义指纹)”:您可以将自定义指纹上载到 Manager 用于文件信誉。 

GTI 指纹 

Sensor 为被视为潜在有害的文件创建一个指纹(MD5 哈希值),将该指纹潜入标准的 DNS 请求中,然后将该指纹发送 

到 GTI 云服务器。云服务器将指纹与 McAfee Labs 维护的威胁数据库进行比较。如果将指纹识别为已知恶意软件,则 

云服务器会从 Sensor 发出通知,并强制执行针对该恶意软件的响应操作。请注意,恶意软件的详细信息可以从 Threat 

Analyzer 查看。 

另请参阅 


IPS 设置中的文件信誉配置 

转到“My Company(我的公司)” | “Device_List(设备列表)” | “Misc(其他)” | “DNS”以配置本地 DNS 服务器 IP 地址。 

在这里输入 IP 地址(IPV4 或 IPV6)。要在“IPS Settings(IPS 设置)”中配置“File Reputation(文件信誉)”,请执行以下 

操作: 

任务 

1 转到“IPS Settings(IPS 设置)” | “Default Protection Options(默认保护选项)” | “File Reputation(文件信誉)”。 

图 5-138 “IPS Settings(IPS 设置)”中的“GTI Fingerprints(指纹)” 


2 在“GTI”部分下方,您可以查看扫描的最大文件大小。 

您还可以从“View Files(查看文件)”中查看由 GTI 文件信誉扫描的文件类型。 

图 5-139 “File Reputation(文件信誉)”‑“File Types(文件类型)”页 

3 选择“Sensitivity Level(敏感度级别)”。 

• “Very Low(非常低)” 

• “Low(低)” 

• “Medium(中)” 

• “High(高)” 

• “Very High(非常高)” 

默认值为“Very Low(非常低)”。 


自定义指纹 

您可以哈希已知的恶意软件文件,并将生成的指纹导入 Network Security Platform。Sensor 为被视为潜在有害的文件创 

建指纹,并将这两个指纹进行比较。如果匹配,则 Sensor 会强制执行响应操作。 

另请参阅 


IPS 设置中的自定义指纹配置 



转到“My Company(我的公司)” | “Device List(设备列表)” | “Misc(其他)” | “DNS”以配置本地 DNS 服务器 IP 地址。 

在这里输入 IP 地址(IPV4 或 IPV6)。要从“IPS Settings(IPS 设置)”配置自定义指纹,请执行以下操作: 


3 



任务 

1 转到“IPS Settings(IPS 设置)” | “Default Protection Options(默认保护选项)” | “File Reputation(文件信誉)”。 

图 5-140 “IPS 设置”中的自定义指纹 

2 在“Custom(自定义)”窗口中,可以配置自定义指纹的数量、管理自定义指纹文件的类型并查看已扫描的最大文件大 

小。 

3 单击“Manage Custom Fingerprints(管理自定义指纹)”。您可以在“Manage Fingerprints(管理指纹)”部分下查看正 

在使用的自定义指纹的数目。 

图 5-141 “Manage Fingerprints(管理指纹)”和“Import(导入)”部分 

4 单击“Browse(浏览)”以在“Import file(导入文件)”选项下导入文件。单击“Append(附加)”以添加一个新的自定义指 

纹。单击“Replace(替换)”以替换现有的自定义指纹。 

5 单击“Import(导入)”以确认文件的导入。单击“

6 单击“Manage File Types(管理文件类型)”以打开“File Types(文件类型)”页。在这里管理已上载自定义指纹的文件 

类型。 

图 5-142 管理文件类型 


自定义指纹的 Sensor 响应操作 

对“Custom Fingerprints(自定义指纹)”采取的“Sensor Response Action(Sensor 响应操作)”可在 Threat Analyzer 中 

的“Alerts(警报)”页中配置。 


NIDS 系统最常为人诟病的缺点之一,就是无法分析经过加密的流量。加密流量几乎使所有的 NIDS 系统都无法检查数 

据包是否有攻击或未经授权的活动。但是,Sensor 可以解密安全套接字层 (SSL) 数据包进行检查,并会在发现攻击时 

进行响应。 

Network Security Platform SSL 功能可让 Sensor 保留一份服务器的专用密钥,因此 Sensor 可以正确确定在该服务器上 

终止的 SSL 会话的会话密钥。您可以通过 Network Security Platform 用户界面将 SSL 密钥从客户端下载到 Sensor。 

Sensor 从 Manager 收到服务器的密钥之后,会将它放在挥发性内存中。密钥存储在 Manager 中,并用只有 Sensor 知 

道的密钥加密。以免形成单一入侵点。 

Sensor 启动时,会向 Manager 索取代为保管的所有专用密钥。 


如何解密 SSL 进行 IPS 检查 3 

Manager 提供通过接口来将一组公共/专用密钥导入到 Sensor。Manager 只是代为保管所导入的密钥,以用于 Sensor 

恢复。但是,Manager“不”解析所保管的密钥,当 Sensor 遗失其密钥时,也不会尝试自行恢复密钥。为了保护所导入密 

钥在传递和委托保管过程中的安全,Manager 使用 Sensor 的公共/专用密钥对中的公共密钥。导入新的密钥时, 

Manager 也会将新的密钥传给 Sensor。 


3 



Network Security Platform 支持将 PKCS12 格式(文件后缀“.pkcs12”、“.p12”或“.pfx”)用于不超过 2048 位的 RSA 专用 

密钥。每台 Sensor 最多可以加载 64 个密钥,并且在 Sensor 的所有虚拟 IPS (VIPS) 实例上都可使用。专用密钥必须 

是 PKCS12 文件的一部分。 

使用 SSL 解密功能会影响性能。 

I‑1200、I‑1400、M‑1250、M‑1450 和 N‑450 Sensor 不支持 SSL 解密。 

支持的 SSL 功能 

支持以下 SSL 功能。 

支持的 Web 服务器 

支持对以下 Web 服务器进行 SSL 解密: 

• Microsoft Internet Information Server (IIS) 

• Apache 

支持的密码套件 

以下是支持的 SSL 密码套件(采用各自 RFC 中所用的名称): 

SSLv2 密码套件 

• SSL_CK_RC4_128_WITH_MD5 

• SSL_CK_RC4_128_EXPORT40_WITH_MD5 

• SSL_CK_DES_64_CBC_WITH_MD5 

• SSL_CK_DES_192_EDE3_CBC_WITH_MD5 

SSLv3/TLS 密码套件 

• SSL/TLS_NULL_WITH_NULL_NULL • SSL/TLS_RSA_WITH_DES_CBC_SHA 

• SSL/TLS_RSA_WITH_NULL_MD5 • SSL/TLS_RSA_WITH_3DES_EDE_CBC_SHA 

• SSL/TLS_RSA_WITH_NULL_SHA • SSL/TLS_RSA_WITH_AES_128_CBC_SHA 

• SSL/TLS_RSA_WITH_RC4_128_MD5 • SSL/TLS_RSA_WITH_AES_256_CBC_SHA 

• SSL/TLS_RSA_WITH_RC4_128_SHA 

不支持的 SSL 功能 

不支持以下 SSL 功能: 

• iPlanet Web 服务器 

• Diffie‑Hellman 密码(McAfee 建议您在 SSL Web 服务器上禁止接受 Diffie‑Hellman 请求,以确保 Network Security 

Platform 能够对流量进行解密) 

• SSL 记录压缩(此为 SSLv3 和 TLS 中可协商的选项) 

• PCT(Microsoft 对于 SSLv2 的扩充功能) 


如何启用安全套接字层 (SSL) 解密 

“IPS Settings(IPS 设置)” | “SSL Decryption(SSL 解密)”选项卡上的操作可用于针对“IPS Settings(IPS 设置)”节点上 

的 IPS Sensor 启用安全套接字层 (SSL) 解密,以及导入和管理 Sensor 用于解密的 SSL 密钥。 

这一部分的可用操作有: 

• 启用 SSL 解密功能:为“IPS Settings(IPS 设置)”节点下的 IPS Sensor 启用 SSL 解密和配置 Sensor SSL 参数。 

• 管理 Sensor 的已导入 SSL 密钥:管理一个或多个 IPS Sensor 的、已导入到 Manager 中的 SSL 密钥。 

• 将 SSL 密钥导入到 Sensor:将 SSL 密钥导入到 Manager 以下载到 IPS Sensor。 

图 3-143 配置 SSL 解密 

在“IPS 设置”节点中启用 SSL 解密 

“Enable(启用)”操作可启用 IPS Sensor 的 SSL 功能。SSL 配置包括启用 SSL 解密、启用 SSL 加密攻击数据包记录、 

设置同时监控的 SSL 流的数目,以及设置会话缓存时间。 

为了在 Sensor 上启用/禁用 SSL 功能,必须重新启动 Sensor。此外,如果更改了“SSL Flow Count(SSL 流数目)”,也 

需要重新启动 Sensor。 

要在“IPS Settings(IPS 设置)”处启用并配置 SSL 解密,请执行以下操作: 

任务 

1 单击“IPS Settings(IPS 设置)” | “SSL Decryption(SSL 解密)” | “Enable(启用)”。 

图 3-144 SSL 配置 

2 从下拉菜单中选择“Device Name(设备名称)”。 

下拉列表列出了在“IPS Settings(IPS 设置)”节点下添加的 IPS Sensor。 



3 选中“Enable SSL Decryption on this Device?(是否在此设备上启用 SSL 解密?)”,以在所选的 Sensor 上启用 

SSL 解密。 


3 



4 在“Include Decryption SSL Packets in the Packet Captures(在数据包捕获中包含解密 SSL 数据包)”选项中,单击 

“Yes(是)”,以针对 SSL 加密攻击启用数据包日志记录。 

当您启用 SSL 解密时,将显示 SSL 加密攻击数据包日志,即,解密并显示与攻击有关的数据。这意味着,您将能够 

看到加密的信息。 

5 当启用“SSL Decryption(SSL 解密)”(如上面步骤 3 中说明)时,选定的 Sensor 型号的 SSL 流数目值将被填入 

“SSL Flows(SSL 流)”。 

此值代表 Sensor 在给定时间内可以处理的 SSL 流数目,且特定于 Sensor。 

Sensor 型号 SSL 流最大值 

I‑4010 100,000 

I‑4000 100,000 

I‑3000 50,000 

I‑2700 25,000 

M‑8000 400000 

M‑6050 200000 

M‑4050 150,000 

M‑3050 75,000 

M‑2750 25,000 


Sensor 支持的 SSL 流的数目将直接影响可同时处理的 TCP 流数目。 

6 当选择 Sensor 型号(如上面步骤 2 中说明)时,默认情况下,SSL 缓存时间将被填入相应的字段“SSL Cache Timer 

(SSL 缓存计时器)”。这一时间(分钟)指 SSL 的会话存续时间。它的值代表最后的连接关闭之后会话的存活期。此 

值应与对应服务器上的会话缓存时间相等。 

7 单击“Maximum Number of Concurrent Flows Supported on this Device(此设备上支持的并行流的最大数目)”,以 

查看流的最大数目。 

8 要保存以上配置,请单击“Save(保存)”。 

如果要启用 SSL 或者更改了“SSL Flows(SSL 流)”的值,系统会提示您重新启动 Sensor,让 Sensor 的设置生效。 

将 SSL 密钥导入到 Sensor 

使用“Key Import(密钥导入)”操作,您可以为“IPS Settings(IPS 设置)”节点的 IPS Sensor 将安全套接字层 (SSL) 密钥 

下载到 Manager 上。将密钥导入到 Manager 之后,可通过“Configuration Update(配置更新)”将其推送到一个或多个 

Sensor。 

通过提供的 SSL 密钥,Sensor 可以解密 SSL 流量以实现 IPS 检查。Manager 提供 passthru 接口来将一组公共/专用密 

钥导入到 Sensor。Manager 只是代为保管所导入的密钥,以用于 Sensor 恢复。但是,Manager 不解析所保管的密钥, 

当 Sensor 遗失其密钥时,也不会尝试自行恢复密钥。为了保护所导入密钥在传递和委托保管过程中的安全,Manager 

使用 Sensor 的公共/专用密钥对中的公共密钥。 

Network Security Platform 支持包含文件后缀“.pkcs12”、“.p12”或“.pfx”的 PKCS12 密钥。 

将 SSL 密钥导入 Sensor 之前,必须启用 SSL 解密。 

要将 SSL 密钥导入到一个特定的 Sensor,请执行以下操作: 


任务 

1 选择“IPS Settings(IPS 设置)” | “SSL Decryption(SSL 解密)” | “Key Import(密钥导入)”。 

图 3-145 “Import SSL Keys(导入 SSL 密钥)”对话框 

2 键入“Alias Name(别名)”。此名称用于标识 Manager 中的 SSL 密钥文件。 

3 键入“Passphrase(通行短语)”。它与用于加密 PKCS12 文件的密码相同。 

4 单击“Browse(浏览)”,在客户端系统上查找“PKCS12 File(PKCS12 文件)”。 

5 单击“Import(导入)”。 

弹出窗口显示了导入状态的详细信息。 

6 将 SSL 密钥下载到一个 Sensor。 

7 所做的更改将按照“更新所有设备的配置”中所述的那样更新到 Sensor 中。 

另请参阅 


如何管理导入的 Sensor SSL 密钥 

“Key Management(密钥管理)”操作使您可以管理已导入到 Manager 上“IPS Settings(IPS 设置)”节点下一个或多个 

IPS Sensor 的 SSL 密钥。 

对于故障转移对,“Key Management(密钥管理)” 操作显示与主 Sensor 和次 Sensor 关联的 SSL 密钥。 

“IPS Settings(IPS 设置)” | “SSL Decryption(SSL 解密)” | “Key Management(密钥管理)”选项卡显示了“Manage 

SSL Keys(管理 SSL 密钥)”页,其中显示了“Device Name(设备名称)”和“Configuration Update(配置更新)”的详细信 

息。注意,您还可以从“Manage SSL Keys(管理 SSL 密钥)”页导入 SSL 密钥。 

单击“Next(下一步)”。“Key Management(密钥管理)”页将在您可以导入 SSL 密钥的位置显示。 

单击“Import(导入)”,即会显示用来导入 SSL 密钥的“Key Import(密钥导入)”页。 

重新导入 SSL 密钥文件 



只要 Manager 仍然代为保管先前导入的密钥,您便可以重新导入之前已导入到 IPS Sensor 的 SSL 密钥文件。 

要从“IPS Settings(IPS 设置)”节点将 SSL 密钥重新导入到 Manager 上的 IPS Sensor 中,请执行以下操作: 


3 

任务 

1 单击“IPS Settings(IPS 设置)” | “SSL Decryption(SSL 解密)” | “Key Management(密钥管理)”。 

2 在“Configuration Update(配置更新)”列中,选中与所需的 Sensor 相对应的单选按钮。 

3 单击“Re‑import(重新导入)”。 

4 键入与 PKCS12 文件有关的“Passphrase(通行短语)”。 

5 单击“Browse(浏览)”,在客户端系统上查找 PKCS12 密钥文件。 



7 将所做的更改下载到 Sensor。 

另请参阅 


从 Manager 中删除 SSL 密钥文件 

要从 Manager 中删除 SSL 密钥文件,请执行以下操作: 

任务 





2 在“Manage SSL Keys(管理 SSL 密钥)”页中,选中所需 Sensor 的“Configuration Update(配置更新)”列中的单选 

按钮。 

3 单击“Delete(删除)”。确认删除。 

另请参阅 

管理设备的已导入 SSL 密钥第 287 页 

为了保护网络免受安全威胁,将提供能够对连接到您网络上的非合规网络设备(或主机)进行隔离和修复的 IPS 隔离功 

能。 

当在所配置的 Sensor 监控端口上检测到来自某个主机的攻击时,会为该主机的来源 IP 地址创建隔离规则。该主机现在 

位于隔离区中。在那以后,Sensor 将丢弃来自该主机的任何流量,直到隔离规则到期。因此,隔离操作通过将不符合要 

求的主机与网络隔离指定的一段时间,可防止这些主机危害其他网络系统。 

被隔离的主机将被允许访问某些 IP 地址并被拒绝访问特定的 IP 地址,直到它被修复。您可以在 IPS 隔离网络访问区中 

指定需要访问/拒绝的 IP 地址。 

可通过将来自被隔离主机的 HTTP 流量重定向到 Remediation Portal 服务器来修复该主机。在修复过程中,会使得主机 

符合网络安全策略。 

主机的状态(即主机是处于隔离状态还是修复状态)可以从实时 Threat Analyzer 窗口中查看。 

只有当 Sensor 监控端口处于串联模式下时,才能正常进行 IPS 隔离。 


下面是在 Manager 中进行 IPS 隔离所必需的配置: 

• 策略中的 IPS 隔离配置 

• 管理域中的 IPS 隔离配置 

• IPS Sensor 中的 IPS 隔离配置 

• Threat Analyzer 中的 IPS 隔离设置 

只有当您在 IPS 策略中针对特定的攻击启用了 IPS 隔离时,Sensor 才能够成功地隔离/修复主机。而且,您需要在各 

个 Sensor 监控端口中配置 IPS 隔离。 

另请参阅 

Sensor 操作第 18 页 


策略中的 IPS 隔离配置 

在所有的 IPS 策略中,都可以为各个攻击配置 IPS 隔离。 

为了成功地隔离和修复主机,必须在 IPS 策略中,针对每个攻击启用 IPS 隔离。 

您还可以根据需要在“Reconnaissance Policies(侦测策略)”或“Default IPS Attack Settings(默认 IPS 攻击设置)”中启 

用 IPS 隔离。 

另请参阅 


在 IPS 策略编辑器中启用 IPS 隔离第 189 页 

在 IPS 策略编辑器中启用 IPS 隔离 

下面举例说明如何在 IPS 策略中针对特定攻击配置 IPS 隔离。请注意,您可以有选择性地选择修复选项。 

任务 

1 从资源树中,转到“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)” 

2 选择一个策略,例如“Default IDS(默认 IDS)”。 

3 选择“View/Edit(查看/编辑)”以查看策略详细信息。 

4 在“Attack Name(攻击名称)”字段下选择任一攻击,并右键单击该攻击。单击“Edit(编辑)”。 

您可以在“Configure Attack Details(配置攻击详细信息)”窗口中搜索适用于 IPS 隔离的攻击。 

5 选择需要对其启用隔离的攻击(例如,此处选择了“AFS:TCPDUMP Buffer Overflow(AFS:TCPDUMP 缓冲区溢 

出)”),然后单击“View/Edit(查看/编辑)”。此时将显示该攻击的“Edit Attack Detail(编辑攻击详细信息)”窗口。 

您可以使用“Bulk Edit(批量编辑)”选项选择多个攻击,然后针对选定的所有攻击启用 IPS 隔离。 


IPS 隔离设置 3 


3 



6 在“Edit Attack Detail(编辑攻击详细信息)”中的“IPS Quarantine / McAfee NAC”下面,选择“Customize(自定义)”。 

图 3-146 编辑“Attack(攻击)”窗口,您可以在此窗口中启用“IPS Quarantine(IPS 隔离)” 

7 请注意,“Quarantine(隔离)”下拉选项处于启用状态。 

您可以看到两个选项:“All Hosts(所有主机)”和“Disabled(已禁用)”。 

图 3-147 在 IPS 策略编辑器中启用 IPS 隔离设置 

8 要对将生成此攻击的所有主机启用 IPS 隔离,请选择“All Hosts(所有主机)”。 

在本示例中,当我们选择“All Hosts(所有主机)”选项时,网络中生成“AFS:TCPDUMP 缓冲区溢出”攻击通信量的所 

有主机都将被 Sensor 隔离。 

图 3-148 在 IPS 策略编辑器中启用修复选项 

请注意,选择“All Hosts(所有主机)”选项时,将激活“Remediate(修复)”复选框。 


9 要对由于此攻击而隔离的所有主机启用修复,请选中“Remediate(修复)”复选框。 

10 当您希望启用“McAfee NAC Notification(McAfee NAC 通知)”时,请根据您的要求执行以下操作之一: 

图 3-149 “McAfee NAC Notification(McAfee NAC 通知)”选项 

a 要将攻击详细信息转发给 McAfee NAC,请选择“McAfee NAC Notification(McAfee NAC 通知)”,并在“Quarantine 

(隔离)”字段中选择“Disabled(已禁用)”。 

b 要通知 McAfee NAC 并使用 Network Security Platform 来隔离所有攻击主机(无论是哪种类型),请选择 

“McAfee NAC Notification(McAfee NAC 通知)”字段中选择“Quarantine(隔离)”字段中选择“All Hosts(所有主 

机)”。如果需要,请选择“Remediate(修复)”。 

c 如果要让 Network Security Platform 只隔离非托管主机,请选择“McAfee NAC Notification(McAfee NAC 通 

知)”,并在“Quarantine(隔离)”字段中选择“McAfee NAC Unmanaged Hosts(McAfee NAC 非托管主机)”。如 

果需要,请选择“Remediate(修复)”。 

当 Network Security Platform 将攻击情况通知给 McAfee NAC 时,McAfee NAC 可以根据其配置来隔离攻击主 

机,而与 Network Security Platform 采取的响应操作无关。 

无 NAC 许可证的 Sensor(例如,仅 IPS 的 Sensor)无法为非托管的主机执行 IPS 隔离。这是因为没有 NAC 许 

可证,Sensor 将无法与 McAfee NAC 建立信任关系,因此无法知道该主机是否为非托管主机。 

请注意,根据 IPS 策略,即使您可以在一次攻击中为非托管主机启用 IPS 隔离,无 NAC 许可证的 Sensor 也无 

法为非托管主机执行 IPS 隔离。 

11 单击“OK(确定)”以保存策略级别的 IPS 隔离配置。 

12 选择“Configure Attack Detail(配置攻击详细信息)”窗口中的“Done(完成)”。 




3 



13 在“IPS Policies(IPS 策略)”窗口中单击“Save(保存)”。 

此时将显示 IPS 隔离的策略属性修改。 

图 3-150 该页显示策略编辑器中的 IPS 隔离配置 

14 单击“Commit(提交)”以保存更改。 

此时将显示一条消息,通知您系统已将策略更改提交给 Manager。 

15 如果将已修改的策略应用于 Sensor,则需要更新 Sensor 配置,才能使更改生效。 

任务 

• 选择要进行 IPS 隔离的多个攻击第 192 页 

• 搜索适合 IPS 隔离的攻击第 193 页 

另请参阅 

搜索适合 IPS 隔离的攻击第 193 页 

选择要进行 IPS 隔离的多个攻击第 192 页 

策略中的 IPS 隔离配置第 189 页 

选择要进行 IPS 隔离的多个攻击 

对于给定的安全策略,可以使用“Bulk Edit(批量编辑)”选项为 IPS 隔离配置多个攻击。 

作为示例,下面显示了 IPS 策略中的 IPS 隔离配置。 

要为隔离和修复配置多个攻击,请执行以下操作: 

任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”或选择“IPS Settings 

(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Default IPS Attack Settings(默认 IPS 攻击设置)”。 

2 选择一个策略,例如“Default Inline(默认串联)”。 

3 选择“View/Edit(查看/编辑)”按钮,以查看策略详细信息。 


您可以在“Configure Attack Details(配置攻击详细信息)”页中搜索适用于 IPS 隔离的攻击。 


5 选择所需的攻击数目(例如 30 个攻击),然后选择“Bulk Edit(批量编辑)”。 

图 3-151 使用批量编辑功能选择要进行 IPS 隔离配置的多个攻击 

6 此时将显示选定攻击的“Bulk Edit(批量编辑)”页。 

7 选中“Bulk Edit(批量编辑)”、“Customize(自定义)”和“Enable Attack(启用攻击)”复选框。“Sensor Actions 

(Sensor 操作)”在“Bulk Edit(批量编辑)”页中处于启用状态。 

图 3-152 对于多个攻击启用隔离和修复功能 

另请参阅 


搜索适合 IPS 隔离的攻击 

针对 IPS 隔离配置攻击之前,可以从“IPS Policies(IPS 策略)”或“Default IPS Attack Settings(默认 IPS 攻击设置)”中 

搜索适合 IPS 隔离的攻击。 

要搜索适合隔离的攻击,请执行以下操作: 




3 



任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” “IPS & Recon(IPS 和侦测)” “Default IPS Attack Settings(默认 IPS 

攻击设置)”。 

2 选择一个策略,例如“Default Inline IPS(默认串联 IPS)”。 

3 选择“View/Edit(查看/编辑)”以查看策略详细信息。 

4 选择任何攻击类别,例如“Exploit Attacks(利用漏洞攻击)”选项卡。 

5 选择协议,例如“FTP”。 

6 选择“View/Edit(查看/编辑)”。此时将显示协议的“Configure Attack Detail(配置攻击详细信息)”页,其中列出了所 

有的攻击。 

7 在“Configure Attack Detail(配置攻击详细信息)”页的右上角选择下拉列表。 

图 3-153 与选择适合 IPS 隔离的攻击相对应的搜索选项 

8 要列出适合 IPS 隔离的攻击,请从下拉列表中选择“Only Attacks Eligible for IPS Quarantine(仅适合 IPS 隔离的攻 

击)”。 

“Configure Attack Detail(配置攻击详细信息)”页将自动刷新,并为选定的协议显示适合 IPS 隔离的攻击。 

另请参阅 


IPS 隔离规则创建的注意事项 

IPS 隔离规则创建例外 

在以下情况下,即使在策略和端口级别启用了 IPS 隔离操作,这些操作也将被忽略: 

• 已添加主机 IP,或者如果该主机 IP 包含在通过 Manager 配置的排除列表中。排除列表可以按 IP CIDR 或特定 IP 

地址的形式配置。如果生成攻击的来源 IP 包含在 NAC 排除列表中,则表明主机是受信任的,并且将被隔离。 

• 已配置可防止针对检测到的攻击发出警报的攻击过滤器。因此,如果攻击过滤器对该警报进行了分类,则不会对该 

攻击执行 IPS 隔离操作,并且不会隔离相应的来源 IP。 

IPS 隔离访问规则和防火墙访问规则 

IPS 隔离访问规则被配置到 IPS 隔离网络访问区 (NAZ) 中。这些规则对来自 IPS 隔离主机的流量进行监控。配置防火墙 

规则,以监控 Network Security Platform 上处于串联模式的流量。 


请查看以下内容了解 IPS 隔离和防火墙访问规则之间的交互: 

• 防火墙访问规则允许来自给定主机的特定流量,且针对 IPS 隔离来配置。流量按照 IPS 隔离 NAZ 访问规则传送,并 

且如果隔离操作丢弃该规则,则该规则将被丢弃。因此,IPS 隔离丢弃操作优先于防火墙允许操作。 

• 防火墙访问规则被配置为丢弃来自主机的特定流量(即进行 IPS 隔离),则这些流量将被丢弃,即使隔离 NAZ 访问规 

则表明允许这些流量通过也是如此。因此,防火墙丢弃操作优先于 IPS 隔离允许操作。 

• 防火墙访问规则被配置为丢弃来自主机的特定流量,但主机 IP 包含在排除列表中,那么流量仍将会被丢弃。防火墙 

丢弃可覆盖任何排除列表。 

排除列表只表明被排除的主机不受制于 IPS 隔离,但并不阻止它们不受制于防火墙访问规则。 

带有攻击过滤器和排除功能的 IPS 隔离 

• 如果启用了攻击过滤器,将不会产生 IPS 隔离操作,即主机不会被隔离。 

• 如果 IP 地址包含在排除列表中,则主机不会被隔离,但流量仍将受制于防火墙访问规则。 

管理域中的 IPS 隔离配置 

您可以从管理域中的“IPS Settings(IPS 设置)”节点配置全局 IPS 隔离设置。如果需要的话,可以将这些设置继承到 

IPS Sensor。 

对于管理域,“IPS Settings(IPS 设置)”提供了以下 IPS 隔离配置: 

• Creating network objects for IPS Quarantine(为 IPS 隔离创建网络对象) 

• Adding Network Access Zones for IPS Quarantine(为 IPS 隔离添加网络访问区) 

• Configuring Syslog messages for IPS Quarantine(为 IPS 隔离配置 Syslog 消息) 

• Customizing IPS Quarantine browser messages(自定义 IPS 隔离浏览器消息) 

• Configuring Remediation Portal from IPS Settings(通过 IPS 设置配置 Remediation Portal) 

上述选项卡中的配置将反映在“NAC Settings(NAC 设置)” | “ Network Access Setup(网络访问设置)”中的相应选项 

卡中。例如,“IPS Settings(IPS 设置)” | “ IPS Quarantine(IPS 隔离)” | “Network Access Zones(网络访问区)”中 

的网络访问区配置将反映在“NAC Settings(NAC 设置)” | “ Network Access Setup(网络访问区设置)” | “Network 

Access Zones(网络访问区)”中。 

• IPS Quarantine configuration using Wizard(使用向导配置 IPS 隔离) 

• Summary of IPS Quarantine configurations(IPS 隔离配置的摘要) 

为 IPS 隔离创建规则对象 

使用规则对象,可以将 IP 地址、VLAN、CIDR 或 MAC 地址方便地组合在一起。 

要从 Manager 中配置规则对象,请执行以下操作: 




3 



任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)” | “Rule Objects(规则对象)”。 

图 3-154 “Rule Objects(规则对象)”对话框 

2 要添加网络对象,请选择“New(新建)”。 

图 3-155 “New Rule Object(新规则对象)”对话框 

3 在“New Rule Object(新建规则对象)”对话框中,输入以下信息: 

• “Type(类型)”指示四种不同类型的网络地址,这些地址可以一起列在规则对象中。 

• “IP Address(IP 地址)(主机 IPv4、主机 IPv6、IPV4 地址范围)” • “OUI” 

• “Network(网络)(CIDR)” • “Service(服务)” 

• “MAC Address(MAC 地址)” • “VLAN” 

• 规则对象的“Name(名称)”。 

• 规则对象的“Description(描述)”。 


4 如果需要将配置继承到子管理域,请选择“Visible to Child Admin Domains?(是否使设置对子管理域可见?)”。 

5 根据在步骤 3 中选择的“Type(类型)”,Manager 用户界面中会显示相应的字段。例如,如果您在步骤 3 中选择 

“Host IPv4(主机 IPv4)”作为“Type(类型)”,则会显示一个可供输入主机 IP 地址的字段。 

6 选择“Add(添加)”可向地址列表中添加选定的“Type(类型)”条目。 

为规则对象添加必需数量的条目。 

7 请注意,您还可以根据需要对条目进行“Edit(编辑)”或“Delete(删除)”。 

8 输入规则对象的所有地址类型。 

9 要保存规则对象的上述设置,请选择“Save(保存)”。 

10 规则对象将列在“Rule Objects(规则对象)”列表中。您可以从“Rule Objects(规则对象)”列表中“View/Edit(查看/编 

辑)”或者“Delete(删除)”规则对象。 

为 IPS 隔离添加网络访问区 

网络访问区是一组访问控制列表 (ACL) 规则,这些规则定义为受制于 IPS 隔离的主机提供的网络访问区。 

当 Sensor 确定来自某个主机的攻击时,会隔离该主机并将其分配到“IPS Quarantine Network Access Zone(IPS 隔离网 

络访问区,简称 IPS 隔离 NAZ)”。这是基于主机的工作状态级别完成的。IPS 隔离 NAZ 将提供给主机的访问级别映射 

到主机的工作状态级别。IPS 隔离 NAZ 可以在 Manager 中和 Sensor 监控端口中配置。 

在配置网络访问区时,需要在 Manager 中定义 NAC ACL 规则。 

NAC ACL 规则通过指定来自主机的流量是应当由 Sensor 允许还是阻止来定义提供给主机的访问级别。每个 NAC ACL 

都可以是允许 ACL(允许访问网络)或拒绝 ACL(拒绝访问网络)。 

网络访问区这一概念同样适用于主机的访问网络访问控制。有关详细信息,请参阅“McAfee Network Security Platform 

NAC 管理手册”中的“网络访问区”。 

下面是在 Manager 中为 IPS 隔离配置网络访问区时涉及到的步骤: 




3 



任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)” | “Network Access Zones(网络访问 

区)”。 

2 要添加网络访问区,请选择“New(新建)”。 

图 3-156 添加网络访问区 

3 在“Properties(属性)”选项卡中,输入网络访问区“Name(名称)”和“Description(说明)”。如果希望网络访问区对子 

管理域可见,则选中“Visible to Child Admin Domains(对子管理域可见)”复选框。 

4 单击页面底部的“Access Rules(访问规则)”按钮,请选择“Insert Above(在上方插入)”或“Insert Below(在下方插 

入)”。在所显示的窗口中,可以添加/删除已经可用的 ACL。 

图 3-157 配置 NAZ 访问规则 

5 “Access Rules(访问规则)”选项卡将显示以下组件: 

• “Rule Number(规则编号)”:访问规则的序列号。 

• “Enabled(启用)”:规则的状态 


• “Description(描述)”:规则的描述 

• “Destination(目标)”:主机的目标 

• “Service(服务)”:用来基于 IP 协议、ICMP 代码或 TCP/UDP 端口号限制流量 

• “Response(响应)”:Sensor 的响应操作。 

使用按钮编辑“Access Rules(访问规则)”的组件。 

6 选择“Save(保存)”以保存所做的更改。 

7 该网络访问区将列在“Network Access Zones(网络访问区)”列表中。可以“Clone(复制)”、“View/Edit(查看/编 

辑)”或“Delete(删除)”自定义的网络访问区。 

您不能删除 Manager 中内置的三个网络访问区定义(即“Public Networks Only(仅公共网络)”、“No Access(无访问 

权限)”和“Full Access(完全访问权限)”。 

另请参阅 

设置 Sensor 端口以进行 IPS 隔离第 291 页 

为 IPS 隔离配置 Syslog 消息 

当 NAC 访问规则日志记录处于启用状态时,您还需要配置 Syslog 转发。 

下面是在 Manager 中为 NAC 配置 Syslog 转发时涉及到的步骤: 

任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)” | “Syslog Notification(Syslog 通知)”。 

图 3-158 配置 Syslog 转发 

2 选择“Yes(是)”启用 Syslog 转发。 

3 在“Forward Messages for Sensors from(Sensor 消息转发至)”:选项中,选择“Current(当前域)”(对于当前管理 

域)或“Children(子域)”(对于子管理域)。 

4 输入“Syslog Server Name(Syslog 服务器名称)/IP address(IP 地址)”。 

5 输入“Syslog Server UDP Port(Syslog 服务器 UDP 端口)”。 

6 选择“Facility to Use(要使用的工具)”和“Priority to Use(要使用的优先级)”。 




3 



7 默认情况下,“Message Body(消息正文)”设置为“System default(系统默认值)”。 


9 在保存设置之后,会看到一个让您创建自定义消息(而不是系统默认消息)的选项。 

图 3-159 用来自定义 syslog 转发消息的选项 

10 要编辑自定义的 Syslog 消息,请选择“Edit(编辑)”。 

图 3-160 自定义 syslog 转发程序消息 

在“Customize Syslog Forwarder Message(自定义 Syslog 转发程序消息)”中,编辑所需的字段并自定义该消息。要 

保存所做的更改,请选择“Save(保存)”。要重置为系统默认消息,请选择“Reset to System Default(重置为系统默 

认值)”。 

另请参阅 

Sensor 中对于 IPS 隔离的 NAC 访问日志记录第 289 页 

自定义 IPS 隔离浏览器消息 

当被隔离的主机尝试在为其分配的 IPS 隔离网络访问区外部访问网络资源时,会在该主机上显示 IPS 隔离浏览器消息。 

Manager 提供了内置的 IPS 隔离浏览器消息,您可以根据自己的要求对其进行自定义。 

下面是在 Manager 中自定义 IPS 隔离浏览器消息时涉及到的步骤: 


任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)” | “Browser Messages(浏览器消息)”。 

图 3-161 内置的 IPS 隔离浏览器消息 

2 要为“IPS Quarantine(IPS 隔离)”编辑和自定义内置的浏览器消息,请选择“Customize(自定义)”。 

图 3-162 “Customizing Browser(自定义浏览器)”消息 

3 您可以按照不同字段(例如,健康级别、网络访问区、IP 地址、Remediation Portal URL 和 MAC 地址等)编辑该窗 

口的内容。 

4 单击“Save(保存)”以保存自定义的 IPS 隔离浏览器消息。(可选)使用“Reset(重置)”/“View(查看)”按钮以重置消 

息设置或分别预览消息。 

从 IPS 设置配置 Remediation Portal 

为了使被隔离的主机上没有恶意流量并因而符合网络安全策略,Network Security Platform 通过将来自该主机的 HTTP 

流量重定向到修复门户来提供修复。 

下面是在 Manager 中为 IPS 隔离配置 Remediation Portal 设置时涉及到的步骤: 




3 



任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)” | “Remediation Portal”。 

图 3-163 Manager 中的 Remediation Portal 设置 

2 通过选中“Automatically Redirect to a Remediation Portal?(是否自动重定向到 Remediation Portal?)”来允许将 

HTTP 流量重定向到 Remediation Portal。 

3 通过指定“Remediation Portal IP Address(Remediation Portal IP 地址)”和“Remediation Portal URL” 来配置 

Remediation Portal。 

4 要保存设置,请单击“Save(保存)”。 

使用向导配置 IPS 隔离 

使用 IPS 隔离配置向导可以为管理域中的所有 Sensor 配置默认 IPS 隔离设置。 

要使用该向导配置默认的 IPS 隔离设置,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)” | “Default Port Settings(默认端口设置)”。 

2 如果需要使配置对子管理域可见,请在“Inheritance(继承)”页中选择“Visible to Child Admin Domain(对子管理域可 

见)”。 

对于子管理域的全局端口设置,“Inheritance(继承)”页提供了“Inherit From Parent Domain(从父域继承)”选项。 


3 选择“Next(下一步)”。 

图 3-164 使用向导配置 IPS 隔离设置 

即会出现“IPS Quarantine(IPS 隔离)”页。 

4 在向导的第一页中,如果您希望将管理域级别的 IPS 隔离设置继承到 Sensor 端口,请选择“Use Global Settings(使 

用全局设置)”。 

请注意,当您选择该选项时,向导中的其他选项将呈灰显状态。 

5 如果您不希望继承管理域设置,请取消选择“Use Global Settings(使用全局设置)”。 

请注意,当您取消选择该选项时,向导中的其他选项将进行刷新并显示出来。 

6 在“IPS Quarantine(IPS 隔离)”中,配置以下设置: 

a Enabling/disabling IPS Quarantine(启用/禁用 IPS 隔离): 

• Enable quarantine of hosts, but disable remediation (or re‑direction of HTTP requests)(启用主机隔离,但是 

禁用修复(或 HTTP 请求重定向)) 

• Disable IPS Quarantine(禁用 IPS 隔离)‑ 当您选择该选项时,修复功能将自动被禁用。 

b Enabling HTTP traffic redirection(启用 HTTP 流量重定向):当您启用该配置时,来自该主机的 HTTP 流量将被 

重定向到 Remediation Portal。有关详细信息,请参阅“配置 Remediation Portal”。 

7 在“Quarantine NAZ(隔离 NAZ)”中选择所需的网络访问区域定义。 

8 在“Release Logic(释放逻辑)”中,选择以下 2 个选项中的任一个 

表 3-5 

选项描述 

“Automatic Release After a Specific Amount of Time(在指定时间段后自动释 

放)” 

允许您在指定时间段后释放隔离。 

“Keep in Quarantine Until Explicit Released(保持隔离直到明确释放)” 允许您隔离主机而不指定时间段。 

9 设置“Release After(在指定时间段后释放)”,该设置表示将主机隔离的时间间隔。默认值为 5 分钟。 

只有在选择“Automatic Release After a Specific Amount of Time(在指定时间段后自动释放)”选项后,才会显示 

“Release After(在指定时间段后释放)”。 

10 选择“Next(下一步)”转至 IPS 隔离配置向导的下一页。 

此时将显示“NAC Exclusions(NAC 排除项)”页。 




3 



11 输入不想针对其实施 NAC 的主机/网络。有关详细信息,请参阅“McAfee Network Security Platform NAC 管理手册” 

中的“NAC 排除项”。 

12 要保存 IPS 隔离配置,请选择“Finish(完成)”。向导将显示一条消息,说明 Sensor 需要进行更新。如果您希望更 

新 Sensor,请选择所需的选项。 

管理域的 IPS 隔离配置摘要 

您可以从“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)” | “Summary(摘要)”中查看管理域的 IPS 隔离配置 

摘要。这是在选择“IPS Settings(IPS 设置)” | “IPS Quarantine(IPS 隔离)”时所显示的默认页。 

您可以从“Summary(摘要)”页中查看以下配置详细信息: 

• 网络对象的 IPS 隔离配置 

• 网络访问区的 IPS 隔离配置 

• Syslog 转发配置 

• Remediation Portal 配置 

• IPS 设置(使用 IPS 隔离配置向导(包括 NAC Exclusions(NAC 排除项))来显示配置) 


从实时 Threat Analyzer 中,可以添加要进行 IPS 隔离的主机并查看主机的 IPS 隔离摘要。 

Threat Analyzer 中提供了以下 IPS 隔离选项: 

• 从“Alerts(警报)”页添加要进行 IPS 隔离的主机 

• 从“Alert Details(警报详细信息)”中隔离主机 

• “Hosts(主机)”页中的隔离选项 

• IPS 隔离摘要 

如果来源 IP 位于代理服务器之后,则代理服务器 IP 将被隔离。因此,所有流经代理服务器的流量都将被隔离。 

从“警报”页添加要进行 IPS 隔离的主机 

您还可以从 Threat Analyzer 中的“Alerts(警报)”页中所显示的警报列表隔离主机。 

任务 

1 从 Manager 启动“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 选择“Alerts(警报)”。 

此时将显示“All Alerts(全部警报)”选项卡,其中包含了所有警报的列表。 

3 选择要隔离的警报(主机)。右键单击该警报。 

4 选择“Add to Quarantine(添加到隔离)”。将显示以下选项: 

• “15 Minutes(15 分钟)” 



• “1 Hour(1 小时)” 

• “Until Explicitly Released(直到明确释放)” 


您可以针对“Quarantine Duration(隔离持续时间)”选择将主机隔离以上时间长度。例如,可以将主机隔离 15 分钟。 

图 3-165 从“警报”页添加要进行 IPS 隔离的主机 

将显示一个弹出窗口,让您确认是否要隔离所选主机(IP 地址)。 

5 如果该主机被添加到隔离主机列表中,则会显示一条消息,说明隔离成功。如果该主机已被隔离,则会显示一条消 

息,说明该主机的 IP 已存在于隔离主机列表中。 

从“警报详细信息”中隔离主机 

您可以从警报详细信息中添加要隔离的主机。 

要从“Alert Details(警报详细信息)”视图中添加要隔离的主机,请执行以下操作: 

任务 

1 从“Manager”主页启动“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 选择“Alerts(警报)”。此时将显示“All Alerts(全部警报)”选项卡,其中包含了所有警报的列表。 

3 选择警报(主机)并右键单击该警报。 




3 



4 选择“Show Details(显示详细信息)”。此时将显示“Alert Details(警报详细信息)”。 

图 3-166 从“Alert Details(警报详细信息)”中隔离 

5 单击“Add Source to IP or IPS Quarantine(将来源添加到 IP 隔离或 IPS 隔离)”。 

6 选择“Quarantine(隔离)”。 

此时将显示“Quarantine(隔离)”窗口。在这里,您可以查看该 Sensor 的当前可用的隔离规则。 

图 3-167 Sensor 的隔离主机 

以下字段显示在以上窗口的隔离规则列表中。 

表 3-6 


Src IP Address(来源 IP 

地址) 

Filter End Time(过滤器结 

束时间) 

希望隔离的主机的来源 IP 地址。 

此字段代表隔离规则的过滤器结束时间的当前值。“Filter End Time(过滤器结束时间)” 

的当前值是在 Manager 中配置的隔离持续时间与当前时钟时间的组合。 


表 3-6 (续) 


Host Type(主机类型) 对于基于 McAfee NAC 响应的隔离和修复,“Host Type(主机类型)”字段至关重要。此 

字段可以是“Managed Host(托管主机)”或“UnManaged Host(非托管主机)”,也可以 

是“Not Applicable(不适用)”。 

Action Status(操作状态) “Action Status(操作状态)”字段代表 Sensor 对引用攻击的响应操作的状态。此状态可 

以为“Quarantine(隔离)”或“Remediation(修复)”。 

7 在“Quarantine(隔离)”窗口中,输入要在“Quarantine Host(隔离主机)”窗口中隔离的主机的 IP 地址。它可以为 

IPv4 地址或 IPv6 地址。 

对于每个 Sensor 来说,对于 IPv4 地址,最多可以有 1000 条 IPS 隔离规则,而对于 IPv6 地址,最多可以有 500 

条 IPS 隔离规则。 

8 您可以根据需要更改“Quarantine Duration(隔离持续时间)”。 

9 单击“Add to IPS Quarantine(添加到 IPS 隔离)”。规则显示在“Quarantine(隔离)”窗口中。 

10 在此处创建的隔离规则反映在“Hosts(主机)”选项卡中。 

11 要关闭“Quarantine(隔离)”窗口,请单击“Close(关闭)”。 

主机页中的 IPS 隔离选项 

Threat Analyzer 中的“Hosts(主机)”页提供两个 IPS 隔离选项: 

1 扩展 IPS 隔离区 

2 Release from IPS Quarantine(从 IPS 隔离中释放) 

要为已隔离的主机选择上述选项,请执行以下操作: 

任务 

1 在 Threat Analyzer 中,选择“Hosts(主机)”页。 

2 选择要在其中使用隔离选项的主机,然后右键单击它。 

图 3-168 “Hosts(主机)”页中的 IPS 隔离设置 

将显示以下 IPS 隔离选项: 

• “Add to IPS Quarantine(添加到 IPS 隔离中)”‑ 添加警报所源自的主机 

• “Extend IPS Quarantine(扩展 IPS 隔离)”‑ 延长主机的隔离时间(隔离持续时间)。将显示以下选项: 

• “15 Minutes(15 分钟)” • “1 Hour(1 小时)” 

• “30 Minutes(30 分钟)” • “Until Explicitly Released(直到明确释放)” 





3 




您可以选择将主机的隔离持续时间延长以上时间长度。例如,可以将主机的 IPS 隔离时间再延长 15 分钟。 

• “Release from IPS Quarantine(从 IPS 隔离释放)”‑ 从 IPS 隔离中删除主机。当您选择该选项时,会显示一条消 

息,让您确认是否要将该主机从 IPS 隔离中释放。选择所需的选项。 

IPS 隔离摘要 

在 Threat Analyzer 中,可以从“Dashboards(信息显示板)”页中查看处于 IPS 隔离状态的主机的摘要。 

当您打开“Real‑time Threat Analyzer(实时 Threat Analyzer)”时,会在 Threat Analyzer 窗口中“IPS”选项卡的左上角中 

显示“IPS Quarantine Summary(IPS 隔离摘要)”。 

“IPS Quarantine Summary(IPS 隔离摘要)”以直观方式描写已隔离主机的数目以及未被 Network Security Platform 隔 

离的主机的数目。 

图 3-169 Threat Analyzer 中的 IPS 隔离摘要 

“Archiving(存档)”选项卡中提供的操作允许您按需要或按设置的计划保存来自数据库的警报和数据包日志。 

您还可以在客户端或其他 Manager 上还原已存档的警报和数据包日志。NTBA Appliance 的数据存档过程与 Sensor 的 

数据存档过程相似。 

Sensor 的存档操作在资源树的“IPS Settings(IPS 设置)”节点完成。 

NTBA Appliance 的存档操作在资源树的“NTBA Settings(NTBA 设置)”节点的“Archiving(存档)”选项卡中完成。 

图 3-170 “Archiving(存档)”选项卡 


对警报和数据包日志进行存档 

可通过“Now(立即)”操作按需将警报和数据包日志存档在文件中,以备将来还原之用。这一过程从数据库中读出指定时 

间内的警报和数据包并将其写入 zip 文件中。 

请定期存档警报和数据包日志。我们建议您按照每月存档您的警报数据,每 90 天丢弃警报和数据包日志信息的频率管理 

您的数据库大小。单个存档文件的大小限制为 4 GB。 

存档的文件保存在本地 Manager 上,并能导出到客户端。 

按照以下过程可对当前的警报和数据包日志进行保存和存档: 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Archiving(存档)” | “Now(立即)”(对于“NTBA Appliance”,请选 

择“”/“NTBA Settings(NTBA 设置)” | “Archiving(存档)” | “Now(立即)”)。 

随即会显示“Archive Now(立即存档)”页。 

图 3-171 “Archive Now(立即存档)”页 

2 在“Time Range(时间范围)”中选择以下任一时间范围: 


数据存档选项 3 

• “A Single Day (yyyy/mm/dd)(一天 (yyyy/mm/dd))”— 选择某一天(采用“yyyy/mm/dd”格式)的警报和数据包日 

志。默认值为 Manager 系统日期。 

• “Within a specific period (yyyy/mm/dd hh:mm:ss)(特定时间段内(yyyy/mm/dd hh:mm:ss))”— 选择介于开始日期 

和结束日期(采用“yyyy/mm/dd hh:mm:ss”格式)之间的警报和数据包日志。默认的“Begin Date(开始日期)”为 

最早检测到警报的时间,默认的“End Date(结束日期)”为 Manager 系统时间。 

• “In the past(过去)”— 选择相对于当前时间的一个已过去的时间点内的警报。过去的时间可以是数月前、数周 

前、数天前(默认值)或数小时前。选择报告时间范围的结束时间 (“yyyy/mm/dd hh:mm:ss”)(默认时间为 

Manager 系统时间)。 


3 



3 单击“Archive(存档)”。 

存档过程完成后,文件将会保存到 \alertarchival 中 

这些文件也会出现在“Existing Archives(现有的存档)”页中。 

图 3-172 “Existing Archives(现有的存档)”页 

您可以单击“Existing Archives(现有的存档)”页中列出的存档文件,来查看“Archived File Info(存档文件信息)”页中 

的详细信息。 

图 3-173 “Archived File Info(存档文件信息)”页 

4 (可选)选择“Existing Archives(现有的存档)”页中的某个已存档的文件,然后单击“Export(导出)”,将该文件从 

Manager 下载到客户端。 

计划自动存档 

您可以将导出的文件导入至另一个 Manager(如测试 Manager)。 

您可以通过“Automation(自动)”操作设置警报和数据包日志的自动存档计划。 

根据您选择的频率,计划存档过程每天、每周或每月存档警报和数据包日志。 


如果选择“Weekly(每周)”,并从下拉列表中选择一周中的某一天,则会从所选日的上一周开始存档。例如,如果选择 

“Weekly(每周)”并选择“Sunday(周日)”作为一周中的存档日,则会存档自上个周日到本周六的日志。 

如果选择“Monthly(每月)”且存档频率为每月的第一天,则会存档上个月的日志。 

如果选择“Daily(每天)”,则会从前 2 天开始存档 00:00:00 到 23.59.59 的日志。例如,如果在 9 月 3 日将“Scheduler 

(计划程序)”设置为“Daily(每天)”,则会存档 9 月 1 日以后的日志。 

在计划存档时,请设置在不执行其他计划功能(备份、数据调整)的时间内执行。计划的时间应与其他计划操作的时间相 

距至少一个小时。 

按照以下步骤计划存档流程: 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Archiving(存档)” | “Automation(自动)”(对于 NTBA Appliance, 

则选择“/” | “NTBA Settings(NTBA 设置)” | “Archiving(存档)” | “Automation(自动)”)。 

随即会显示“Archive Scheduler(存档计划程序)”页。 

图 3-174 “Archive Scheduler(存档计划程序)”页 

2 对“Enable Automatic Downloading(启用自动下载)”选择“Yes(是)”选项,以启动计划过程。 

3 针对“Frequency(频率)”从下列值中任选一个: 

• “Daily(每日)” 

• “Weekly(每周)”‑(选择一周中的某一天) 

• “Monthly(每月)” 

• “Start Time(开始时间)”‑ 小时:分钟(24 小时制) 

4 单击“Save(保存)”。每次该进程运行后,完成的文档都将保存到: 

\alertarchival。 

5 可选: 



• 单击“Refresh(刷新)”以重置为上一次应用的设置。如果您已进行某些更改,但忘记了上次的设置,则可使用这 

一功能。 

• 单击“View Scheduler Detail(查看计划程序详细信息)”以查看所有计划进程(包括备份、数据库维护和文件维护 

操作)的当前设置。 


3 



如何查看计划的操作 

“Scheduler Details(计划程序详细信息)”操作允许您查看“Archival Scheduler(存档计划程序)”以及 Manager 内的其他 

可配置计划程序的设置。 

图 3-175 “Scheduler Details(计划程序详细信息)”页 

还原存档 

您可以通过“Restore(还原)”操作将存档的“警报和数据包日志文件”还原到 Manager 中。将存档还原到目标 Manager 

时,必须将存档复制到目标 Manager 或可以由该 Manager 访问的网络目录。您还可以通过“Restore(还原)”功能过滤 

存档中的警报。 

按照以下步骤还原存档: 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Archiving(存档)” | “Restore(还原)”(对于 NTBA Appliance,则 

选择“/” | “NTBA Settings(NTBA 设置)” | “Archiving(存档)” | “Restore(还原)”)。 

此时会出现“Restore(还原)”页,其中包含“Restore Archives(还原存档)”选项和“Existing Archives(现有存档)”列 

表。 

图 3-176 “Restore(还原)”页 



a 单击“Browse(浏览)”以找到存档,或键入存档文件的绝对路径名,然后单击“Restore(还原)”。 

b 选择“Existing Archives(现有存档)”下方列出的一个存档,然后单击“Restore(还原)”。 

此时将显示“Restore Filter(还原过滤器)”页。 

图 3-177 “Restore Filter(还原过滤器)”页 

3 按以下参数过滤警报: 

• “Severity(严重性)”‑ 选择要保留的一种或多种严重性。 

• “Result Status(结果状态)”‑ 选择要保留的一种或多种结果。 

• “Start Date(开始日期)”‑ 仅保留自指定日期起的警报和数据包日志。 

• “End Date(结束日期)”‑ 仅保留指定日期之前的警报和数据包日志。 

4 单击“Restore(还原)”。 

任务 

单击“Restore All(还原全部)”以不经任何过滤还原所有警报。 

如果应用过滤,则 Manager 一次只允许还原 300000 个警报。如果存档中包含 300000 个以上的警报,则您需要多次 

执行还原操作。例如,如果应用过滤参数之后存档仍包含 750000 个符合参数的警报,则需要执行三次存档:1) 

300000 2) 300000 3) 150000。 

• 从 Manager 中删除存档第 213 页 

从 Manager 中删除存档 

按照以下步骤可从 Manager 中删除存档: 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Archiving(存档)” | “Restore(还原)”(对于 NTBA Appliance,则 

选择“/NTBA Settings(NTBA 设置)” | “Archiving(存档)” | “Restore(还原)”)。 

2 在页面中向下滚动至“Existing Archives(现有的存档)”。 

3 选择一个存档并单击“Delete(删除)”。 

4 单击“OK(确定)”以确认删除。 

导出存档 

您可以通过“Export(导出)”操作将存档从 Manager 导出到客户端或客户端可以访问的某个位置。您可以将导出的存档 

导入(即还原)至另一个 Manager(如测试用 Manager)。 

按照以下步骤可导出存档: 




3 



任务 

1 选择“/IPS Settings(IPS 设置)” | “Archiving(存档)” | “Export(导出)”(对于 NTBA Appliance,则 

选择“/NTBA Settings(NTBA 设置)” | “Archiving(存档)” | “Export(导出)”)。 

此时将显示“Export Archives(导出存档)”页。 

2 从列表中选择要导出的存档。 

3 单击“Export(导出)”。 

即会显示客户端计算机的“File Download(文件下载)”弹出页。 

4 单击“Save(保存)”以将文件保存到客户端计算机的某个位置。 

使用 dbadmin.bat 来存档警报 

您可以通过 Network Security Platform 用户界面或独立数据库管理工具来存档警报和数据包日志。但是,您可以使用数 

据库管理工具避免对 Manager 服务器施加额外工作负荷。已存档数据存储在 zip 文件中,该文件位于 \App\alertarchival。请注意,对以下表中的数据单独存档: 

• iv_alert 

• iv_alert_data 

• iv_packetlog 

使用独立的数据库管理工具存档警报和数据包日志: 

任务 

1 导航到 \App\bin。 

2 执行“dbadmin.bat”文件。即打开该独立工具。 

3 选择“Archival(存档)” | “Alert Archival(警报存档)”。 

图 3-178 数据库管理工具 ‑ 警报存档设置 


4 通过以下两种方式指定要将数据存档的时间段:使用“Day Picker(日期选择器)”或指定开始日期和时间以及结束日 

期和时间。 

5 单击“Archive(存档)”。此时会出现“Archive Confirmation(存档确认)”对话框。单击“Yes(是)”。 

该进程完成后,已存档的文件将保存到 \App\alertarchival。当您使用此工具 

或 Manager 还原文件时,该文件也会在表中列出。 

使用 dbadmin.bat 来还原警报 

您可以使用 Network Security Platform 用户界面或独立数据库管理工具来还原已存档的警报和数据包日志。但是,您可 

以使用数据库管理工具避免对 Manager 施加额外工作负荷。 

要还原数据,已存档的数据必须位于 Manager 服务器或可以由 Manager 服务器访问的计算机。您还可以过滤已存档文 

件中的数据,并且只还原过滤后的数据。假定一个已存档的文件中包含在 1 月 1 日和 10 日之间生成的数据,您就可以 

从已存档文件中过滤 1 月 1 日和 5 日之间生成的数据,且仅还原此数据。 

使用独立的数据库管理工具还原警报和数据包日志: 

任务 

1 导航到 \App\bin。 

2 执行“dbadmin.bat”文件。即打开该独立工具。 

3 选择“Archival(存档)” | “Alert Restore(警报还原)”。 

图 3-179 数据库管理工具 ‑ 存档警报还原选项卡 




3 



4 请执行以下操作: 

a 单击“Browse(浏览)”以找到存档,或键入存档文件的绝对路径名。 

b 从“List of Archived Files(已存档文件列表)”中选择已存档文件,然后单击“Restore(还原)”。 

\alertarchival中的已存档数据在“List of Archived Files(已存档文件列表)” 

下列出。 

5 通过指定开始日期和时间及结束日期和时间来过滤已存档文件中的数据。只从已存档文件中还原在此时间范围内生 

成的那些警报和数据包日志。 

此窗口中默认显示的开始日期和时间及结束日期和时间表示您选择要还原的已存档数据的时间范围。因此,如果选择 

默认日期和时间,则会还原已存档文件中的所有数据。 

6 单击“Restore(还原)”。 

7 输入您的数据库用户名和密码以完成还原过程。 


如果应用过滤,则 Manager 服务器一次只允许还原 300000 个警报。如果存档中包含 300000 个以上的警报,并且已 

设置了过滤参数,则您将需要多次执行还原操作。例如,如果应用过滤参数之后存档仍包含 750000 个符合参数的警 

报,则需要执行三次存档:1) 300000 2) 300000 3) 150000。 

“IPS Settings(IPS 设置)”下的“Maintenance(维护)”选项卡含有以下操作: 

• 查看容量规划:显示信息以帮助您按周或按月跟踪数据库空间使用的历史趋势。 

• 管理警报数据清除:管理和分配 Manager 数据库中用于存储警报的磁盘空间。 

• ManagerPruning:不重新启动 Manager 而清除攻击和策略缓存。 

图 3-180 “IPS Settings(IPS 设置)”下的“Maintenance(维护)”选项卡 

容量规划 

每种网络的体系结构都略有差异,所以每种部署都是独一无二的。您在部署网络 IPS 时要计划数据库容量,须考虑以下 

因素: 

• “Aggregate Alert and Packet Log Volume From All Sensors(来自所有 Sensor 的警报和数据包日志的合计量)”:您 

的网络内的这个合计量是多少?如果量比较大,就需增加存储容量。 

• “Lifetime of Alert And Packet Log Data(警报和数据包日志数据的生命周期)”:警报需要存档多久?长期维护数据(如 

一年)将需要额外的存储容量以保存所有旧数据和新数据。 

以下各小节提供的信息非常有用,可帮助您确定数据库中警报和数据包日志所需的容量。 


容量规划 

Manager 中的“Capacity Planing(容量规划)”操作显示信息以帮助您按周或按月跟踪数据库空间使用的历史趋势,以及 

向数据库插入数据的速率。通过分析数据库和硬件上的负载因子的趋势,可以设置在任意给定时间您希望存储的历史数 

据量的阈值。 

图 3-181 容量规划详细信息 

Manager 从基础数据库中检索并显示以下数据: 

• Date and Time for the Oldest Alert(最旧警报的日期和时间):显示日期和时间 

• Total counts for(以下内容的总计数目) 

• Alerts(警报) 

• Packet logs(数据包日志) 

• Average Size of(平均大小) 



• Total Disk Space Used(总计已用磁盘空间) 



• Daily Alert Rate(每日警报速率) 

• Past 7 days(过去的 7 天) 


• 每日警报和数据包日志磁盘使用情况 



通过检索并显示这些数据,有助于及时采取行动,以避免因存储限制或数据量过大导致性能下降。 

警报和数据包日志大小 


如何维护 Manager 数据库 3 

警报频率是计划数据库容量时要考虑的第一个因素。这与数据包日志频率是互相独立的,因为默认情况下,并不是每个 

警报都带有数据包日志(默认情况下,只有基于 TCP 的攻击和 UDP 的攻击才会生成数据包日志;您必须为所有其他利 

用漏洞攻击手动设置数据包日志记录)。 


3 



为帮助您计划所需的容量,我们从实验室和实时环境测试中(基于 30000000 个警报)确定了以下统计数据: 

• 无数据包日志的警报 = 200 字节(平均) 

• 含数据包日志的警报 = 650 字节(平均) 

数据库中还必须分配用于数据包日志的空间。生成日志的频率通常小于生成警报的频率,但是数据包日志通常比警报大。 

数据包日志的平均大小大约为 450 字节(基于 30000000 条日志)。 

确定平均警报率 - 每周 

根据警报和数据包日志量确定所需数据库容量时,一个较好的参考值就是算出每周的平均警报率,然后乘以较长的时间 

范围,如 12 周、一年(52 周)等。为此,以一周的时间范围生成一个“Executive Summary Report(执行摘要报告)”。 

任务 

1 单击 Manager 主页中的“Reports(报告)”。 

2 选择“Executive Summary Report(执行摘要报告)”。 

3 填写以下字段确定一周内的平均警报率: 

• “Admin Domain(管理域)”:选择根管理域(默认值)。 

• “Sensor”:选择“ALL SENSORS(全部 Sensor)”(默认值,如果有多个 Sensor)。 

• “Alert Severity(警报严重性)”:确保选中全部三个严重性级别(“Low(低)”、“Medium(中)”和“High(高)”)。 

全部选中这三个选项后,“Informational(信息)”警报也会包括在内。 

• “Alert State(警报状态)”:选择“View All Alerts(查看全部警报)”。将包括指定时间范围内所有已确认和未确认 

的警报。 

• “Time Range(时间范围)”:选择“Select alerts in the past: 1 Week(s)(选择过去的警报: 1 周)”。您无需调整 

“Ending(截至)”时间字段。 

• “Get summary of(获取摘要)”:您不必调整此字段。 

• “Report Format(报告格式)”:从以下选项选择报告信息的显示格式:“HTML”、“PDF ”和“Save as CSV(另存 

为 CSV)”。 

4 设置好以上全部字段后,单击“Run Report(运行报告)”。 

此报告采用演示样式的格式(即表和彩色饼图)显示您的警报数据。第一个饼图详细提供“Total Alerts Per Sensor(每 

个 Sensor 的警报总数)”。只需累加每个 Sensor 的警报总数就可确定一周的警报总量。 


数据库大小要求 

我们根据无数据包日志警报的平均大小提供了以下图形和表,以帮助您确定存储一年的警报数据所需的数据库大小,此 

大小是根据 Network Security Sensor 在一周内生成的警报数算出的。 

相对而言,每周生成 10000 个警报为低,每周 1000000 个警报则为高。如果您每周生成 1000000 个警报,建议您检查所 

应用的 Network Security Platform 策略,确定所应用的策略是否完全符合您所保护的网络环境。 

以下图表中的估计大小是根据有关联数据包日志的警报和无关联数据包日志的警报计算的。因此,对警报数据的大小估计 

同时以实验室环境和真实环境为基础。 

图 3-182 数据库大小调整 ‑ 图形视图 

警报/周数据库大小(1 年)(GB) 

10,000 0.3 

50,000 1.7 

100,000 3.3 

200,000 6.7 

500,000 16.7 

1,000,000 33.4 

30,000,000 1002 

数据库警报阈值 - 达到容量 

默认情况下,Manager 根据预定义的 30000000 个警报限制确定警报容量。达到此容量的一定百分比后,即会触发系统 

故障,提醒您达到阈值。达到容量的 50%、70% 和 90% 会触发不同的系统故障,以通知您已经接近 30000000 个警报 

的阈值。您可以打开 Manager 的系统配置界面查看和配置该阈值,方法是在资源树中选择“Manager”资源,单击 

“Maintenance(维护)”选项卡,然后单击“Alert Data Pruning(警报数据清除)”操作。这在配置步骤中显示为“IPS Settings 

(IPS 设置)” | “Maintenance(维护)” | “Alert Data Pruning(警报数据清除)”。 

此阈值只用于计划容量,不会重新配置您的数据库大小。 

如果从 4.1 版升级到更高版本,则保留以前设置的警报容量阈值。 




3 



警报数据清除 

“Alert Data Pruning(警报数据清除)”操作可以管理 Network Security Sensor 生成的警报所需的数据库空间。警报数据 

清除是一项重要而长期的任务,因为它对优化 Manager 和数据库的性能很有意义。如果数据库的增长不受控制,使存 

储的警报数据达数百万之多,就会使警报 Threat Analyzer 或报告的分析任务变得非常缓慢。 

Manager 的预定义警报容量为 30,000,000 个警报。这意味着 Manager 在数据库接近 30,000,000 个限额的 50%、 

70%、90% 和 100% 时,会生成系统故障消息。此值仅作容量规划之用,对数据库不产生实际的限制。您可以自定义此 

限制以恰当地管理容量需求。 

McAfee 建议定期删除警报和其他系统生成文件,以腾出更多的磁盘空间。有关详细信息,请参阅“McAfee Network 

Security Platform Manager 管理手册”中的“设置文件清除计划”。 

图 3-183 警报数据清除 

要计划 Manager 数据库容量,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Maintenance(维护)” | “Alert Data Pruning(警报数据清除)”。 

• 如果您希望计划进行维护的时间,请设置时间(“Start Time:(起始时间:)”,以小时和分钟为单位)。 

• “Enable Pruning(启用清除)”:选择“Yes(是)”可删除数据库中生成日期早于“Maximum Alert Age(最大警报寿 

命)”字段所设天数的所有警报和数据包日志。 

对于警报和数据包日志数据,McAfee 强烈建议在“Maximum Alert Age(最大警报寿命)”中输入较大的值(如 90 

天,因此 90 天为默认值)。您可能需要使用数据库中的信息执行长期分析,因此,例如,在 10 天内删除警报 

和数据包日志可能会造成破坏性后果。 

计划维护将删除生成时间早于“Retain Alerts by Max number of days(保留警报的最大天数)”字段中所设天数的所 

有警报,或删除超过“Max Alert Quantity(最大警报数量)”字段所设警报数目的所有警报。这可帮助您根据警报阈 

值数目自动清理数据库。 

在根据留存天数删除警报和数据包日志之后,如果警报的数目仍然超过设置的阈值,Manager 会开始删除所有旧 

警报,直到警报数目低于“Max Alert Quantity(最大警报数量)”值。 

2 对于“Max Alert Quantity(最大警报数量)”,可以执行以下任一操作: 

• 要分配更多用于计算的磁盘空间,键入大于 30,000,000(三千万)的数字。 

• 要减少用于计算的磁盘空间,键入小于 30,000,000 的数字。 

• 要计算磁盘空间容量,请单击“Calculate(计算)”。该计算器的某些字段与确定维护警报和数据包日志所需数据 

库分配空间有关。 

在“Calculate Maximum Alert Quantity(计算最大警报数量)”窗口中执行以下操作。 

a 在“Desired Disk Space Allocation(所需的磁盘空间分配)”中键入分配给数据库的千兆字节数。 

b (可选)在“Approx Packet Log Size(数据包日志大致大小)”中键入数据库中每个数据包日志的大致大小。 

c 输入“Maximum Alert Quantity(最大警报数量)”。 


d 单击“Calculate(计算)”。数据库可以维护的警报数目显示在“# of Alerts(警报数目)”字段。 

e (可选)单击“Clear(清除)”开始新的计算。 

图 3-184 警报计算器 

3 键入可以删除的警报的寿命(“Maximum Alert Quantity(最大警报数量)”)。 


任务 

• 单击“Save(保存)”以保存更改。 

• 单击“Refresh(刷新)”返回原先保存的值并放弃当前任何更改。 

• 使用 purge.bat 删除数据库中的警报和数据包日志第 221 页 

使用 purge.bat 删除数据库中的警报和数据包日志 

除了使用“Alert Pruning(警报清除)”操作删除警报和数据包日志以外,还可以使用“purge.bat”来删除这些文件。要采用 

这种方法,请执行以下操作: 

任务 

1 停止 Manager 服务。 


• 打开 Network Security Platform 安装文件夹并运行 “purge.bat”:\App\bin 

\purge.bat 

• 打开 DOS 命令提示符对话框,并键入以下字符:\App\bin\purge.bat 

3 回答以下问题: 

a Is the Manager Down or Off‑Line (Y/N)?(Manager 是否关闭或脱机(是/否)?) 

在使用“purge.bat”之前,必须先禁用 Manager 服务。如果没有禁用该服务,则清除操作不会继续进行。 

b Do You Wish To Perform DB Tuning After The Purge Operation (Y/N)?(您是否希望在清除操作后执行数据库优 

化(是/否)?) 

您可以单独执行数据库优化和清除操作。 




3 



警报和数据包日志数据警报 

a 输入“Number of days of Alerts and Packet Log data to be preserved(要将警报和数据包日志数据保留的天 

数)”。例如,要删除 90 天前的警报/数据包日志,请键入 90。 

b 输入“Number of Alerts to be preserved(要保留的警报数)”。 

c You Are About To Delete Alerts And PacketLog Data Older Than X Days(您将要删除 X 天之前的警报和数据包 

日志数据)。键入“Y”继续操作。 

d Do You Wish To Purge Alerts / Packet Logs That Have Been 'Marked For Delete' Through The Attack Manager? 

(您是否希望删除已通过攻击管理器“标记为删除”的警报/数据包日志?)键入“Y”继续操作。 

主机事件数据 

a Number of days of Host Event data to be preserved(要将主机事件数据保留的天数)。 

b Number of Host Entries to be preserved(要保留的主机条目数)。描述可以保留的 NAC 主机条目数。 

c You Are About To Delete Host Event Data Older Than X Days(您将要删除 X 天之前的主机事件数据)。键入 

“Y”继续操作。 

d If The Number of Remaining Hosts Is Still More Than XXX, Deletion Will Be Continued Until It Reaches XXX(如 

果剩余主机的数量仍大于 XXX,则将继续删除,直到其数量达到 XXX 为止)。键入“Y”继续操作。 

e Do You Wish To Purge Performance Monitoring Data [Y/N](是否要清除性能监控数据 [是/否])。键入“Y”继续操 

作。 

Sensor 性能数据 

a Number of days of Raw performance data to be preserved(要将原始性能数据保留的天数)。 

b Number of days of Hourly performance data to be preserved(要将每小时性能数据保留的天数)。 

c Number of days of Daily performance data to be preserved(要将每天性能数据保留的天数)。 

d Number of weeks of weekly performance data to be preserved(要将每周性能数据保留的周数)。 

e Number of months of monthly performance data to be preserved(要将每月性能数据保留的月数)。 

f You Are About To Delete Raw Performance Data Older Than X Days, Hourly Data Older than X Days, Daily 

Data Older than X Days, Weekly Data Older Than X Weeks, Monthly Data Older Than X Months.Are you sure 

you want to proceed (y/n):(您将删除 X 天前的原始性能数据、X 天前的每小时数据、X 天前的每天数据、X 周前 

的每周数据、X 月前的每月数据。是否要继续(是/否):)键入“Y”进行删除。 

a 完成之后,重新启动 Manager 服务。 

MySQL 数据库的数据包数据库表索引 

为了尽可能提高 MySQL 数据库的效率,我们建议您使用下面的 SQL 命令来为 MySQL 数据库中的 iv_packetlog 表建立 

索引。这会改进警报和数据包日志删除期间的性能,并缩短在执行数据库清除任务时使系统处于脱机状态的时间长度。 

请注意,索引建立过程非常耗时,您的系统可能会在索引建立期间无法正常工作。 

从 MySQL 命令行发出以下 SQL 命令: alter table iv_packetlog add index (creationTime); 

Manager 缓存 

将“Manager Cache(Manager 缓存)”操作(“IPS Settings(IPS 设置)” | “Maintenance(维护)” | “Manager Cache 

(Manager 缓存)”)可以在不关闭和重新启动 Manager 的情况下清除攻击和策略缓存。策略缓存可能由于服务器错误、 

数据库错误或客户端/服务器通信错误而无法与数据库同步。清除缓存之后,可能需要花几分钟来打开“IPS Policies 

(IPS 策略)”中的策略,因为必须重新缓存已应用的策略。 


“Manager Cache(Manager 缓存)”窗口将显示以下信息: 

• “Cached Attack Definitions(已缓存的攻击定义)”:Manager 缓存中存储的攻击数。 

• “Cached IPS Policies(已缓存的 IPS 策略)”:Manager 缓存中的策略数。 

• “IPS Policy Names(IPS 策略名称)”:Manager 缓存中策略的名称。 

• “Cached Reconnaissance Policies(已缓存的侦测策略数)”:Manager 缓存中的侦测策略数。 

• “Reconnaissance Policy Names(侦测策略名称)”:Manager 缓存中侦测策略的名称。 

要清除 Manager 缓存,请执行以下操作: 

任务 


1 选择“IPS Settings(IPS 设置)” | “Maintenance(维护)” | “Manager Cache(Manager 缓存)”。 

2 单击“Clear Caches(清除缓存)”。 

您的 Manager 可以向第三方计算机(如 SNMP 服务器和 Syslog 服务器)发送警报信息。 

您还可以基于攻击或攻击严重性来配置 Manager,以通过电子邮件、寻呼机或脚本通知您已检测到的攻击。 

Sensor 的警报通知在“IPS Settings(IPS 设置)”节点的“Alert Notification(警报通知)”选项卡中设置。 

图 3-185 “Alert Notification(警报通知)”选项卡 ‑“IPS Settings(IPS 设置)”节点 

NTBA Appliance 的警报通知”在“NTBA Settings(NTBA 设置)”节点的“Alert Notification(警报通知)”选项卡中设置。 

另请参阅 

配置利用漏洞攻击通知第 94 页 


警报通知选项 3 


3 



如何查看警报通知详细信息 

“Alert Notification(警报通知)” | “Summary(摘要)”操作显示所配置警报通知设置的摘要。该摘要反映了在“Alert 

Notification(警报通知)”组操作中所做的配置。 

图 3-186 警报通知详细信息 

将警报转发给 SNMP 服务器 

您可以对接收有关 Sensor 或 NTBA Appliance 警报信息的 SNMP 服务器进行配置。 

您可以配置多个 SNMP 服务器。“SNMP”选项卡中的“SNMP Servers(SNMP 服务器)”列表显示已配置的 SNMP 服务 

器。 

按照以下步骤可将 SNMP 服务器配置为接收来自 Manager 的警报: 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Alert Notification(警报通知)” | “SNMP”(对于 NTBA Appliance, 

则选择“/NTBA Settings(NTBA 设置)” | “Alert Notification(警报通知)” | “SNMP”)。 

即会显示“SNMP”选项卡,其中显示“Enable SNMP Notification(启用 SNMP 通知)”选项和已配置的“SNMP Servers 

(SNMP 服务器)”列表。 

图 3-187 “SNMP”选项卡 

2 针对“Enable SNMP Notification(针对 SNMP 通知)”选择“Yes(是)”,然后单击“Save(保存)”。 



“SNMP”页即会显示出来。 

图 3-188 “IPS Settings(IPS 设置)”的“SNMP”页 

图 3-189 “NTBA Settings(NTBA 设置)”的“SNMP”页 

4 配置以下选项: 

表 3-7 SNMP ‑ 配置选项 

字段描述 

“Admin Domain(管理域)” “Current(当前)”‑ 选择此字段,即可发送当前域中的警报通知;此字段对当前 

域始终启用。 

“Children(子)”‑选择此字段即可包括当前域的所有子域的警报 

(不适用于 NTBA Appliance)。 

“IP Address(IP 地址)” 目标 SNMP 服务器的 IP 地址。它可以为 IPv4 地址或 IPv6 地址。 

“UDP Port(UDP 端口)” 目标服务器的 SNMP 监听端口。 



“SNMP Version(SNMP 版本)” 目标 SNMP 服务器上运行的 SNMP 版本。版本选项有“1”、“2c”、“Both 1 and 

2c(1 和 2c)”和“3”。 

“Community String” 输入 SNMP Community String 以保护 Network Security Platform 数据。 

SNMP Community String 对 Management Information Base(管理信息库, 

MIB)对象的访问进行身份验证,并用作内嵌式密码。 


3 



表 3-7 SNMP ‑ 配置选项 (续) 

字段描述 

“Send Notification If(发送通知的 

条件为)” 

“Customize Community(自定义 

Community)” 

对于 Sensor 选择“By attack(按攻击)”,对于 NTBA 选择“The attack 

definition has this notification option explicitly enabled(攻击定义已明确启用了 

此通知选项)”‑ 转发与自定义策略通知设置相匹配的攻击通知,在策略编辑器中 

编辑攻击响应时必须设置这些自定义策略设置。 

对于 Sensor 选择“By Alert filter(按攻击过滤器)”,对于 NTBA 选择“The 

following notification filter is matched(将匹配以下通知过滤器)”‑ 为所有警报发 

送通知,或根据警报的严重性发送通知: 

• “Allow All(全部允许)”‑ 为所有发现的攻击发出警报。 

• “Block All(全部阻止)”‑ 阻止通知。 

• “Severity Informational and above(严重性为信息及更高)”‑ 包括所有警报。 

• “Severity Low and above(严重性为低及更高)”‑ 包括严重性为低、中和高的 

警报。 

• “Severity Medium and above(严重性为中及更高)”‑ 包括严重性为中和高的 

警报。 

• “Severity High(严重性为高)”‑ 只包括严重性为高的警报。 

仅在选择了“SNMP Version(SNMP 版本)” 3 才会显示以下字段。 

“Authoritative Engine ID(权威 

引擎 ID)” 

“Authentication Level(身份验 

证级别)” 

如果网络中有多个 SNMP Community String,则定义一个自定义 SNMP 

Community String。(不适用于 NTBA。) 

用于 SNMP 版本 3 的请求消息的权威(安全)引擎 ID。 

此字段指定了身份验证级别,包含以下几个类别: 

• “No Authorization, No Privileges(无授权、无权限)”‑ 使用用户名匹配进行身 

份验证。 

• “Authorization, No Privileges(有授权、无权限)”‑ 基于 MD5 或 SHA 算法提供 

身份验证。 

• “Authorization, Privileges(有授权、有权限)”‑ 基于 MD5 或 SHA 算法提供身 

份验证。除了身份验证外,还基于 DES 或AES 标准提供加密。 

仅当在“Authentication Level(身份验证)”级别中选择了“Authorization, No Privileges(有授权、无权限)”或 

“Authorization and Privileges(有授权、有权限)”时,才会显示以下字段。 

“Authentication Type(身份验证 

类型)” 

“Authentication Password(身 

份验证密码)” 

用于验证 SNMP 版本 3 消息的身份验证协议(MD5 或SHA)。 

用于验证 SNMP 版本 3 消息的身份验证通行短语。 

“Encryption Type(加密类型)” 用于加密 SNMP 版本 3 消息的隐私协议(DES 或 AES)。 

“Privacy Password(隐私密码)” 用于加密 SNMP 版本 3 消息的隐私密码。 


任务 

该 SNMP 服务器就会添加到“SNMP Servers(SNMP 服务器)”页。 

请不要使用广播 IP 地址(即 255.255.255.255)作为转发警报的目标 SNMP 服务器的 IP 地址。 

• 修改或删除 SNMP 服务器设置第 227 页 


修改或删除 SNMP 服务器设置 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Alert Notification(警报通知)” | “SNMP”(对于 NTBA Appliance, 

请选择“/NTBA Settings(NTBA 设置)” | “Alert Notification(警报通知)” | “SNMP”)。 

此时将显示“SNMP”选项卡,其中包含“Enable SNMP Notification(启用 SNMP 通知)”选项和“SNMP Servers 

(SNMP 服务器)”列表。 

2 从“SNMP Servers(SNMP 服务器)”页中选择已配置的 SNMP 服务器实例。 

3 按照以下操作进行配置: 

a 要编辑这些设置,请单击“Edit(编辑)”,根据需要修改字段,然后单击“Apply(应用)”。 

b 要删除这些设置,请单击“Delete(删除)”,然后单击“OK(确定)”以确认删除。 

将警报转发给 Syslog 服务器 

“/Alert Notification(警报通知)” | “Syslog”(对于 NTBA Appliance,则为“”/“NTBA Settings 

(NTBA 设置)” | “Alert Notification(警报通知)” | “Syslog” 操作可以将 Network Security Platform 警报转发到 Syslog 服 

务器。 

您可以将 Sensor 和 NTBA Appliance 警报转发到 Syslog 服务器 

Syslog 转发可以通过第三方的 Syslog 应用程序查看转发的警报。 

在 Syslog 转发中,根域和父域可以选择包括来自所有可用子域的警报。 

按照以下步骤可针对警报启用 Syslog 转发: 




3 



任务 

1 选择“IPS Settings(IPS 设置)” | “Alert Notification(警报通知)” | “Syslog”(对于 NTBA Appliance,则选择“/NTBA Settings(NTBA 设置)” | “Alert Notification(警报通知)” | “Syslog”)。 

此时会显示“Syslog”页 

图 3-190 “Syslog”页 ‑ IPS 设置 

图 3-191 “Syslog”页 ‑ NTBA 设置 

2 配置以下字段: 


表 3-8 Syslog ‑ 配置选项 

字段描述 

“Enable Syslog 

Notification(启用 

Syslog 通知)” 

“Admin Domain(管理 

域)” 

“Server Name or IP 

Address(服务器名称 

或 IP 地址)” 

“UDP Port(UDP 端 

口)” 

“Yes(是)”为启用;“No(否)”为禁用 

• “Current Admin Domain(当前管理域)”‑ 发送当前域的警报通知。对当前域始终启用。 

• “All Child Domains(所有子管理域)”‑ 包括当前域的所有子域警报。 

(不适用于 NTBA。) 

键入接收警报的 Syslog 服务器的“Host IP address(主机 IP 地址)”或“Host name(主机 

名)”。 

对于“Host IP Address(主机 IP 地址)”,可以输入 IPv4 或 IPv6 地址。 

目标服务器上授权接收 Syslog 消息的端口。 

“Facility(工具)” 标准 Syslog 优先级值。选项说明如下: 

“Severity Mapping(严 

重性映射)” 

• “Security/authorization (code 4)(安全/授权(代 

码 4))” 

• “Security/authorization (code 10)(安全/授权 

(代码 10))” 

• “Local user 2 (local2)(本地用户 2 

(local2))” 


(local3))” 

• “Log audit (note 1)(日志审核(注释 1))” • “Local user 4 (local4)(本地用户 4 

(local4))” 

• “Log alert (note 1)(日志警报(注释 1))” • “Local user 5 (local5)(本地用户 5 

(local5))” 

• “Clock daemon (note 2)(时钟守护程序(注释 

2))” 


(local6))” 

• “Local user 0 (local0)(本地用户 0 (local0))” • “Local user 7 (local7)(本地用户 7 

(local7))” 

• “Local user 1 (local1)(本地用户 1 (local1))” 



您可以将每个严重性(“Informational(信息)”、“Low(低)”、“Medium(中)”或“High 

(高)”)映射到下面列出的标准 Syslog 严重性中的一个: 

• “Emergency(紧急)”‑ 系统不可用 • “Warning(警告)”‑ 警告情况 

• “Alert(警报)”‑ 必须立即采取措施 • “Notice(注意)”‑ 普通但重要的情况 

• “Critical(非常严重)”‑ 非常严重的情况 • “Informational(信息)”‑ 信息性消息 

• “Error(错误)”‑ 错误情况 • “Debug(调试)”‑ 调试级消息 


3 



表 3-8 Syslog ‑ 配置选项 (续) 

字段描述 

“Send Notification If 

(发送通知的条件为)” 

“Notify on IPS 

Quarantine Alert(IPS 

隔离警报通知)”(不适用 

于 NTBA Appliance) 


“The attack definition has this notification option explicitly enabled(攻击定义已明确启用 

了此通知选项)”‑ 为匹配自定义策略通知设置(在策略编辑器中编辑攻击响应时必须设置这 

些自定义策略设置)的攻击发送通知。 

“The following notification filter is matched(将匹配以下通知过滤器)”‑ 根据以下过滤器发 

送通知: 




• “Severity Low and above(严重性为低及更高)”‑ 包括严重性为低、中和高的警报。 

• “Severity Medium and above(严重性为中及更高)”‑ 包括严重性为中和高的警报。 


启用此字段可查看 IPS 隔离警报 

必须先单击“Save(保存)”,才能自定义要发送到 Syslog 服务器的消息的格式。只有在针对“Enable Syslog Notification 

(启用 Syslog 通知)”启用了通知的情况下,自定义选项才可用。 

4 选择“Message Preference(首选消息)”以自定义要发送到 Syslog 服务器的消息的格式。 

表 3-9 “Message Preference(首选消息)”‑ 选项 

字段描述 

“System Default(系统默认)” 默认消息是带有以下两个容易识别的字段的简易警报摘要:“Attack Name(攻击名 

称)”和“Attack Severity(攻击严重性)”。默认消息示例: 

“Customized(自定义)” 创建自定义消息。 

创建自定义消息 

Attack $IV_ATTACK_NAME$ ($IV_ATTACK_SEVERITY$)。 

• 选择“Customized(自定义)”并单击“Edit(编辑)”,以查看“Custom message(自定义消息)”页。 

• 键入消息并选择(单击)用以标识警报的格式参数。您可以在“Message(消息)”字段中键入自定义文字。您也可 

以单击“Content‑Specific Variables(特定于内容的变量)”,将它们移到“Message(消息)”字段。 

• 

• 

图 3-192 “Custom Message(自定义消息)”页 

请确保使用美元符号 ($) 分隔相邻的两个元素。示例:$ATTACK_TIME$。 


• 单击“Save(保存)”,返回到“Syslog”页。 

• 单击“Save(保存)”。 

配置电子邮件或寻呼机警报通知 

开始之前 

必须在“E‑mail Server(电子邮件服务器)”页确定电子邮件通知的邮件服务器(“” | “Manager” | 

“E‑mail Server(电子邮件服务器)”)。 

生成符合选定严重性或自定义攻击设置的警报时,可以通过电子邮件或寻呼机向用户发出警示。 

这里介绍了配置电子邮件警报的步骤。配置寻呼机的步骤与之类似。 

按照以下步骤可启用电子邮件警报通知: 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Alert Notification(警报通知)” | “Email(电子邮件)”(对于 NTBA 

Appliance,则选择“”/“NTBA Settings(NTBA 设置)” | “Alert Notification(警报通知)” | “E‑mail(电 

子邮件)”)。 

“E‑Mail(电子邮件)”和“Recipient List(收件人列表)”信息显示在“E‑mail(电子邮件)”选项卡下。 

图 3-193 “E‑mail(电子邮件)”选项卡 


表 3-10 电子邮件 ‑ 配置选项 

字段描述 

“Enable E‑mail(启用电 

子邮件)” 

“Send Notification If(发 

送通知的条件为)” 

“Suppression Time(抑 

制时间)” 

选择“Yes(是)”以通过电子邮件启用警报通知。 

“The attack definition has this notification option explicitly enabled(攻击定义已明确启 

用了此通知选项)”‑ 为匹配自定义策略通知设置(在策略编辑器中编辑攻击响应时必须设 

置这些自定义策略设置)的攻击发送通知。 

“The following notification filter is matched(将匹配以下通知过滤器)”‑ 根据以下过滤器 

发送通知: 




• “Severity Low and above(严重性为低及更高)”‑ 包括严重性为低、中和高的警报。 

• “Severity Medium and above(严重性为中及更高)”‑ 包括严重性为中和高的警报 




键入通知的“Suppression Time(抑制时间)”。抑制时间是发送警报通知之后到发送另一 

个警报通知之前的一段等待时间(分和秒)。默认值和最小值为 10 分钟和 0 秒钟。抑 

制时间可避免在发生大量攻击流量时发送过多通知。 


3 



3 选择“Message Body(消息正文)”(“System default(系统默认)”或“Customized(自定义)”。)message body(消 

息正文)是随通知发送的带有相关警报信息的预设响应消息。 

• “System Default(系统默认)”‑ 系统默认消息向收到通知的管理员提供最基本的攻击信息,使其能立刻做出响应。 

详细信息包括攻击名称、检测时间、攻击类型、严重性、攻击所在 Sensor 接口以及来源/目标 IP 地址。 

图 3-194 “System Default(系统默认)”消息 

您不能编辑“System Default(系统默认)”消息。 

• “Customized(自定义)”‑ 针对“Message Body(消息正文)”选择“Customized(自定义)”,然后单击“Edit(编 

辑)”以查看“Custom Message(自定义消息)”页。 

您可以在“Subject(主题)”字段或“Body(正文)”部分键入自定义文本,也可以单击“Subject Line Variables(主题 

行变量)”或“Content‑Specific Variables(特定于内容的变量)”中提供的一个或多个变量链接。 

图 3-195 “Custom Message(自定义消息)”页 

项目描述 

1 键入的自定义文本 

2 选择的变量 


单击“Save(保存)”返回到电子邮件或寻呼机通知设置页。 

4 单击“E‑mail(电子邮件)”页中“Recipient List(收件人列表)”部分的“New(新建)”。 

此时将显示“Add a Recipient(添加收件人)”页。 

5 在“SMTP Address field(SMTP 地址字段)”中输入收件人电子邮件地址,然后单击“Save(保存)”。 

电子邮件地址列在“E‑mail(电子邮件)”选项卡下的“Recipient List(收件人列表)”下。 

启用脚本警报通知 

您可以使用相似的步骤,在“Pager(寻呼机)”页中配置寻呼机设置。 

选择“/IPS Settings(IPS 设置)” | “Alert Notification(警报通知)” | “Pager(寻呼机)”(对 

于 NTBA Appliance,则选择“”/“NTBA Settings(NTBA 设置)” | “Alert Notification(警 

报通知)” | “Pager(寻呼机)”)以查看“Pager(寻呼机)”页。 

电子邮件和寻呼机通知按不同的管理域进行配置。 

生成符合选定严重性或自定义攻击设置的警报时,可以通过执行脚本向用户发出警报。 

按照以下步骤可启用脚本警报通知: 

任务 

1 选择“/IPS Settings(IPS 设置)” | “Alert Notification(警报通知)” | “Script(脚本)”(对于 NTBA 

Appliance,则选择“” / “NTBA Settings(NTBA 设置)” | “Alert Notification(警报通知)” | “Script(脚 

本)”)。 

此时会显示“Script(脚本)”页。 

图 3-196 “Script(脚本)”页 





3 



表 3-11 “Script(脚本)”配置选项 

字段描述 

“Enable Script Execution 

(启用脚本执行)” 

“Send Notification If(发 

送通知的条件为)” 

“Suppression Time(抑 

制时间)” 


选择“Yes(是)”以通过执行的脚本启用警报通知。 

“The attack definition has this notification option explicitly enabled(攻击定义已明确启 

用了此通知选项)”‑ 为匹配自定义策略通知设置(在策略编辑器中编辑攻击响应时必须设 

置这些自定义策略设置)的攻击发送通知。 

“The following notification filter is matched(将匹配以下通知过滤器)”: 

• “Allow All(全部允许)”‑ 为所有发现的攻击发出警报 

• “Block All(全部阻止)”‑ 阻止通知 

此时会显示“Script Contents(脚本内容)”页。 

图 3-197 “Script Contents(脚本内容)”页 

• 在“Description(描述)”字段中输入描述。 

• “Severity Informational and above(严重性为信息及更高)”‑ 包括所有警报 

• “Severity Low and above(严重性为低及更高)”‑ 包括严重性为低、中和高的警报 

• “Severity Medium and above(严重性为中及更高)”‑ 包括严重性为中和高的警报 

• “Severity High(严重性为高)”‑ 只包括严重性为高的警报 

输入通知的“Suppression Time(抑制时间)”。抑制时间是生成警报之后到发送通知之前 

的一段等待时间(分或秒)。如果警报在抑制时间内已通过 Threat Analyzer 加以确认 

或删除,此设置将阻止发送警报通知。默认值和最小值为 10 分钟和 0 秒钟。 

• 在“Script Content(脚本内容)”字段中输入所需文本。单击针对“Content‑Specific Variables(特定于内容的变 

量)”提供的链接,以在“Script Content(脚本内容)”字段中添加变量。 

4 单击“Save(保存)”,返回“Script(脚本)”页。 


本地系统用户需要获得权限才能在 Manager 安装目录上创建脚本输出文件。 

可以按照管理域来配置通知。 



“Configuration Update(配置更新)”操作将向“Device List(设备列表)”节点下所列出的所有 Sensor 和 NTBA 

Appliance 发送配置更改、特征码更新和策略更改。 

与 Sensor 相关的配置更新指 Sensor 和接口/子接口配置(如端口配置、非标准端口、接口流量类型等)的所有更改。 

与 NTBA Appliance 相关的配置更新指在“NTBA Settings(NTBA 设置)”节点的各类选项卡中作出的配置更改。 

策略更改会在出现新应用的策略或对当前实施的策略进行更改的情况下更新 Sensor 或 NTBA Appliance。 

特征码更新包含新的特征码或经过修改的特征码,可以将其应用到已在应用策略中实施的攻击。 

“Configuration Update(配置更新)”操作会更新多个 Sensor 或 NTBA Appliance,但在更新过程中,同一时刻只向一个 

Sensor 或 NTBA Appliance 传输更新。 

Manager 提供了一个选项,通过选择“Device List(设备列表)” | “Configuration Update(配置更新)”下的“Update(更 

新)”字段中的设备可同时执行 Sensor 或 NTBA Appliance 更新。 

只有执行“Device List(设备列表)” | “Configuration Update(配置更新)”或“Device List(设备列表)/” | 

“Physical Device(物理设备)” | “Configuration Update(配置更新)”操作后,更改才会推送到设备。 

按照以下过程可更新多个设备的配置: 

任务 

1 选择“Device List(设备列表)” | “Configuration Update(配置更新)”。 

即会显示“Configuration Update(配置更新)”页。 

图 3-198 配置更新页 

表中的列如下: 

• “Device Name(设备名称)”‑ 每个设备的唯一名称 

• “Last Update(上次更新时间)”‑ 上次更新设备配置的日期和时间 

• “Updating Mode(更新模式)”‑ 为设备选择的联机或脱机更新机制 

• “Pending Changes(挂起的更改)”‑ 所做更改摘要。 

• “Configuration & Signature Set(配置和特征码集)”‑ 选定此复选框表示需要更新设备,从而对设备进行除 SSL 

密钥管理之外的任何配置更改。 

• “Status(状态)”‑ 显示配置更新的状态 

如果已对设备的配置进行更改,则“Update(更新)”列在默认情况下处于选中状态。 


更新设备配置 3 


3 



2 单击“Update(更新)”。 

如果要更新多个设备,则一次更新一个设备,直至完成所有下载。 

• 单击“Offline Update Files(脱机更新文件)”查看并导出脱机 Sensor。 

• 单击“Refresh(刷新)”在重新启动后查看新的设备软件版本。 

• 单击“Clear Status(清除状态)”以清除缓存的状态。 

“Configuration Update(配置更新)”选项在 Manager 的以下路径中可用: 

• “” | “” | “Device List(设备列表)” | 

“Configuration Update(配置更新)”‑ 适用于“Device List(设备列表)”节点下列出的所有设备。 

• “

4 

在 Sensor 级别配置 IPS 策略 

“IPS Settings(IPS 设置)”下的“Device_Name(设备名称)”节点代表网络中实际安装且能够由 IPS 识别的 McAfee ® 

Network Security Sensor。每个“Device_Name(设备名称)”节点都是一个具有唯一名称(由您命名)的 Sensor 实例。 

“Sensor_Name(Sensor 名称)”资源级别中提供的所有操作都可用于为特定的 Sensor 自定义设置。 

请注意,Sensor 名称会在资源树中出现两次。例如,如果您为了在网络上执行 IPS 而添加了一个 Sensor 并将它命名 

为“Sensor_X”,那么,“Sensor_X”在经过配置之后将列在“Device List(设备列表)”和“IPS Settings(IPS 设置)”下面。 

您可以使用“Device List(设备列表)” | “Device_Name(设备名称)”节点管理“Sensor_X”的物理设置(如软件升级和重新 

启动)。同样,您可以使用“IPS Settings(IPS 设置)” | “Device_Name(设备名称)”节点管理与 IPS 有关的“Sensor_X” 

配置。 

目录 

IPS Sensor 设置 


配置高级扫描 

如何为 IPS Sensor 配置防火墙日志记录 

流量管理 

如何启用 SSL 解密 

IPS Sensor 中的 IPS 隔离设置 

NTBA 选项卡 

“IPS Sensor”选项卡便于在所配置的 Sensor 上执行以下操作: 

• 管理保护配置文件 

• 管理攻击过滤器分配 

图 4-1 “IPS Sensor”选项卡 

Sensor 名称级别的策略 

在 McAfee ® Network Security Platform,IPS 策略将在接口和子接口级别节点执行,而不是在“Device_Name(设备名 

称)”节点执行。因为 Network Security Sensor 器有多个端口和多个接口,所以允许在一个 Sensor 中执行多个策略,而 

不是执行一个覆盖全部端口的策略。与当今的 IDS 产品相比,就好像将多个 Sensor 放到了一个机箱中。 

虽然不能在“Sensor_Name(Sensor 名称)”级别自定义 IPS 策略,但可以在这一级别自定义侦测攻击。因为侦测攻击(如 

端口扫描和主机扫描)通常分布在网络间,不易通过监控单个接口的流量检测到,所以可在“Device_Name(设备名 

称)”节点自定义侦测攻击。通过在此级别执行侦测检测,就能更全面地查看网络活动。 


4 



管理 IPS Sensor 的策略 

“Policy Assignments(策略分配)”选项卡可以为 Sensor 接口/子接口设置备用策略,以防发生需要删除原始策略的情况。 

例如,假设您创建了一个称为“Custom1”的自定义策略,并将此策略应用于单个 Sensor 的 1B、2A 和 4B 接口。经过一 

段时间后,您认为“Custom1”的效果不好,想将其删除。McAfee ® Network Security Manager 不允许删除当前已实施的 

策略(通过接口应用程序)。删除自定义本身之前,必须更改应用自定义策略的每个 VIPS 的策略。 

要将备用策略应用到 Sensor,请执行以下操作: 

任务 

1 选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS Sensor” | “Protection Profile(保护配置文 

件)”(对于故障转移对 Sensor,则选择“IPS Settings(IPS 设置)” | “Failover Pair Node(故障转移对节点)” | 

“Sensor_Name(Sensor 名称)” | “IPS Failover Pair(IPS 故障转移对)” | “Policy(策略)”)。 

图 4-2 IPS Sensor:应用策略 

2 在“IPS Policy(IPS 策略)”部分的“Baseline IPS Policy(基准 IPS 策略)”下拉列表中选择一个 IPS 策略。 

3 在“Reconnaissance Policy(侦测策略)”下拉列表中选择一个侦测策略。 

4 在“Firewall Policy(防火墙策略)”部分中,从“Assignment Logic(分配逻辑)”下拉列表中,选择要分配防火墙策略 

的 Sensor 级别的资源。 

5 选择预置设备和/或后置设备防火墙策略。 



弹出窗口显示需要将策略更改下载到 Sensor。 

7 在弹出窗口中单击“OK(确定)”,您将被重定向到“Configuration Update(配置更新)”页。 

有关详细信息,请参阅“更新一个 Sensor 的配置”。 

攻击过滤器分配 

您可以在域级别上分配攻击过滤器或将其分配给特定的 Sensor。 

要在域级别上分配攻击过滤器,请转至 “IPS Settings(IPS 设置)” | “Attack Filters(攻击过滤器)” | “Filter Assignments 

(过滤器分配)”。 

要在 Sensor 级别上分配攻击过滤器,请转至“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS 

Sensor” | “Protection Profile(保护配置文件)” | “Attack Filter Assignments(攻击过滤器分配)”。 

“Attack Filter Assignments(攻击过滤器分配)”页会显示两个选项卡:“Exploit(利用漏洞)”和“Reconnaissance(侦 

测)”。 

图 4-3 编辑攻击过滤器分配 

“Exploit(利用漏洞)”选项卡下的字段 


IPS Sensor 设置 4 

“Exploit(利用漏洞)”选项卡有两个子选项卡:“Inbound(入站)”/“Outbound(出站)”。这两个子选项卡显示相同的字段, 

但一个显示的是入侵攻击,另一个显示的是外发攻击。 


4 



字段描述 

Protocol(协议) 显示攻击中使用的协议。 

No. of Available Attacks(可用攻击数目) 每种协议的攻击数目。 

图 4-4 “Reconnaissance(侦测)”选项卡 

“Reconnaissance(侦测)”选项卡中的字段 

字段描述 

Attack Name(攻击名称) Network Security Platform 指定的攻击名称。 

Attack ID(攻击 ID) Network Security Platform 指定的攻击 ID。 

# of Attack Filters(攻击过滤器数目) 为该攻击分配的攻击过滤器数目。 

另请参阅 

如何管理攻击过滤器和攻击响应第 125 页 


查看分配的攻击过滤器侦测第 133 页 

查看分配的利用漏洞攻击过滤器 

要查看或编辑分配的攻击过滤器,请执行以下操作: 

任务 

1 从“Filter Assignments(过滤器分配)”窗口中选择“Inbound(入站)”或“Outbound(出站)”。 





图 4-5 “Configure Alert Filter Association(配置警报过滤器关联)”对话框 

您可以根据以下标准过滤攻击列表: 

a 要查看所有攻击,请选择“All Selected Attacks(所有选定的攻击)”。 

b 要查看适合 IPS 隔离的攻击,请选择“Only Attacks Eligible for IPS Quarantine(仅适合 IPS 隔离的攻击)”。 

c 选择“Only Attacks Recommended for Blocking(仅显示建议阻止的攻击)”,来查看 McAfee 建议阻止 (RFB) 的 

攻击。 

d 选择“Only Attacks Recommended for SmartBlocking(仅显示建议智能阻止的攻击)”,来查看 McAfee 建议智能 

阻止 (RFSB) 的攻击。 

e 选择“Advanced Search(高级搜索)”选项,使用攻击名称、受影响的应用程序名称、参考 ID(如 CVE 或 

BugTraq)或新攻击来搜索攻击。 


此时将打开“Filter Assignment(过滤器分配)”页。此页显示可用和选定的攻击过滤器、与攻击关联的 IP 地址的类型 

(IPv4 或 IPv6)和位数。 

您还可以在“Filter Assignment(过滤器分配)”页中使用“Bulk Edit(批量编辑)”选项来编辑多个攻击。 

4 单击“Done(完成)”以保存更改。 

另请参阅 




使用 Threat Analyzer 的攻击过滤器关联 


IPS Sensor 设置 4 

可以选择特定的警报并配置攻击过滤器。如有必要,可以创建新的攻击过滤器并将其应用于选定的警报。可以将攻击过 

滤器应用于发出警报的资源以及发出警报的攻击和攻击方向。 


4 




在配置 Advanced Scanning(高级扫描)选项卡中的操作之前,需要对网络设置有较深入的了解。该选项卡提供以下功 

能: 

• 配置非标准端口:配置系统通过非标准端口接收协议。 

• 管理 Sensor 上的 DoS 学习模式配置文件:配置 DoS 学习模式配置文件,以重新启动配置文件或者加载先前的配置 

文件。 

• 管理 DoS 过滤器:将 DoS 学习模式配置文件应用于 Sensor 内所有网络标识符 (NI) 之后,查看和修改“丢弃/阻止数 

据包”响应。 

• 配置 TCP 设置:自定义 Sensor 的 TCP 警报参数。 

• 配置 IP 设置:自定义 IPv4 和 IPv6 警报参数。 

• 配置数据包日志响应的警报抑制:为同一 VIPS 内(接口或子接口)的“来源‑目标”IP 对设置多个相同攻击(如洪水攻 

击)的抑制阈值。 

• 配置攻击编译:包括 IPS 策略中的攻击定义。 

图 4-6 “Sensor 名称”节点 ‑“Advanced Scanning(高级扫描)”选项卡 

另请参阅 

管理非标准端口第 242 页 

DoS 数据管理第 244 页 

管理 DoS 过滤器第 247 页 

配置数据包日志响应的警报抑制第 257 页 

配置攻击编译第 259 页 

配置 IP 设置第 252 页 

管理非标准端口 

可以在 IPS Sensor 中通过“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫 

描)” | “Non‑Standard Ports(非标准端口)”对非标准端口进行配置。 

这些步骤与“配置非标准端口”中介绍的步骤相似。 

另请参阅 

配置高级扫描第 242 页 

创建接口组 

“Interface Group(接口组)”操作可将多个 Sensor 端口组合起来,对非对称环境进行有效的监控。非对称网络常见于负 

载平衡和“主动/被动”式配置。接口组标准化流经多个接口的流量的影响,以保持传输状态,避免遗漏任何信息。 

配置好的接口组会在资源树中显示为一个接口节点(图标),并位于创建该接口组的 Sensor 之下。组成此接口的所有端 

口都作为一个逻辑实体来配置,以保持配置的一致性。 

如果您在初次配置接口组后决定更改其设置,则原来对接口组执行的所有配置都会被清除,以应用新的端口配置。这样会 

对子接口和策略设置产生影响。 

要添加接口组,请执行以下操作: 


任务 

1 单击“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “Interface 

Groups(接口组)”。 

图 4-7 “Interface Group(接口组)”列表 


3 键入“Group Name(组名)”。 

4 从下拉列表中选择“Primary Interface(主接口)”。主接口可以是端口对(1A 和 1B)或单个端口 (3B)。主接口决定了 

接口组应用的策略。 

5 单击“Next(下一步)”。 

图 4-8 创建接口组 

如果接口的通信类型从“Dedicated(专用)”更改为“VLAN”或“CIDR”,则只有添加了 VLAN 或 CIDR ID 之后才可以用 

于接口组中。 

6 选择要添加到接口组的接口。显示了主接口。 

7 单击“New(新建)”。单击“Delete(删除)”以移除不需要的接口。 

8 如果接口是端口对的成员,则它们在接口组中无法分离。 

图 4-9 向接口组添加接口 


配置高级扫描 4 


4 





DoS 数据管理 

“DoS Data Management(DoS 数据管理)”操作可配置 DoS 学习模式配置文件,以重新启动配置文件或者加载先前的配 

置文件。拒绝服务 (DoS) 攻击通过将大量虚假流量发送给目标系统或主机,使系统缓冲区溢出以至于必须脱机修复,从 

而中断其网络服务。 

由于 DoS 配置文件可在学习模式和阈值模式中配置,Sensor 将记录两种模式的数据。在“Learning Mode(学习模式)” 

中,Sensor 监控网络流量,收集一段时间的各种流量测量的统计数据,创建一份“正常”的基准配置文件,称为长期配置 

文件。为了创建配置文件,通常需要两天的初始学习时间。之后系统会经常更新该配置文件,并将其存放在 Sensor 的 

内部闪存中,以便了解网络的最新状况。另外,Sensor 也会实时创建短期配置文件,该文件类似于网络流量的即时快 

照。Sensor 会比较短期配置文件与长期配置文件,只要短期配置文件的统计数据表现出与长期配置文件差异过大的流量 

异常情况,就会发出警报。 

在“Threshold Mode(阈值模式)”中,Sensor 会跟踪对特定攻击启用的阈值限制。这两种模式创建的配置文件保存在 

Sensor 的闪存中,并可上载到 Manager 中以备将来重用。经过一段时间之后,如果您认为原来创建的基准比当前的配 

置文件更为有效,可以上载保存的配置文件。 

在 M 系列和 N‑450 Sensor上不支持 DoS 复制功能。 

要管理 Sensor 上的 DoS 学习模式策略,请执行以下操作: 

任务 

1 单击“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “DoS Data 

Management(DoS 数据管理)”(对于故障转移对 Sensor,则单击“IPS Settings(IPS 设置)” | “Failover Pair Node 

(故障转移对节点)” | “Sensor_Name(Sensor 名称)” | “IPS Failover Pair Sensor(IPS 故障转移对 Sensor)” | 

“DoS Data Management(DoS 数据管理)”)。 

从 Sensor 上载到 Manager 的最新 DoS 配置文件列在“DoS Profiles on Manager(Manager 上的 DoS 配置文件)”。 

2 从以下标题中选择一个操作: 

“DoS Profile Learning(DoS 配置文件学习)” 

• “Rebuild the DoS Profiles(重建 DoS 配置文件)”:从头启动学习过程。这将删除最近学习的配置文件,并创建 

新的配置文件。要开始学习过程,请选择该选项并单击“Update(更新)”。 

• “Force the IPS Sensor into Detection Mode(强制 IPS Sensor 进入检测模式)”:激活 Sensor 的学习模式检测, 

而无需先进行 48 小时的学习。 

在建立了接口或子接口的配置文件之后或是在初始学习的过程中,如果网络或配置发生变更(前者如果将 Sensor 

从实验环境移动到生产环境,后者如果更改了子接口的 CIDR 块),并引起接口或子接口流量发生重大变化,则 

McAfee 建议重新学习配置文件。否则,Sensor 可能会在适应新的网络流量情况期间,发出错误警报或遗漏攻击。 


如果网络流量随时间自然上升或下降(例如,电子商务网站拥有的顾客量越来越多,从而带来了 Web 流量的增长), 

则无需重新学习配置文件,因为 Sensor 可自动适应这些变化。 

图 4-10 管理 DoS 配置文件 

“Manage DoS Packet Copying Actions(管理 DoS 数据包复制操作)” 

启用/禁用通过 Sensor 响应端口转发 DoS 数据包。端口处于串联模式时,会丢弃这些数据包。可以使用监听设备收 

集响应端口丢弃的数据包。对丢弃的数据包进行分析可了解攻击的实效性,并为如何进一步配置安全性提供研究资 

料。 

• “Enable copying of DoS packets to Response port(s)(启用复制响应端口的 DoS 数据包)” 

• “Disable copying of DoS packets to Response port(s)(禁用复制响应端口的 DoS 数据包)” 

以下是选择“Enable copying of DoS packets to Response port(s)(启用复制响应端口的 DoS 数据包)”后要使用 

的 Sensor 和相应的响应端口的列表: 

“I‑1200、I‑1400”:R1* 

“I‑2700”:R3 

“I‑4000”:R1、R2、AUX1** 和 AUX2** 

“I‑3000、I‑4010”:R1、R2、R3 和 R4 

* 如果在 I‑1200 或 I‑1400 上启用了 Sensor 故障转移,则此响应端口已在使用且无法用于复制 DoS 数据包。 

** 仅用于 DoS 复制功能。 

“DoS Profile Upload and Restoration(DoS 配置文件上载和还原)” 



• “Upload a DoS Profile (device to Manager)(上载 DoS 配置文件(从设备到 Manager))”:将 Sensor 闪存中的所 

有学习配置文件上载到 Manager。要将 Sensor 的 DoS 配置文件上载到 Manager,请执行以下操作: 

• 选择“Upload a DoS Profile (device to Manager)(上载 DoS 配置文件(从设备到 Manager))”。 

• 单击“Update(更新)”。即会打开“Upload DoS(上载 DoS)”屏幕,默认情况下该屏幕中的“Upload?(上 

载?)”字段处于选中状态。 


4 



• 单击“Upload DoS Profiles(上载 DoS 配置文件)”。将显示一个弹出窗口,显示上载状态。 

• 完成上载之后,单击“Close Window(关闭窗口)”以关闭状态窗口。 

• 单击“Manage DoS Profiles(管理 DoS 配置文件)”,返回主屏幕并查看上载的文件。Sensor 的所有接口、子 

接口或 DoS ID 都包含在上载的文件中。该文件会列在表的“DoS Profiles Uploaded from Sensor to Manager 

(从 Sensor 上载到 Manager 的 DoS 配置文件)”部分(顶部)。 

第一个配置文件的学习需要用至少两天的时间才能完成,然后才可以下载配置文件。 

图 4-11 将 DoS 配置文件从 Sensor 上载到 Manager 

• “Restore a DoS Profile (Manager to device)(还原 DoS 配置文件(从 Manager 到设备))”:将之前使用“Upload 

a DoS Profile (device to Manager)(上载 DoS 配置文件(从设备到 Manager))”选项上载(保存)到 Manager 的 

DoS 配置文件下载到 Sensor。已上载的配置文件列在“DoS Profiles Uploaded from Sensor to Manager(从 

Sensor 上载到 Manager 的 DoS 配置文件)”标题下。要还原 DoS 配置文件,请执行以下操作: 

• 选择“Restore a DoS Profile (Manager to device)(还原 DoS 配置文件(从 Manager 到设备))”。 

• 单击“Update(更新)”。 

• 选择一个 DoS 配置文件并单击“Restore(还原)”。 

• (可选)选择一个 DoS 配置文件并单击“Delete(删除)”以删除配置文件。 

• (可选)选择一个 DoS 配置文件并单击“Export(导出)”,将配置文件导出并保存至 Manager 服务器以外的客 

户端。 

图 4-12 还原 DoS 配置文件 

另请参阅 

学习模式第 97 页 


查看 Sensor 的 DoS 配置文件 

“DoS Profiles(DoS 配置文件)”操作可以显示应用于 Sensor 及其接口和子接口的 DoS 学习模式策略的当前状态。在 

DoS 学习模式中,配置文件用于确定“正常”的流量模式。学习到配置文件之后,Sensor 就会对超出正常参数的流量发出 

警报。由于配置文件处于不断更新的过程,因而基准水平会随着时间而变动。 

“应用的策略详细信息”表显示父子(Sensor ‑ 接口)间的关系,并显示 Sensor 及其每一接口的学习模式状态值。如果更 

改了每个接口应用的策略,并要确定当前是处于建立新配置文件阶段还是主动检测异常通信情况阶段,该表会很有用。 

拒绝服务 (DoS) 参数可在各个 IPS 策略内配置,或者在接口或子接口级别使用“Custom DoS Policy(自定义 DoS 策略)” 

操作创建自定义 DoS 策略,然后进行配置。 

要查看应用于 Sensor 接口的 DoS 策略,请执行以下操作: 


任务 

• 选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “DoS Profiles 

(DoS 配置文件)”。字段说明如下: 

图 4-13 “DoS Profiles(DoS 配置文件)”选项卡 

• “Profile(配置文件)”:端口 ID 或子接口的名称。 

• “Status(状态)”:列出配置文件当前是在学习还是在检测。“Learning(主动)”表示当前正在建立配置文件基准。 

“Active(主动)”表示已建立配置文件,并依照基准核对流量。 

• “Transition Time(转换时间)”:学习配置文件开始分析或开始检测的确切时间。“Status(状态)”字段表示当前所 

处的过程。 

(可选)选择一个接口并单击“View(查看)”会显示 DoS 配置文件中应用于所选接口的测量速率数据。可以在 

“Select a Measure(选择测量)”下拉列表中更改测量然后单击 “View(查看)”。要返回到“Applied Policy Detail(应用 

的策略详细信息)”表,请单击“Back(上一步)”。 

对于故障转移对 Sensor,查看 DoS 策略的路径是“IPS Settings(IPS 设置)” | “Failover_Sensor_Name(故障转移 

Sensor 名称)” | “Advanced Scanning(高级扫描)” | “DoS Profiles(DoS 配置文件)”。 

管理 DoS 过滤器 



将 DoS 学习模式配置文件应用于 Sensor 内所有网络标识符 (NI) 之后,可通过“DoS Filters(DoS 过滤器)”操作查看和 

修改“丢弃/阻止数据包”响应。DoS 过滤器(即阻止规则),与防火墙拒绝规则类似,它阻止符合过滤器参数的后续流量, 

禁止它们在网络中传输。网络标识符这一 Network Security Platform 术语与接口、子接口和 DoS ID 资源有关。DoS 过 

滤器仅应用于 DoS 学习模式攻击。 


4 



DoS 过滤器可因任何 DoS 学习模式攻击(即每个攻击所含的测量值)而启动。每个启用的学习模式攻击都是一些通信流 

速率测量值的组合,如 TCP 控制数据包或 UDP 数据包的速率。学习模式配置文件完成了正常流量行为的学习之后,便 

将短期内每一测量指标的统计值与配置文件中的长期测量值相比较。如果短期值超出了长期值的范围,将生成一个 

“Statistical(统计)”类型的攻击。发出“Statistical(统计)”警报后,Network Security Sensor 可启动自动或手动响应, 

以阻止违反测量标准的所有后续数据包。 

要进行自动丢弃和阻止,可以配置 DoS 策略启用“Drop Packets(丢弃数据包)”响应(对一个或多个测量),然后将策略应 

用到串联模式的 Sensor 接口。只要短期值继续出现违反长期值的行为,自动过滤器就会一直起作用。 

要进行手动阻止,必须在 Threat Analyzer 中为生成的 “Statistical(统计)”警报启动响应。有关详细信息,请参阅“阻止统 

计攻击的其余 DoS 数据包”。 

图 4-14 管理 DoS 过滤器 

要管理当前 DoS 过滤器,请执行以下操作: 

任务 

• 选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “DoS Filters 

(DoS 过滤器)”。 

执行以下任一操作: 

• 要删除过滤器,请选择滤器并单击“Delete(删除)”。 

• 要刷新过滤器,选择过滤器并单击“Refresh(刷新)”。 

• 要延长过滤器的时效,请执行以下操作: 

a 选择一个过滤器并单击“Extend(延长)”。随即打开“Add DoS Filter Time(添加 DoS 过滤器时间)”对话框。 

b 键入要添加到“Filter Time(过滤器时间)”的秒数。 

c 单击“Save(保存)”,或者单击“Cancel(取消)”以放弃。 

图 4-15 “Add DoS Filter Time(添加 DoS 过滤器时间)”对话框 

另请参阅 



配置 TCP 设置 

此操作只能由深入了解 TCP 的专家用户执行,以免系统出错。 

您可以通过从“IPS Settings(IPS 设置)”和“Device_Name(设备名称)”节点使用“TCP Settings(TCP 设置)”操作来自定 

义 Sensor 的 TCP 参数检查。要编辑参数,可键入新的参数值并单击“Update(更新)”。要还原默认值,滚动至屏幕底 

部并单击“Restore(还原)”。 

只有在串联模式下部署已配置的 Sensor 时,TCP 参数才会生效。 

可自定义的 TCP 参数包括: 

TCP 参数描述 

Supported UDP Flows(支 

持的 UDP 流数) 

TCB Inactivity Timer(TCB 

不活动计时器) 

TCP Segment Timer(TCP 

网段计时器) 

TCP 2MSL Timer(TCP 

2MSL 计时器) 

Cold Start Time(冷启动时 

间) 

Cold Start Ack Scan Alert 

Discard Interval(冷启动 

Ack Scan 警报丢弃间隔) 

Cold Start Drop Action(冷 

启动丢弃操作) 

每个 Sensor 允许的 UDP 传输数目。每个 Sensor 型号允许的 UDP 传输数目各不相同。 

将显示所支持的默认 UDP 传输数目,您可以对其进行更改。 

有关每个 Sensor 型号支持的 UDP 流的默认数目和最大数目,请参阅“McAfee Network 

Security Platform 故障排除手册”中的“不同型号 Sensor 的容量”。 

如果 TCB(传输控制块)在这一计时器超时之前没有收到任何数据包,会将 TCB 标记为 

不活动。由于 TCB 数量有限,因此可将不活动的 TCB 分配到新的会话(或连接)。 

在无序网段变为有序之前的等待时间,超过这一时间将丢弃这些网段。 

等待释放连接控制块的时间,超过这一时间将销毁控制块。网段最大生存期 (MSL) 是数 

据包可以在网络中传输的时间。 

首次打开 Sensor 时,它不带有任何流信息。设置“Cold Start Time(冷启动时间)”,以便 

为 Sensor 指定一个时间段,在该时间段内,Sensor 可以在尚未建立控制块的情况下允许 

数据包通过。 

冷启动之后,Sensor 在这一间隔超时前不会对 Ack Sweep 或 Ack Scan 发送警报。 

首次启动 Sensor 时,可以指定允许(转发)或丢弃所有不带有 Sensor 所识别的流控制块 

的数据包。 

下拉选项包括: 

• “Forward Flows(转发流)” 

• “Drop Flows(丢弃流)” 




4 




TCP Flow Violation(TCP 

流违规) 

Unsolicited UDP Packets 

Timeout (in seconds)(主动 

UDP 数据包超时(秒)) 

Normalization On/Off 

Option(规范化开启/关闭选 

项) 

TCP Overlap Option(TCP 

重叠选项) 


• “Permit(允许)”:对于无序数据包,Sensor 最多会将数据包保留几秒钟(TCP 网段计 

时器),以便在执行检查之前重组。如果重组失败(由于仍然缺少某些数据包),Sensor 

将仅转发流量。如果未建立 TCP 状态,则 Sensor 将允许数据包通过。 

• “Deny(拒绝)”:对于无序数据包,Sensor 最多会将数据包保留几秒钟(TCP 网段计时 

器),以便在执行检查之前重组。如果重组失败(由于仍然缺少某些数据包),Sensor 会 

丢弃流量。如果未建立 TCP 状态,Sensor 将丢弃流量。 

• “Permit out‑of‑order(允许乱序)”(默认设置):Sensor 允许继续传送无序数据包而不做 

处理。如果未建立 TCP 状态,则 Sensor 将允许数据包通过。 

• “Deny no TCB(拒绝无 TCB)”(如果未建立状态,则拒绝):对于无序数据包,Sensor 

最多会将数据包保留几秒钟(TCP 网段计时器),以便在执行检查之前重组。如果重组 

失败(由于仍然缺少某些数据包),Sensor 将仅转发流量。如果未建立 TCP 状态, 

Sensor 将丢弃流量。 

• “Stateless Inspection(无状态检查)”:Sensor 检测攻击,且无需有效的 TCP 状态。仅 

当 Sensor 被置于某个网络中,且在该网络中这些 Sensor 无法查看 TCP 流的所有数据 

包(如在非对称网络配置中)时,才应使用此选项。无状态检查只能在 IPv4 数据包中 

实现。 

当启用无状态检查时: 

‑ 无法启用防火墙和同步 cookie 保护。 

‑ 根据网络部署情况(例如,在 SYN+ACK 数据包无法从 Sensor 发送到客户 

端的设置中),无法执行到 Remediation Portal 的 HTTP 重定向。 

已发送数据包等待接收响应数据包的时间。如果不符合这一时间要求,则丢弃数据包。 

Sensor 执行 TCP/IP/ICMP 选项检查,以规范化流量。“On(开启)”或“Off(关闭)” 

TCP 段可能会重叠,因此需要选择要处理哪些数据:较新的数据还是较旧的数据。 


• “New Data(新数据)”:常用于 Linux、Solaris、HP_UX 和 FreeBSD 等系统。 

• “Old Data(旧数据)”:常用于 Windows 系统。 



SYN Cookie SYN Cookie 用于对 SYN 洪水攻击计数。启用 SYN Cookie 后,只要新连接请求达到服 

务器,服务器便会回送一个 SYN+ACK,SYN+ACK 带有一个初始序列号 (ISN),该序列 

号是用传入 SYN 数据包中提供的信息和密钥唯一生成的。如果连接请求来自合法主机, 

服务器便从该主机获得返回的 ACK。 

Inbound Threshold Value 

(入站阈值) 

Outbound Threshold Value 

(出站阈值) 

Reset un‑finished 3 way 

handshake connection(重 

置未完成的三方握手连接) 


• “Disabled(禁用)”:禁用 SYN Cookie 

• “Inbound Only(仅入站)”:仅对入站流量使用 SYN Cookie 

• “Outbound Only(仅出站)”:仅对出站流量使用 SYN Cookie 

• “Both Inbound and Outbound(入站和出站)”:对入站和出站流量使用 SYN Cookie 

无论您何时启用或禁用 SYN Cookie,Threat Analyzer 中都会显示系统事件。有关 

Threat Analyzer 的信息,请参阅“McAfee Network Security Platform Manager 管理手 

册”。 

在 MPLS 流量流经 Network Security Sensor 时,请不要启用 SYN Cookie。 

使用 SYN Cookie 设置的 Sensor 必须采用串联模式。如果没有配置成串联模式的端 

口,请至少将一个端口配置为串联模式。 

在任何接口,Sensor 一次只能看到一个数据包。但是,如果 Sensor 正在监控包含 

VLAN 标记的流量的接口,则必须为每个 VLAN 配置不同的子接口,以确保不会多次看 

到一个数据包。 

在 N‑450 Sensor 上不支持 SYN Cookie 功能。 

未完成的 SYN 数量,超过此数量后,必须为传入连接启用 SYN Cookie。 

未完成的 SYN 数量,超过此数量后,必须为传出连接启用 SYN Cookie。 

如果启用,则在连接的 TCP SYN 计时器超时时自动向来源发送 TCP RST。 


• “Disabled(禁用)”:关闭 

使用 SYN Cookie 应对 SYN 洪水攻击 

• “Set for all traffic(为所有流量设置)”:所有攻击类型 

• “Set for DoS attack traffic only(仅为 DoS 攻击流量设置)” 

SYN 洪水攻击是一系列来自伪造的 IP 地址、针对特定服务器的 SYN 数据包。当服务器受到这种形式的攻击时,服务器 

中的 SYN 队列被填满,并丢弃所有新的连接请求。SYN Cookie 功能是对付 SYN 洪水攻击的机制。除了提供现有的基 

于统计异常的拒绝服务检测之外,还提供此功能。如果 DoS 攻击已在进行中,没有时间学习长期配置文件时, 

Network Security Platform 为 Sensor 提供代理所有入站三方握手的功能。 

使用 SYN Cookie,当新连接请求到达服务器时,Sensor 不维护有关连接请求的任何信息。而是发送回带有 ISN 的 SYN 

+ACK,该 ISN 是用传入 SYN 数据包中提供的信息和密钥唯一生成的。如果连接请求来自合法主机,服务器便从该主机 

获得返回的 ACK。 

Sensor 将支持 SYN 到达率可配置的阈值,当超过该阈值时,Sensor 将开始使用 SYN Cookie 避免在三方握手过程中 

维护状态。Manager 为用户提供了一个启用/禁用 SYN Cookie 功能的界面。它还允许用户为 SYN Cookie 配置阈值。 

处理非对称流量 



为请求和响应使用不同路径的流量称为非对称流量。当网络规模增大时,网络中便有可能存在非对称流量。 


4 



如果网络中可能存在非对称流量,请考虑以下选项: 

• 在流量对称的位置安装 IPS Sensor。 

• 在非对称流量的请求和响应路径上各放置一个 IPS Sensor,并创建一个故障转移对以同步两个 Sensor 之间的通信 

流。 

• 如果两个 IPS Sensor 之间的距离导致无法创建故障转移对,请考虑启用“Stateless Inspection(无状态检查)”。 

下图中介绍了用户 A 和“大学管理”服务器之间的非对称网络中的 HTTP 通信流。用户 A 的传出连接流是通过交换机 1、 

交换机 2、Sensor 1、路由器 1、Internet 服务提供商 1 到达 Internet 连接。但是,数据包的返回路径是通过 Internet 服 

务提供商 2、路由器 2 等。如果流量以上述非对称方式流经 Sensor,则 TCP 流的所有数据包将对于单个 Sensor 不可 

见。 

在此情况下,如果启用了“Stateless Inspection(无状态检查)”,Sensor 将检查数据包,且无需 TCP 连接处于有效的状 

态。因此,可能会产生误报,也就是说,如果一个通信流分成多个部分流经多条路径,则每个接口将收到并分析部分通 

信,因此很容易出现误报和漏报。 

图 4-16 非对称流量图示 

配置 IP 设置 

当启用“Stateless Inspection(无状态检查)”时,可能会出现误报,并且检测准确性比 Sensor 查看所有流量时要低。 

McAfee 建议,仅当网络配置不允许将 Sensor 置于可查看所有流量的位置时才使用此功能。 

您可以使用 Network Security Platform 来解析 IPv4 和 IPv6 流量中是否存在攻击(处理 IPv6 流量时的 DoS 攻击除外)。 

I 系列和 M 系列的 Sensor 均可以解析 IPv6 数据包。N‑450 Sensor 不解析 IPv6 数据包,但允许它们通过。 

您可以使用以下 Manager UI 页来自定义 Sensor 的 IPv4 和 IPv6 参数检查: 

• IPS Sensor:“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “IP 

Settings(IPS 设置)” 

• NAC Sensor:“NAC Settings(NAC 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | 

“IP Settings(IPS 设置)” 


要编辑参数,请指定新的参数值并针对该参数单击“Update(更新)”。要还原默认值,请滚动至页面底部并单击“Restore 

(还原)”。 

为避免系统错误,McAfee 建议仅由深入了解 IP 的用户来配置这些设置。 

Network Security Platform 可处理通过通道传送的流量。 

只有在串联模式下部署已配置的 Sensor 时,IP 参数才会生效。 

Manager 服务器、客户端与 Sensor 之间的通信只能在 IPv4 中进行。 

图 4-17 “IP Settings(IP 设置)”页 

可自定义的 IP 参数包括: 

IPv4 参数 

Fragment Timer 

(in seconds)(碎 

片计时器) 

(秒)) 

Overlap Option 

(重叠选项) 

Smallest 

Fragment Size 

(碎片最小大小) 

Small Fragment 

Threshold(小碎 

片阈值) 

等待接收 IPv4 或 IPv6 流的所有碎片的时间。如果超出这一时间,则丢弃传输。 

默认值为 120 秒。 

已碎片化的 IPv4 数据包可能会重叠,因此需要选择要首先处理哪些数据:较新的数据还是较旧的 

数据。默认情况下,较旧的数据最先处理。 

• “Old Data(旧数据)”:常用于 Windows 和 Solaris 系统 

• “New Data(新数据)” 

视为“正常”的 IPv4 碎片的最小允许大小。所有小于这一大小的 IPv4 碎片都将计入 IPv4“Small 

Fragment Threshold(小碎片阈值)”。 

默认大小为 256。可以将此值修改为一个是 8 的倍数且介于 8 与 1480 之间的值。可以输入一个介 

于 8 与 1480 之间且是 8 的倍数的值。 

60 秒内允许小于 IPv4“Smallest Fragment Size(碎片最小大小)”的 IPv4 碎片数目。如果超过了这 

一阈值,就会发出一个警报。 

默认值为 10000。可以将此值修改为介于 100 和 100000 之间的值。 




4 



IPv4 参数 

Fragment 

Reassembly(碎 

片重组) 

IPv6 参数 

IPv6 Scanning 

(IPv6 扫描) 

Overlap Option 

(重叠选项) 

Smallest 

Fragment Size 

(碎片最小大小) 

Small Fragment 

Threshold(小碎 

片阈值) 

Common IP 

Parameters(公 

用 IP 参数) 

Jumbo Frame 

Parsing(Jumbo 

Frame 解析) 

启用此选项后,系统会保留已碎片化的 IPv4 流量并进行重组,使检查得以进行。禁用此选项有助 

于确定是否遇到流量丢弃行为,因为在保留流量时部分碎片可能会因超时而被丢弃。默认情况下, 

碎片重组处于启用状态。 

指定 Sensor 应如何处理 IPv6 流量。 

• “Drop all IPv6 traffic (inline only)(丢弃所有的 IPv6 流量(仅串联))”:Sensor 丢弃处于串联模式 

的 IPv6 流量。 

• “Pass IPv6 traffic without scanning(让 IPv6 流量通过而不扫描)”:Sensor 传递 IPv6 数据包, 

但不会扫描它们是否存在攻击。 

• “Scan IPv6 traffic for attacks(扫描 IPv6 数据包是否存在攻击)”:Sensor 扫描 IPv6 流量,看其 

是否存在攻击。 

如果您选中“Scan IPv6 traffic for attacks(扫描 IPv6 数据包是否存在攻击)”,或者如果以前已选 

择此设置,而现在要选择另一个选项,则需要重新启动 Sensor,才能使更改生效。 

默认情况下,系统不会解析 IPv6 数据包,但允许传递。 

您可以从 CLI 使用 

status 

命令,检查 Sensor 的 IPv6 状态。 

已碎片化的 IPv6 数据包可能会重叠,因此需要选择要首先处理哪些数据:较新的数据还是较旧的 

数据。 

• Old Data(旧数据):常用于 Windows 和 Solaris 系统 

• New Data(新数据) 

• Drop(丢弃):Sensor 将丢弃所有的重叠碎片。 

默认情况下,较旧的数据最先处理。 

视为“正常”的 IPv6 碎片的最小允许大小。所有小于这一大小的 IPv6 碎片都将计入 IPv6 Small 

Fragment Threshold(小碎片阈值)。 

默认大小为 48。可以将此值修改为一个是 8 的倍数且介于 40 与 1280 之间的值。 

60 秒内允许小于 IPv6 Smallest Fragment Size(碎片最小大小)的 IPv6 碎片数目。如果超过了这 

一阈值,就会发出一个警报。 

默认值为 10000。可以将此值修改为介于 100 和 100000 之间的值。 

启用后,Network Security Platform 允许对以下 Sensor 型号的最多 9216 字节的 IP 负载执行 

Jumbo Frame 解析:M‑8000、M‑6050、M‑4050 和 M‑3050。 

默认情况下,Jumbo Frame 解析处于禁用状态。 

启用此设置后,请更新 Sensor 上的配置,并重新启动 Sensor 以使更改生效。 

对于 IPv6 流量,系统会针对以下情况生成系统事件: 

• 如果来源地址或目标地址全都为零或全为 15,则保留的地址小于 1。 

• 如果下一个报头 = 44,碎片偏移 = 0 且碎片报头 M = 0,则最终碎片的偏移为零。 

可以从 Threat Analyzer 中查看系统事件。有关 Threat Analyzer 的详细信息,请参阅“McAfee Network Security 

Platform Manager 管理手册”。 


另请参阅 

Jumbo Frame 解析第 256 页 


通过通道传送的流量 

本节介绍 Network Security Platform 如何处理通过通道传送的流量。将 IPv6 数据包封装到 IPv4 数据包时,IPv6 数据 

包即可通过 IPv4 网络。同样,IPv4 数据包也可以通过 IPv6 网络。将一个数据包封装到采用不同协议的另一个数据包中 

从而使该数据包可以通过不兼容网络的方法称为通道传送。 

I 系列和 M 系列 Sensor 支持 4 种类型的通过通道传送的流量。也就是说,系统会针对攻击解析以下 4 种类型的流量: 

• IPv4 中的 IPv6 




不支持多级别的通过通道传送的流量。也就是说,允许数据包通过,但不会针对攻击来解析数据包。 

图 4-18 通过通道传送的数据包的常规示意图 

请注意,外部的 IP 报头是在通道传送后插入的,它包含通道(即中间)来源和目标 IP 地址。对于通过常规路由封装 

(GRE) 通道传送的流量,将插入其他 GRE 报头。内部报头包含实际的来源和目标 IP 地址。 

在 N‑450 Sensor 上不支持对通过 GRE 通道传送的 IPv6 流量进行通道传送和解析。 

以下是与 Sensor 如何处理通过通道传送的流量有关的一些要点: 

• 如果已配置防火墙,请注意,防火墙访问规则仅适用于外部报头。在 Network Security Platform 中,防火墙仅受 

IPv4 流量支持。因此,对于通过通道传送的流量,只有当外部 IP 报头为 IPv4 报头时防火墙策略才会很重要。请注 

意,在访问规则中,对于通过通道传送的流量,目标 IP 协议编号应该设置为 4 或 41,而对于通过 GRE 通道传送的 

流量,则应设置为 47。 

• 通过通道传送的流量不支持通过 SNMP 在警报中重置 TCP。 

• 系统仅针对 DoS 攻击来解析 IPv4 流量。对于通过通道传送的流量,Network Security Sensor 使用内部 IP 报头来检 

测 DoS 攻击。因此,只有在内部 IP 报头为 IPv4 报头时,才适合对通过通道传送的流量执行 DoS 攻击检测。 

• 以下 Sensor 型号可解析通过 GRE 通道传送的流量: 

• I‑4010、I‑4000 和 I‑3000 Sensor 

• 所有 M 系列 Sensor 

其他 Sensor 仅允许通过 GRE 通道传送的流量通过。 




4 



• 仅支持 GRE 版本 0。 

• 仅转发具有序列号选项的 GRE 流量,且不会进行解析。 

• 仅转发具有路由报头的 GRE 流量,且不会进行解析。 

• 对于故障转移模式中的 Sensor,您需要在成员 Sensor 上为要解析的通过 GRE 通道传送的流量启用通道传送。 

默认情况下,通道传送处于禁用状态。 

以下 CLI 命令可用于通道传送: 

• show parsetunneledtraffic status: 用于了解 Sensor 当前的通道传送配置状态。 

• set parsetunneledtraffic enable: 用于启用 Sensor 的通道传送配置。 

• set parsetunneledtraffic disable: 用于禁用 Sensor 的通道传送配置。 

有关详细信息,请参阅“McAfee Network Security Platform CLI 手册”。 

另请参阅 

Jumbo Frame 解析第 256 页 

Jumbo Frame 解析 

Jumbo Frame 是以太网帧,其每个数据包载有的负载要多于标准以太网帧。它们用于通过对每个数据包启用更有效的负 

载,增强网络吞吐量,并提高大文件传输的 CPU 利用率。例如,Jumbo Frame 大小的数据包可在以太网帧中载有超 

过 1500 字节的负载。 

Network Security Platform 将在检测攻击时解析 Jumbo Frame。Network Security Sensor (Sensor) 支持在串联、Tap 

和 SPAN 模式下进行 Jumbo Frame 解析。 

以下 Sensor 型号支持对最多 9216 字节 (9KB) 的 IP 负载进行 Jumbo Frame 解析: 

• M‑8000 

• M‑6050 

• M‑4050 

• M‑3050 

启用 Jumbo Frame 解析 

1 千兆位 Sensor 端口将以串联模式转发 IP 负载大于 9KB(9216 字节)且最多为 9724 字节的 Jumbo Frame。1 千兆 

位端口上将丢弃 IP 负载大于 9724 字节的帧。但是,10 千兆位 Sensor 端口将以串联模式转发 IP 负载大于 9KB 

(9216 字节)且最多为 16KB(16384 字节)的 Jumbo Frame。10 千兆位端口上将丢弃 IP 负载大于 16KB 的帧。 

要在 IPS Sensor 中启用 Jumbo Frame 解析,请执行以下操作: 

任务 

1 在 Manager 资源树中,选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS Sensor(IPS 

Sensor)” | “Advanced Scanning(高级扫描)” | “IP Settings(IP 设置)”。 

图 4-19 Jumbo Frame 解析 


2 在“Common IP Parameters(常见 IP 参数)”部分中,对“Jumbo Frame Parsing(Jumbo Frame 解析)”选择“Enabled 

(启用)”,并单击“Update(更新)”以更新 Sensor 上的配置。 

3 重新启动 Sensor,以使更改生效。 

对于故障转移对中的 Sensor,必须在故障转移对的每个成员 Sensor 上启用 Jumbo 解析。 

另请参阅 

配置 IP 设置第 252 页 

流量管理第 274 页 

通过通道传送的流量第 255 页 

支持 Jumbo Frame 的 Sensor 功能 

“IPS attack detection(IPS 攻击检测)”:Sensor 将针对 IPv4 和 IPv6 流量检测 Jumbo Frame 中的所有攻击类型(侦测、 

DoS、利用漏洞、基于 HTTP 响应的攻击等)。此外,还将在带有 VLAN、双重 VLAN 和 MPLS 报头的零碎和非零碎 

Jumbo Frame 中检测攻击。Sensor 将检测 IPv4/IPv6 流量中最大为 9216 字节 (9KB) 的零碎 Jumbo Frame 中的攻击。 

IPS Sensor 接口类型可以是专用、VLAN、桥接 VLAN 或 CIDR。 

请注意,Sensor 还将检测 Jumbo Frame 中针对非标准端口的攻击。 

按照已配置的攻击响应操作,Sensor 将响应或阻止数据包。与标准以太网帧一样,将在 Threat Analyzer 中触发警报。 

“Custom attack detection(自定义攻击检测)”:Sensor 将检测 Jumbo Frame 中的自定义攻击,并在 Threat Analyzer 

中触发警报。 

“IP Spoofing detection(IP 欺骗检测)”:Sensor 将丢弃 Jumbo Frame 中收到的 IP 欺骗数据包。 

“Fail‑open and fail‑close modes(失效打开和失效关闭模式)”:Sensor 支持 Jumbo Frame 的失效打开和失效关闭模式。 

“Traffic management(流量管理)”:Sensor 在 Jumbo Frame 小于 9216 字节的流量中提供了流量管理技术(速率限制、 

DiffServ 标记和 VLAN 802.1p 标记)。 

“Forensic packet logging(鉴证数据包记录)”:如果已为攻击启用了鉴证数据包记录,且在包含 Jumbo Frame 的流中找 

到了攻击,则 Threat Analyzer 中将显示此攻击的鉴证数据包日志信息。 

“Syn cookie handling(SYN Cookie 处理)”:当 SYN Cookie 在 Sensor 上与 Jumbo Frame 解析配合启用时,即使网络 

路径支持 Jumbo Frame,您仍可能会遇到负载大于 Sensor 播发的 MSS 的应用程序的 TCP 分段,从而导致非 Jumbo 

Frame。这将会使性能降低,因为尽管网络路径支持 Jumbo Frame,但端点会交换非 Jumbo Frame。 

“Firewall policies(防火墙策略)”:在 Sensor 中启用 Jumbo Frame 解析之后,防火墙访问规则将按配置应用于最大为 

9216 字节 (9KB) 的 Jumbo Frame。 

“Snort signatures(Snort 特征码)”:启用了 Jumbo Frame 解析和 Snort 之后,Sensor 将检测 Jumbo Frame 中的 

Snort 攻击(如果有)。此外,还将在零碎的 Jumbo Frame(其中 Snort 特征码分为多个碎片)中检测攻击。有关详细信 

息,请参阅“McAfee Network Security Platform 自定义攻击定义手册”。 

“GRE tunneled traffic(通过 GRE 通道传送的流量)”:启用了通道传送配置和 Jumbo Frame 解析之后,Sensor 将对作 

为 Jumbo Frame 接收的通过 GRE 通道传送的流量执行 IPS 检测。 

Jumbo Frame 解析还受 IPS 隔离、端口群集、故障转移、第 2 层模式和 Sensor 性能监控的支持。 

配置数据包日志响应的警报抑制 



“Logging and Alerting(日志记录和警报)”操作可以为特定“来源‑目标”IP 对在有限时间范围内检测到的单个攻击的多次 

实例设置抑制阈值,以及设置攻击数据包记录。这一功能称为Exploit throttling(利用漏洞合并)。利用漏洞合并会限 

制 Sensor 发送给 Manager 的重复警报的数量。对于假造来源 IP 地址且生成大量警报的重复利用漏洞攻击,合并功能 

非常有效。此外,如果 Sensor 失去与 Manager 的通信,或者 Sensor 的警报生成速度过快而无法将数据发送到 


4 



Manager,Sensor就会将警报和数据包日志保存在先进先出 (FIFO) 缓冲区中。此类型的警报在“Threat Analyzer 

Details View(Threat Analyzer 详细信息视图)”中显示为“Exploit(利用漏洞)”,并且“Alert Count(警报计数)”为 2 或更 

高。 

警报抑制不适用于基于异常的缓冲区溢出和 shellcode 攻击。 

在 Network Security Platform 中,利用漏洞合并警报是指将发自同一来源、具有相同目标、由同一 VIPS 检测到的同一 

攻击(根据攻击 ID)的多个实例组合在一起。(VIPS 可以是接口或子接口;如果接口被细分为多个子接口,则 VIPS 为 

子接口。)因此,等式为: 

攻击 ID + VIPS + 来源 IP + 目标 IP + 计数 = 利用漏洞合并攻击 

“Maintain [”X“] unique source‑destination IP pairs(记录 [X] 个独特的“来源‑目标”IP 对)”字段指定了给定时间内记录的 

独特的利用漏洞限制攻击实例数。例如,如果输入数目为 10,则特定时间内可以跟踪 10 个独特的利用漏洞合并攻击实 

例。数目达到 10 个之后,所有其他实例都存储于一个“通用”实例中,即发生在 10 个独特的实例以外的攻击都作为一个 

实例来处理,但其来源和目标 IP 不会出现在利用漏洞合并摘要中,因为它可能涉及多个地址。这是 Sensor 的内存有限 

所致。限制条目达到“Suppress for [”X“] seconds(抑制 [X] 秒)”的时间限制之后,会被删除。 

“Send first [”X“] as individual alerts(将前 [X] 个作为单独的警报发送)”用于指定将独特的抑制实例归类为一个利用漏洞 

限制攻击之前,需要检测到的最低警报数目。这意味着您“接受”一定数量 (x) 的同一攻击。因此,如果您在“Suppress 

for [”X“] seconds(抑制 [X] 秒)”字段指定的间隔之前检测到 x‑1 个个实例,这些实例只会生成各自的警报,而不存在利 

用漏洞限制。而如果检测到了 x+1 个实例,则前 x 个攻击仍作为单独的警报发送,超出这一数目的攻击则限制为一个警 

报,以概括这一持续的攻击。将一些合并的警报分开发送,可查看前面几个攻击实例的详细信息和数据包日志信息。 

“Suppress for [”X“] seconds(抑制 [X] 秒)”字段是收集同一攻击的实例的时间长度。此值起计时器的作用。计时器一旦 

超时,即清除当前的实例,从而为新的抑制实例腾出空间。 

“Correlate signatures for a single attack for [”X“] seconds(单个攻击的特征码关联时间为 [X] 秒)”字段指定 Sensor 关联 

特征码以检测单个抑制攻击实例的时间。许多攻击都具有多个特征码。因此只要已抑制攻击的任一特征码检测到一个攻 

击实例,抑制便会生效。在抑制警报记录中,关联将发送具有最低良性触发几率的特征码。 

要启用警报合并,请执行以下操作: 

任务 

1 单击“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “Logging 

and Alerting(日志记录和警报)”。 

图 4-20 响应操作设置 


2 在“OS Finger Printing(操作系统指纹识别)”下的“Enabled(启用)”处选择“Yes(是)”,打开操作系统指纹识别。 

3 在“Alert Suppression(警报抑制)”下的“Enabled(启用)”处选择“Yes(是)”,打开警报抑制。 

选择“No(否)”并单击“Update(更新)”可以随时关闭操作系统指纹识别或警报抑制。 

4 在“Maintain [”X“] unique source‑destination IP pairs(记录 [X] 个独特的“来源‑目标”IP 对)”中键入值。 

这是在指定时间限制之内记录计数的独特实例数。所有其他抑制的组合则记录在一个“通用”实例中。默认值为 10 个 

实例。 

5 在“Send first [”X“] as individual alerts(将前 [X] 个作为单独的警报发送)”字段中键入值。 

这一数字是将所有警报集合为一个合并实例之前发送的单个抑制警报的数目。默认值为 1 个警报。通过在合并之前 

发送独立的警报,可以为每个警报生成单独的数据包日志,而不是为整个合并警报生成单个日志。 

6 在“Suppress for [”X“] seconds(抑制 [X] 秒)”中键入值。 

7 在“Alert Correlation(警报关联)”下的“Correlate signatures for a single attack for(单个攻击的特征码关联时间)”字 

段中键入值。默认值为 5 秒。 

默认值为 120 秒。在这一时限中,“步骤 3”中的“Maintain [”X“] unique source‑destination IP pairs(记录 [X] 个独特 

的“来源‑目标”IP 对)”处于活动状态。 

8 在“Packet Log Settings(数据包日志设置)”下选择“Maximum Packets Logged Per Flow(每个流记录的最大数据 

包)”。 

两个选项都将包括攻击之前的 128 字节。您可以执行以下任一操作: 

• “Log Whole Flow(记录整个流)”:记录从传输开始到结束的整个流。 

• “Log up to” n “packets per flow(每个流记录最多 n 个数据包)”:键入在一个流内要记录的数据包数目(1000 至 

64000)。从攻击数据包开始记录。默认值为 1000 个数据包。 

即使选择“Log Whole Flow(记录整个流)”,Sensor 也可能在出现故障时无法继续记录。 

9 在“Enabled(启用)”处选择“Yes(是)”以“Enable Packet Log Channel Encryption(启用数据包日志通道加密)”。 

10 单击“Update(更新)”。由于超出这一阈值而发出的警报称为限制警报。 

您可以在 Threat Analyzer 的“Alert Details(警报详细信息)”的“Type(类型)”字段中看到此名称(有关详细信息,请 

参阅“查看警报详细信息”。 


另请参阅 


配置攻击编译 

攻击编译页面(“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | 

“Attack Compilation(攻击编译)”)允许您指定 IPS 策略中可以包含的攻击定义类型(针对 IPS Sensor 所定义)。 

您还可以为 IPS Sensor选择以下攻击定义: 

• 默认 McAfee 攻击(来自特征码集) 

• 自定义攻击 McAfee 格式 

• 自定义攻击 ‑ 导入的 Snort 规则 

另请参阅 





4 



如何设置扫描例外 

扫描例外功能用于跳过对来自已配置的 VLAN、TCP 或 UDP 端口中流量的扫描。定义的扫描例外配置可在 Sensor 级 

别启用或禁用。 

要在 Manager 中支持此功能,要求 Sensor 软件版本至少为 6.0.7.x 或更高。当 Sensor 软件版本升级到 6.0.7.x 后, 

Manager 会复制并存储 Sensor 中的现有规则。这一过程只会发生一次,以便通过 CLI 处理在 Sensor 中配置的旧规则。 

升级后,您无法通过 CLI 配置 Sensor。 

扫描例外功能规则适用于故障转移对中的两个 Sensor。当创建故障转移对时,主 Sensor 的规则会复制到次 Sensor。 

在以前,通过使用以下 Sensor CLI 命令可支持此功能: 

• layer2 forward tcp [] 

• layer2 forward udp [] 

• layer2 forward vlan [] 

• layer2 forward vlan [] 

• layer2 forward clear 

在这一版本中,这些 layer2 forward CLI 命令从正常 CLI 模式移到了调试模式。有关详细信息,请参阅“McAfee 

Network Security Platform 故障排除手册”。 

扫描例外功能只支持 M 系列的以下 Sensor 型号: 

• M‑2750 • M‑4050 

• M‑2850 • M‑6050 

• M‑2950 • M‑8000 

• M‑3050 

此功能不支持 M‑1250、M‑1450 和 I 系列 Sensor。 

添加扫描例外 

扫描例外规则可在以串联模式运行的端口上配置。设置后,这些规则的优先级要高于防火墙访问规则。不能为故障转移端 

口和 M‑8000 互连端口配置扫描例外 

要添加扫描例外,请执行以下操作: 


任务 

1 选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “Scanning 

Exception(扫描例外)”。 


此时会出现“Add a Scanning Exception(添加扫描例外)”页。 

图 4-21 “Add Scanning Exception(添加扫描例外)”页 

3 在“Type(类型)”字段中,选择要为扫描例外设置的端口类型。 

选项包括“TCP”、“UDP”和“VLAN”。 

4 键入“Port(端口)”编号。 


如果您要为扫描例外配置某一范围的端口编号,请选择“A Range of Ports from(端口范围自)”,并在相应字段中键入 

该范围的上限和下限。 

如果选择“VLAN”作为“Type(类型)”,则将显示新字段“Interface(接口)”。从下拉列表中选择“Interface(接口)”。 

添加扫描例外后,“Scanning Exceptions(扫描例外)”页将在“TCP Rules(TCP 规则)”、“UDP Rules(UDP 规则)” 

和“VLAN Rules(VLAN 规则)”表中显示“Value(值)”(端口编号)和“Resource(资源)”(Sensor 名称)。 

启用扫描例外 

要启用扫描例外,请执行以下操作: 




4 



任务 

1 选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “Scanning 

Exception(扫描例外)”。 

此时会出现“Scanning Exceptions(扫描例外)”页。 

图 4-22 “Scanning Exceptions(扫描例外)”页 

2 在“Enable Scanning Exceptions(启用扫描例外)”字段中选择“Yes(是)”。 

默认情况下选中的选项是“No(否)”。 


扫描例外报告 

在启用扫描例外之前,您应该先添加(创建)一个扫描例外。 

扫描例外报告提供了 Sensor 的 VLAN、TCP 或 UDP 端口上配置的扫描例外的详细视图。扫描例外信息包括例外类型 

和分配的接口。 

要生成故障日志报告,请执行以下操作: 

任务 

1 从“Manager”主页中选择“Reports(报告)”图标。 

2 单击“Traditional(传统)” | “Configuration(配置)” | “Scanning Exceptions(扫描例外)”。 

3 选择“Devices(设备)”。 

4 选择一个或多个例外(VLAN、TCP 和 UDP)。 

5 选择“Output Format(输出格式)”。 

6 单击“Submit(提交)”。 

操作系统指纹识别 

Network Security Platform 提供了执行操作系统 (OS) 指纹识别的功能。操作系统指纹识别是指确定连接到网络的主机 

所使用的操作系统的过程。许多漏洞都与操作系统有关,因此确定主机上的操作系统可以帮助 Network Security 

Platform 确定目标主机上攻击的严重性并采取相应的措施。 


Network Security Platform 支持使用以下两种方法来进行操作系统指纹识别: 

• 使用 McAfee ® Network Access Control 进行指纹识别:在将主机插入网络中时,Network Security Sensor 使用该方 

法来来确定计算机上的操作系统。这仅适用于在 Sensor 上启用了基于工作状态的 NAC 的情况。 

• 被动操作系统指纹识别:Network Security Platform 针对 TCP 连接执行被动操作系统指纹识别。在建立 TCP 连接 

的阶段(在 SYN 和 SYN+ACK 数据包中)交换的信息用于确定主机上的操作系统。 

默认情况下,被动操作系统指纹识别处于禁用状态。您可以在“> IPS Settings(IPS 设置)” | “Sensor_Name 

(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “Logging and Alerting(日志记录和警报)”。 

图 4-23 启用操作系统指纹识别 

当 Sensor 检测到对这些主机的攻击和来自这些主机的攻击时,显示在 Threat Analyzer 中的警报包括来源主机和目标主 

机的操作系统信息。在基于健康状况的 NAC 和被动操作系统指纹识别处于启用状态时,Network Security Platform 显 

示 McAfee NAC 务器所发送的操作系统信息。 

显示在 Threat Analyzer 中的操作系统信息可能与主机上所安装的操作系统版本完全匹配,也可能是最接近的匹配。 

查看操作系统信息 

如果在“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “Logging and 

Alerting(日志记录和警报)”下启用了被动操作系统选项,则可以在 Threat Analyzer 的 “Alerts(警报)”页中查看操作系 

统 (OS) 信息。 

图 4-24 警报中的操作系统信息 




4 



如果通过从列标题的右键单击菜单中选择相关选项而启用了对于“Source OS(来源操作系统)”和“Destination OS(目标 

操作系统)”列的显示,则可以在“Alerts(警报)”页中查看这些列。 

图 4-25 启用操作系统信息 

“Alerts(警报)”页中的“Source OS(来源操作系统)”和“Destination OS(目标操作系统)”列显示 TCP 流量的操作系统信 

息。在以下情况下,这些列显示“Not Available(不可用)”: 

• 在“IPS settings(IPS 设置)”节点下面未启用操作系统指纹识别 

• 对于非 TCP 流量 

• 如果堆栈经过修改 

在 McAfee NAC 处于启用状态时,操作系统信息显示在 Threat Analyzer 的“Host(主机)”页中。 

此信息显示在“OS(操作系统)”列中,而且仅针对托管主机和来宾客户端可用。对于其他主机,操作系统信息显示为 

“Not Available(不可用)”。有关托管主机和来宾客户端的详细信息,请参阅“McAfee Network Security Platform NAC 管 

理手册”。 


您可以右键单击“Host(主机)”页并选择“Show Column(显示列)”来显示“OS(操作系统)”列。 

图 4-26 托管主机的操作系统信息 


“Firewall(防火墙)”选项卡提供了用于配置防火墙日志记录和启用 IP 欺骗检测的操作。“Firewall(防火墙)”选项卡上的可 

用操作有: 

• Firewall Logging(防火墙日志记录):针对与防火墙访问规则匹配的流量启用日志记录。 

• Enabling IP Address spoofing detection(启用 IP 地址欺骗检测):启用 IP 欺骗攻击检测。 

图 4-27 “Firewall(防火墙)”选项卡 

另请参阅 

编辑防火墙日志记录设置第 270 页 

启用 IP 地址欺骗检测第 272 页 

为 Sensor 分配防火墙策略 


如何为 IPS Sensor 配置防火墙日志记录 4 

防火墙策略无需进行全面检查即可拒绝指定的流量,而且无需进行检查即可允许某些流量通过,可以最大程度地提高 

Sensor 的检查和预防能力。 


4 



在 Sensor 级别,可以为整个 Sensor 以及 Sensor 的特定端口/端口对分配防火墙策略。在 Sensor 级别为特定端口/端口 

对分配的策略会由所有的端口/接口/子接口继承,而分配的策略将由对应的接口和子接口(如果适用)继承。对于防火墙 

策略,接口是其对应端口或端口对的子集。也就是说,在 Sensor 级别为端口/端口对配置的访问规则会由对应的接口和 

任何子接口继承。但在接口级别创建的规则不会由对应的子接口继承,因为以下策略应用规则会将接口通信流与子接口 

通信流分开: 

如果配置多个访问规则,请注意其排列顺序,因为访问规则将按从上到下的顺序执行:从列表顶部的第一条规则开始, 

依序检查到底部的最后一条规则。Network Security Platform 采用第一个匹配过程,即实施序列中第一个匹配的规则。 

如果您在子接口上应用的不是继承的策略,那么特定于子接口的流量将不受在接口级别执行的策略的保护。因此,对于 

访问规则,继承规则要求在 Sensor 级别或物理端口/端口对级别创建全局规则:接口规则只适用于接口,子接口规则也 

只适用于子接口。 

在 Sensor 级别应用的访问规则将由 Sensor 有接口和子接口继承。可以在接口和子接口级别添加多个规则;但不能在子 

级别删除继承的规则。即使 Sensor 级别上没有分配任何规则,仍然可以在接口和子接口级别分配规则。 

在以下情况下,当在 Sensor、接口和子接口级别分配防火墙策略时,可能会在零碎流量中遇到某种干扰: 

• 在 Manager 和 Sensor 中启用了“SYN Cookie” 

• “Response Action(响应操作)”设置为“Permit(允许)” 

• “Enable Intrusion Prevention for traffic matching this rule(对符合此规则的流量启用入侵检测)”设置为“No(否)”。 

对于在以下情况下创建而且分配给 Sensor 的零碎 TCP 访问规则,可能会在零碎 TCP 流量中遇到某种干扰: 

• “Response Action(响应操作)”设置为“Permit(允许)” 

• “Enable Intrusion Prevention for traffic matching this rule(对符合此规则的流量启用入侵检测)”设置为“No(否)”。 

• “Advanced Scanning(高级扫描)”> “TCP Settings(TCP 设置)”> “ TCP Flow Violation(TCP 流违规)”设置为 

“Permit‑out‑of‑order(允许乱序)”以外的任何值 

在防火墙策略中,可以分别为“Inbound(入站)”和“Outbound(出站)”流量创建单独的访问规则。入站指源自外部并以内 

部网络为目的地的流量。出站指源自内部网络的流量。 

您可以通过“Protection Profile(保护配置文件)”页面为 Sensor/端口/VIDS 分配规则,并在相应的“Protection Profile(保 

护配置文件)”页面上,通过单击“Effective Firewall rules(有效防火墙规则)”字段中的“Inbound Rules(入站规则)”或 

“Outbound Rules(出站规则)”来查看端口或 VIDS 上的规则顺序。 

对于 Sensor、端口和 VIDS,您可以选择在管理域中创建的规则,并将其应用到实体上。 

另请参阅 

在 IPS Sensor 中管理防火墙策略第 266 页 

查看有效防火墙规则第 269 页 

在 IPS Sensor 中管理防火墙策略 

您可以在 IPS 设置级别创建防火墙策略,并将其应用到 IPS Sensor (预置设备或后置设备)或其他资源(如端口、接口 

和子接口)中。 

任务 



3 在“Properties(属性)”选项卡中,输入策略的“Name(名称)”和“Description(描述)”。 

“Owner(所有者)”字段对应您选定的管理用户。 

4 默认情况下,“Visible to Child Admin Domains(对子管理域可见)”处于选中状态。如有必要,清除所做的选择。 



6 在“Firewall Policies(防火墙策略)”窗口中,单击“Access Rules(访问规则)”。 

单击“Access Rules(访问规则)”后,您将无法更改策略类型。 

7 单击“Insert Above(在上方插入)”或“Insert Below(在下方插入)”。 

将插入默认的“Access Rule(访问规则)”。 

图 4-28 添加访问规则 

8 修改默认的“Access Rule(访问规则)”。 

a 将鼠标移动到“Description(描述)”字段的右角,会显示出编辑图标。 

b 单击编辑图标,会显示“Description(描述)”文本框。 

c 输入描述(长度不超出 64 个字符),然后单击“OK(确定)”。 

d 要更改“Source(来源)”的值,请将鼠标移至右角,然后单击编辑图标。 

e 对于“Advanced Firewall(高级防火墙)”策略,请更改“Destination(目标)”、“Application(应用程序)”和 

“Effective Time(有效时间)”对应的值。而对于“Classic(经典)”策略,请更改“Destination(目标)”和“Service(服 

务)”对应的值。 

f 要更改“Response(响应)”操作,请将鼠标移动到右角,然后单击编辑图标。 

g 对于“Primary Action(主操作)”字段,请从以下选项中选择: 

• Inspect(检查):允许流量通过但要检查其中是否有攻击。 

• Drop(丢弃):仅丢弃流量。 

• Deny(拒绝):丢弃流量并重新设置与流量来源的连接。 

• Ignore(忽略):允许流量通过而且不进行任何进一步的检查。 

h 选择“Log to Syslog(记录到 Syslog)”,可以将“Firewall(防火墙)”日志信息发送到配置的 Syslog 服务器。 

i 单击“OK(确定)”。 

j 要更改“Direction(方向)”字段,请在该字段右角单击,然后从以下值中选择一个: 

• Inbound(入站):只对外部端口所载的流量应用该规则。 

• Outbound(出站):只对内部端口所载的流量应用该规则。 

• Either(任一):对两种端口都应用该规则。 




4 



9 重复执行第 2 步和第 3 步,以添加更多“Access Rules(访问规则)”。 

10 取消选中“Prompt for assignment after save(保存后提示分配)”。 


12 转到“admin_domain(管理域)” | “IPS Settings(IPS 设置)” | “Firewall Policies(防火墙策略)”。 

13 单击与要分配的策略对应的“Assignments(分配)”值。 

此时将显示“Assignments(分配)”窗口。此窗口会列出管理域的可用资源。要对可用资源列表进行过滤,请在 

“Search Resources(搜索资源)”文本框中输入要搜索的字符串。您还可以使用“Show device‑level resources(显示 

设备级别资源)”、“Show physical port pairs(显示物理端口对)”和“Show interfaces and sub‑interfaces(显示接口和 

子接口)”复选框。当您选中这些复选框时,相应管理域的 Sensor 资源会在“Available Resources(可用资源)”中列 

出。例如,如果管理域只拥有从父域分配的 Sensor 端口,而没有自带的 Sensor,那么列出的资源中将没有设备级 

别的资源。 

14 





与防火墙相关的容量值 

本节介绍了各种 M 系列 Sensor 型号的与防火墙相关的容量值。 

型号有效访问规则规则对象 DNS 规则对象规则对象组(例如应用程序组和服务组) 自定义规则对象 

M‑8000 10000 70000 2500 500 1000 

M‑6050 5000 35000 1250 400 500 

M‑4050 3000 21000 1000 300 500 

M‑3050 3000 21000 1000 300 500 

M‑2750 2000 14000 750 200 250 

M‑2850/M‑2950 2000 14000 750 200 250 

M‑1250/M‑1450 1000 7000 500 100 150 

注意: 

• 如果超过上表的限制,则 Sensor 的配置更新会失败。 

• 在 Sensor 级别也限制了您能够在防火墙策略中参考的条目数量。对于给定的 Sensor 型号,这些限制与对有效访问 

规则的限制相同。这些限制应用于“Source(来源)”、“Destination(目标)”、“Service(服务)”和“Application(应用程 

序)”。因此,对于 M‑4050,防火墙策略可以为“Source(来源)”参考 3000 个对象,为“Destination(目标)”参考 

3000 个对象,为“Service(服务)”参考 3000 个对象,为“Application(应用程序)”参考 3000 个对象。 

• 即使您在所有规则中都参考相同的对象,每条参考都需计数。请考虑下面的示例规则: 

1 来源 10.1.1.10 | 目标 20.1.1.10 | 应用程序:cvs、dns、Gmail 

2 来源 10.1.1.10 | 目标 20.1.1.20 | 应用程序:cvs、dns、Gmail 


虽然两个规则中的来源是相同的,但是两个参考都需计数。因此,对于 M‑4050 Sensor,您还可以参考 2998 个来源 

对象。同样,“Destination(目标)”计数为 2 个,“Service(服务)”计数为 4 个,因为有 2 个参考 cvs,2 个参考 

dns。“Application(应用程序)”计数为 2,因为有 2 个参考 Gmail。 

• 如果您使用 Network Group(网络组)等 Group Rule Object(组规则对象),则该组的每个实体都需计数。假设一个 

规则参考网络组作为来源。此网络组包含 3 个 HostIPv4 规则对象。这 3 个规则对象中的每个都参考了 10 个 IPv4 

地址。在这种情况下,“Source(来源)”的计数总计为 30,因为最终此访问规则参考了 30 个 IP 地址作为来源。 

下表提供了 I 系列 Sensor 的容量值: 

型号有效访问规则 

I‑4010、I‑4000、I‑3000 10000 

I‑2700 400 

I‑1400 100 

I‑1200 50 

查看有效防火墙规则 

有效防火墙规则是指访问规则的有序列表,Sensor 将对照它在端口/端口对、接口或子接口上发现的流量,按从上到下 

的方式检查这些访问规则。在您为所需的 Sensor 资源分配防火墙策略后,Manager 对这些策略中的所有规则进行排序, 

并为每个端口/端口对、接口或子接口创建有效防火墙规则列表。它为入站和出站流量分别创建了单独的列表。 

在所有的有效防火墙规则列表中,Manager 在底部添加了一个默认条目,允许所有经过 IPS 检查的流量通过。您无法对 

这一默认条目进行修改或删除。如果您未对 Sensor 的任何资源分配任何防火墙策略,这一默认条目将应用到所有的端口/ 

端口对、接口和子接口。防火墙日志记录对该条目不适用。 

有效防火墙规则列表中规则的顺序基于 Sensor 资源的层次结构。也就是说,预置设备防火墙策略的规则列在顶部,接 

着是接口或子接口策略的规则,然后是端口级别的策略,最后是后置设备级别的策略。您可以查看端口/端口对、接口和 

子接口的入站和出站有效防火墙规则。 

图 4-29 查看有效防火墙访问规则 

显示的字段包括: 

表 4-1 

字段描述 

Resource Level(资源级 

别) 

# 策略中规则的顺序。 

Enabled(已启用) 规则是否处于活动状态。 

Description(描述) 规则的描述(如可用)。 



规则适用的 Sensor 资源。可以是 Sensor、端口、接口或子接口。 

Source(来源) 流量的来源。对于高级防火墙策略,来源基于国家/地区、主机名称、IPv4 地址、IPv4 地址 

范围、网络或网络组。而对于经典策略,则是基于 IPv4 地址或网络。 

Destination(目标) 流量的目标。对于高级防火墙策略,目标可以基于国家/地区、主机名称、IPv4 地址、IPv4 

地址范围、网络或网络组。而对于经典策略,则可以基于 IPv4 地址或网络。 

Application(应用程序) 它是指“Application(应用程序)”、“Application Group(应用程序组)”、“Application on 

Custom Port(自定义端口上的应用程序)”、“Service(服务)”或“Service Group(服务组)”。 


4 



表 4-1 (续) 

字段描述 

Service(服务) 只有在应用经典策略时,才会显示此字段。它是指为规则定义的服务。 

Response(响应) Sensor 会对符合规则的流量执行响应操作。 

Effective Time(有效时间) 是指规则生效后的时间段。属于经典策略的规则将显示为“Always(始终)”。 

Direction(方向) 指示规则是适用于入站、出站流量,还是同时适用于这两者。 

Firewall Policy(防火墙策 

略) 

要查看规则描述,请执行以下操作: 

规则所属的防火墙策略的名称。 

1 转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Port, Interface, or Sub‑interface(端口、接口或 

子接口)” 

2 在“Protection Profile(保护配置文件)”页的“Firewall Policy(防火墙策略)”部分中,请单击“Effective Firewall Rules 

(有效防火墙规则)”下的“Inbound Rules(入站规则)”或“Outbound Rules(出站规则)”链接。 

计算每个 Sensor 使用的访问规则的数量 

通过添加在 Sensor 级别、端口级别以及接口或子接口级别上配置的所有规则,您可以计算每个 Sensor 使用的防火墙访 

问规则的数量。 

示例:计算每个 Sensor 使用的访问规则数 

在 I‑4010 Sensor 上,如果在 Sensor 级别上配置 8 条规则、在端口对 2A‑2B 上配置 20 条规则,以及在 4A‑4B 的子接 

口上配置 10 条规则,则您使用了 1000 条限制中的 38 条。 

您还可以计算所使用的访问规则的数量,方法是将 Sensor 的每个端口、接口和子接口级别上“Inbound Rules(入站规 

则)”或“Outbound Rules(出站规则)”链接下显示的规则数量相加。 

计算端口群集过程中使用的访问规则的数量 

使用端口群集(接口组合)并配置端口级别的访问规则时,使用的访问规则的数量(对于每个端口群集级别访问规则)将 

根据群集的参与端口类型而有所不同。每个串联端口对成员将使用一个规则,并且端口群集的每个 SPAN 端口成员将使 

用一个规则。 

示例:计算为端口群集定义的每个端口级别访问规则的有效访问规则利用率 

端口群集 1:如果端口群集由 1A‑1B(串联,失效打开)、2B (SPAN) 和 4A‑4B(串联,失效关闭)组成,则在端口级别 

配置的每个访问规则将使用 3 个访问规则。 

端口群集 2:如果端口群集由 1A (SPAN)、4A (SPAN)、5A (SPAN) 和 6A‑6B(串联,失效关闭)组成,则在端口级别 

配置的每个访问规则将使用 4 个访问规则。 

编辑防火墙日志记录设置 

防火墙日志记录会跟踪根据访问规则丢弃/允许的数据包。选择“Log traffic only if the matched rule is configured to log(仅 

当匹配的规则配置为记录时才记录流量)”,会只针对启用了“Log to Syslog(记录到 Syslog)”的访问规则的流量生成日 

志。 

要启用/禁用防火墙日志记录,请执行以下操作: 


任务 

1 转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Firewall(防火墙)” | “Firewall Logging(防火墙 

日志记录)”或“NAC Settings(NAC 设置)” | “Sensor_Name(Sensor 名称)” | “Firewall(防火墙)” | “Firewall Logging 

(防火墙日志记录)”。 

即会打开“Firewall Logging(防火墙日志记录)”。 

图 4-30 编辑防火墙日志设置 

2 针对“Logging(日志记录)”,选择以下任一选项: 

• “Disabled on this device(在本设备上禁用)”:禁用设备上的日志记录功能。此选项会覆盖单独访问规则上的设 

置。 

• “Log all matched traffic(记录所有匹配的流量)”: 记录所有与规则相匹配的流量,无论其是否被丢弃/拒绝或允 

许。此选项会覆盖单独访问规则上的设置。 

• “Log all dropped/denied traffic(记录所有丢弃/拒绝的流量)”:记录根据访问规则丢弃或拒绝的所有流量。此选 

项会覆盖单独访问规则上的设置。 

• “Log all permitted traffic(记录所有允许的流量)”:记录根据访问规则允许的所有流量。此选项会覆盖单独访问规 

则上的设置。 

• “Log traffic only if the matched rule is configured to log(仅当匹配的规则配置为记录时才记录流量)”:此选项仅 

当为相应访问规则配置了日志记录时才记录。 

3 对于 M 系列 Sensor,在“Delivery(递送)”字段,您可以选择是希望 Manager 将日志发送到 Syslog 服务器,还是希 

望 Sensor 直接发送。 

4 在域级别查看目标 Syslog 服务器的详细信息,并根据需要进行编辑。 

5 启用或禁用“Suppression(抑制)”。 




4 



抑制日志条目会使 Sensor 发送代表事件第一个实例的最初日志条目(数目可以配置),然后在配置的时间(秒)内抑 

制同一事件的其余实例。此功能可将日志文件大小保持在可控制范围内。如果启用抑制,请完成以下步骤: 

a 指定“Individual messages to send before suppressing(抑制之前要发送的个别消息)”的值。 

指定将独特的抑制实例归类为一个攻击之前,需要检测的最低警报数目。这意味着您“接受”一定数量 (x) 的同一 

攻击。因此,如果间隔(“Suppression interval(抑制间隔)”字段)之前检测到 x‑1 个实例,这些实例只会生成各 

自的警报,而不存在利用漏洞合并。而如果检测到 x+1 个实例,则前 x 个攻击仍作为单独的警报发送,超出这一 

数目的攻击实例则合并为一个警报,以概括这一持续的攻击。将一些合并的警报分开发送,可查看前面几个攻击 

实例的详细信息和数据包日志信息。 

b 指定“Suppression interval(抑制间隔)”,单位为秒。 

这表示收集同一攻击的实例的时间长度。此值起计时器的作用。计时器一旦超时,即清除当前的实例,从而为新 

的抑制实例腾出空间。 

c 指定“Unique source‑dest IP pairs to maintain(要维护的唯一来源‑目标 IP 对)”的数目。 

确定在给定时间内要维护的各个抑制实例的数目。例如,如果输入数目为 10,则给定时间内可以跟踪 10 个各不 

相同的实例。数目达到 10 个之后,所有其他实例都存储于一个“通用”实例中,亦即发生在 10 个各不相同的实例 

以外的其他各个组合都作为一个实例来处理,但其来源和目标 IP 不会出现在汇总中,因为它可能涉及多个地址。 

在超过时间限制(抑制间隔)后,会删除条目。 


7 对 Sensor 进行配置更新,以使配置生效。 

另请参阅 

如何为 IPS Sensor 配置防火墙日志记录第 265 页 

IP 欺骗检测 

“Anti‑spoofing(反欺骗)”操作可以检测源自网络外部(入站),但将内部地址用作来源 IP 地址的数据包,或源自内部网 

络(出站),但使用在您的自定义“正常”地址列表中未定义的 IP 地址的数据包。IP 地址欺骗检测功能可应用于先前已经 

用 CIDR 寻址方式细分的任何串联接口。 

Sensor 维护它所保护的基于 CIDR 的地址表。例如,如果 Sensor 检测到源自网络外部但含有已识别的内部地址的数据 

包,则会丢弃该数据包。 

已用 CIDR 地址分配方式细分的任何串联模式端口对皆可实施 IP 欺骗检测。另外还包括可用端口对的任何 CIDR 细分 

子接口。例如,串联模式的端口对 1A‑1B 保护 192.168.1.0/24 和 192.168.2.0/24 两个网络。可以创建“Payroll‑Server” 

子接口以保护 192.168.1.1/32 主机。这样为 1A‑1B 启用并配置 IP 欺骗检测时,您将看到可用于防止 IP 欺骗攻击的所 

有三个地址段。 

另请参阅 

管理接口第 331 页 

如果要针对某个端口启用反欺骗,请确保您尚未针对该端口配置 DHCP NAC,因为反欺骗功能可能会导致 DHCP NAC 

不起作用。 

N‑450 Sensor 不支持 IP 欺骗检测。 

启用 IP 地址欺骗检测 

“Anti‑Spoofing(防欺骗)”操作可以检测源自网络外部(入站),但将内部地址用作攻击来源 IP 地址的数据包,或源自内 

部网络(出站),但使用在您的自定义“正常”地址列表中未定义的 IP 地址的数据包。IP 地址欺骗检测功能可应用于已用 

CIDR 寻址方式细分的接口。Sensor 维护它所保护的基于 CIDR 的地址表。例如,如果 Sensor 检测到源自网络外部但 

含有已识别的内部地址的数据包,则会丢弃该数据包。 


已用 CIDR 地址分配方式细分的任何串联模式端口对皆可实施 IP 欺骗检测。另外还包括可用端口对的任何 CIDR 细分 

子接口。例如,串联模式的端口对 1A‑1B 保护 192.168.1.0/24 和 192.168.2.0/24 两个网络。可以创建“Payroll‑Server” 

子接口以保护 192.168.1.1/32 主机。这样为 1A‑1B 启用 IP 欺骗检测时,将检查所有三个地址段的 IP 欺骗攻击。 

如果要针对某个端口启用防 IP 欺骗,请确保您尚未针对该端口配置 DHCP NAC,因为防 IP 欺骗功能可能会导致 DHCP 

NAC 功能不起作用。 

要启用 IP 地址欺骗检测,请执行以下操作: 

任务 

1 转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Firewall(防火墙)” | “Anti‑Spoofing(防欺骗)”。 

随即显示“Edit IP Spoofing Setting for Resource (编辑资源上的 IP 欺骗设置)”页。 

请注意,选项卡对应于 Sensor 上的接口。 

2 选择一个端口对选项卡(例如“8A‑8B”)。 

3 选择流量方向(“Inbound(入站)”为入站,“Outbound(出站)”为出站)。 

4 选择“Enable IP Spoofing Protection(启用 IP 欺骗保护)”。 

如果先前已为接口(和/或对应的子接口)标识了基于 CIDR 的网络或主机,则它们的地址会列在表中。 

只能为处于串联模式且具有 CIDR 接口类型的端口对启用 IP 欺骗检测。 

必须先对 CIDR 条目进行配置,才能让 IP 欺骗检测发挥正常功能。 

图 4-31 配置 IP 欺骗防护 

5 单击“Save(保存)”以启用 IP 欺骗检测;单击“Ignore Changes(忽略更改)”以放弃应用。 



选择“Save(保存)”之后,配置将通过 SNMP 发送至 Sensor;因此无需对 Sensor 执行“Update Configuration(更新 

配置)”。 


4 

流量管理 


流量管理 

请注意,当您启用 IP 欺骗检测时,Sensor 将丢弃所有 IP 欺骗数据包,但不会触发任何警报。通过在实时 Threat 

Analyzer 中创建信息显示板,您可以查看 Sensor 所丢弃的 IP 欺骗数据包的数量。 

要创建信息显示板并查看 Sensor 所丢弃的 IP 欺骗数据包的数量,请执行以下操作: 

a 从 Manager 主页启动 Real‑time Threat Analyzer(实时 Threat Analyzer)。 

此时将打开“Dashboards(信息显示板)”页。 

b 单击“Options(选项)” | “Dashboard(仪表板)” | “New(新建)”。 

c 输入信息显示板的名称,然后单击“OK(确定)”。 

不允许在信息显示板名称中使用空格或特殊字符。 

d 单击“Assign Monitor(分配监视器)”。 

e 在“Assign Monitor(分配监视器)”对话框中,选择“Default Monitors(默认监视器)”作为“Category(类别)”,选 

择“Sensor Performance(Sensor 性能)”作为“Type(类型)”以及选择“Statistics ‑ IP Spoofing(统计数据 ‑ IP 欺 

骗)”作为“Monitor(监视器)”。 

f 单击“OK(确定)”。 

g 在您所创建的信息显示板中,选择已启用防欺骗的 Sensor 和串联端口对。 

“Count(计数)”显示了在端口对丢弃的 IP 欺骗数据包的数量。如果“Count(计数)”下显示“Disabled(禁用)”,则 

表明该端口对未启用防欺骗。请注意,“Ports(端口)”仅列出了串联端口对。 

图 4-32 防 IP 欺骗的信息显示板 

信息显示板不会实时更新。因此,可单击“Refresh(刷新)”以查看最新信息。 

您可以单击“Reset Counters(重置计数器)”将所有数据重置为零。但是,依选定端口所监控的流量的不同,计数 

器可能不会完全重置为零。这是因为从 Manager 将重置请求发送到 Sensor 并返回的过程需要一段时间。在这段 

时间内,监控的流量将产生大于零的值。 

或者,您也可以使用 

show inlinepktdropstats 

CLI 命令来查看 Sensor 丢弃的 IP 欺骗数据包的数目。有关使用 CLI 命令的详细信息,请参阅“McAfee 

Network Security Platform CLI 手册”。 

另请参阅 

如何为 IPS Sensor 配置防火墙日志记录第 265 页 

流量管理技术可帮助您避免流量拥塞、控制网络的可允许限制内的实际通信流,以及使用队列限制网络中的流量暴增现 

象。 

Network Security Platform 提供了三种不同的流量管理技术,即速率限制、DiffServ 标记和 VLAN 802.1p 标记。 


速率限制用于控制通过网络接口发送或接收流量的速率。在串联模式下部署时,Network Security Sensor 通过限制从 

Sensor 端口出去的流量的带宽来限制流量速率。允许小于或等于指定带宽值的流量,但超过该带宽值的流量将被丢弃。 

Network Security Sensor 使用代码桶方法来限制流量速率。 

代码桶是一种控制机制,用于根据桶中是否存在代码的情况指定何时可以传输流量。每个代码都代表一个字节单位。 

区分后的服务或 DiffServ 按照流量分类原则操作,对每个数据包进行分类并将其置于有限数目的流量类中。支持 

DiffServ 的每个网络设备(例如路由器)可以配置为根据类区分流量。因此,您可以采用不同的方式管理每个流量类,确 

保优先处理网络中优先级最高的流量。Network Security Sensor 提供了数据包的 DiffServ 标记。已标记的数据包由 

DiffServ(符合要求的外部网络设备,如路由器)用于流量管理。 

网络设备可按照 IEEE 802.1p 规范在媒体访问控制 (MAC) 层确定流量的优先级,并执行动态多播过滤。802.1p 报头包 

括一个三位优先级字段,可用于将数据包组合到各种流量类中。三位优先级字段为用户提供了八种不同的服务类。系统 

未定义将流量分配到任何特定类时的处理方式,并将其保留下来等待实现。Network Security Sensor 提供了数据包的 

VLAN 802.1p 标记,这些标记将发送给 VLAN 802.1p(符合要求的外部网络设备,如路由器)以进行流量管理。 

Network Security Platform 提供了各个 Sensor 端口处的流量管理配置。也就是说,如果 1A‑1B 是端口对,则需要为 

1A 和 1B 分别配置流量管理。端口的流量管理配置仅适用于从端口出去的流量或外出流量。 

外出流量是从 Sensor 的监控端口出去的网络流量。 

流量管理仅适用于处于串联模式下的 Sensor 端口。 

在 Manager 中,Sensor 的每个流量管理队列都由一个唯一名称进行标识。流量管理队列根据协议、TCP 和 UDP 端口 

以及 IP 协议编号进行配置。 

可以为 Sensor 的每个端口创建多个队列。 

在 Manager 中配置流量管理后,必须更新对 Sensor 的配置。 

另请参阅 

添加流量管理队列第 277 页 

启用流量管理设置第 275 页 

配置流量管理 

可以在 Manager 中执行流量管理配置任务。 

另请参阅 

编辑或查看流量管理队列第 279 页 



删除流量管理队列第 280 页 

启用流量管理设置 

要在 Sensor 中启用流量管理配置,请执行以下操作: 


流量管理 4 


4 


流量管理 

任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Traffic Management(流量管理)”。 

此时将显示“Enable(启用)”页。 

图 4-33 流量管理端口设置 

2 要对此 Sensor 的所有串联端口启用流量管理,请在“Enable Traffic Management Settings(启用流量管理设置)”中, 

选择“Yes(是)”。 

3 单击“Save(保存)”以保存配置更改。 

4 此时将显示一条消息,提示您需要更新 Sensor 配置,才能使流量管理更改生效。 

5 更新 Sensor 的配置,以使更改生效。 

另请参阅 




未分类的流量 

系统为 Sensor 的每个串联端口均提供了流量管理配置选项卡。 

未分类的流量是指未在 Sensor 中配置流量管理队列或规则的流量。对于未分类的流量,可以在各个 Sensor 端口的 

“Port Settings(端口设置)”页中将 DiffServ/VLAN 标记值设置为零。选择“Yes(是)”将这些值设置为零。 

图 4-34 将 DiffServ 和 VLAN 设置为零 

假设您已为通过 Sensor 的未分类流量(例如 Telnet)将 DiffServ 标记值设置为零。在这种情况下,如果 Telnet 流量到 

达 Sensor 时的 DiffServ 标记值为 10,则 Sensor 会以零值来标记 Telnet 流量,然后将其传递给外部网络设备,以进 

行 DiffServ 分类。 

另一方面,假设您未将未分类流量的 DiffServ 标记值设置为零(也就是说,您选择了“No(否)”选项)。再次以 Telnet 为 

例,如果 Telnet 流量到达 Sensor 时 DiffServ 标记值为 10,则 Sensor 不会执行任何标记操作;而只是将流量传递给外 

部网络设备,以进行 DiffServ 分类。 


队列计数 

队列计数是指为 Sensor 端口配置的流量管理队列(速率限制、DiffServ 标记或 VLAN 标记)的数目。此值显示在“Port 

Settings(端口设置)”页中。 

图 4-35 Queue Count(队列计数) 

在端口上配置的速率限制队列的数目取决于端口的类型。FE 端口最多支持 6 个队列,而 GE 端口最多支持 8 个队列。 

对于任何类型的 Sensor 端口(FE 或 GE),您最多可创建 64 个 DiffServ 标记队列和 8 个 VLAN 802.1p 标记队列。此值 

显示在下表中。 

流量管理队列 Sensor 端口类型 

FE 端口 GE 端口 

速率限制队列计数 6 8 

DiffServ 队列计数 64 64 

VLAN 802.1p 队列计数 8 8 

最大队列计数与 Sensor 型号无关。 

对于速率限制队列,每个队列中最多可以有 64 个条目,每个条目都是一种选择标准(定义的协议、TCP 端口、UDP 端口 

和 IP 协议编号)。 

添加流量管理队列 

要配置用于流量管理的 Sensor 端口,端口必须处于串联模式下。 

要为流量管理添加队列,请执行以下操作: 

任务 


此时将显示“Enable(启用)”页。 

2 检查是否启用了流量管理设置。 

3 选择一个端口以添加流量管理队列。例如,选择“1A”。 




4 


流量管理 

4 选择“New(新建)”。此时将显示“Add Queue(添加队列)”窗口。 

图 4-36 “Add Queue(添加队列)”页 

5 在“Add Queue(添加队列)”中,可以指定以下参数,以用于配置所需的流量管理队列。 

字段描述 

Name(名称) 此字段代表流量管理队列的名称。队列名称在 Sensor 端口中是唯一的。请注意,对于 

与同一 Sensor 的不同端口对应的两个队列,可以使用相同的名称。可以按照需要自定 

义名称。 

Type(类型) 指定流量管理队列的类型 ‑ 无论它是速率限制带宽、DiffServ 标记,还是 VLAN 

802.1p 标记。 

Value(值) 速率限制带宽、DiffServ 标记或 VLAN 802.1p 标记的值。 

Available Protocols(可用协 

议) 

Selected Protocols(选定协 

议) 

为 Sensor 中的流量管理定义的应用协议的列表。 

从“Available Protocols(可用协议)”列表中为流量管理队列选择的协议。 

TCP Port(TCP 端口) 用于流量管理的 TCP 端口。 

UDP Port(UDP 端口) 用于流量管理的 UDP 端口。 

IP Protocol Number(IP 协 

议编号) 

IP 协议编号。 


6 为新的流量管理队列输入“Name(名称)”。 

7 选择流量管理队列的“Type(类型)” ‑ “Rate Limit Bandwidth(速率限制带宽)”、“DiffServ”或“VLAN 802.1p”。 

8 为上面选择的“Type(类型)”设置指定“Value(值)”。 

Type(类型) Value Range(值范围) 

Rate Limit Bandwidth(速率限制带宽) “Rate Limit Bandwidth(速率限制带宽)”的值。 


另请参阅 



配置流量管理第 275 页 

流量管理中的优先权第 281 页 

编辑或查看流量管理队列 

要编辑或查看流量管理队列配置,请执行以下操作: 

值的范围如下: 

I 系列 Sensor 

FE (10 Mbps) 端口:256 Kbps 到 10 Mbps 


GE (10 Mbps) 端口:1 Mbps 到 10 Mbps 

GE (100 Mbps) 端口:1 Mbps 到 100 Mbps 

GE (1 Gbps) 端口:1 Mbps 到 512 Mbps 

M 系列 Sensor(M‑1250 和 M‑1450 除外) 

GE (1 Gbps) 端口:64 Kbps 至 1 Gbps 

GE (10 Gbps) 端口:64 Kbps 至 10 Gbps 

M‑1250 



GE (1 Gbps):256 至 100 Mbps 

M‑1450 



GE (1 Gbps):256 至 200 Mbps 

. 




4 


流量管理 

任务 


2 从队列列表中选择要编辑的流量管理队列。 

3 单击“Edit/View(编辑/查看)”。此时即会显示“Edit Queue(编辑队列)”窗口。 

图 4-37 编辑速率限制队列 

在此窗口中,您可以编辑流量管理队列配置。 

另请参阅 


删除流量管理队列 

此窗口中的字段与用于添加速率限制队列的“Add Queue(添加队列)”窗口类似。 

可以查看每个 Sensor 的速率限制丢弃统计数据。有关详细信息,请参阅“查看速率限制统计数据”。 

要删除流量管理队列,请执行以下操作: 


任务 


2 选择一个或多个速率限制队列,并单击“Delete(删除)”。在删除接口的流量管理配置之前,Network Security 

Platform 将显示一个确认对话框。 

图 4-38 删除速率限制 

3 单击“Yes(是)”,删除选定的流量管理队列配置。否则,单击“No(否)”取消删除。 

4 选择“Save(保存)”,以保存新的流量管理队列。 


另请参阅 


查看流量管理报告 

“Traffic Management Configuration Report(流量管理配置报告)”详细说明了 Sensor 上的每个端口的配置信息。您可以 

使用 Manager 主页上的“Reports(报告)”图标查看流量管理配置报告。 

流量管理中的优先权 

正如前面提到的,Sensor 中的流量管理队列根据协议、TCP 和 UDP 端口以及 IP 协议编号进行配置。 

Sensor 使流量数据包符合已配置的流量管理规则的方式遵循特定的顺序。 

让我们以速率限制为例,说明 Sensor 如何使流量符合已配置的流量管理规则。 

任务 

1 如果 Sensor 使用为速率限制而定义的协议来标识传入的数据包,则首先搜索为协议配置的速率限制队列。如果找到 

了匹配项,则将按照为该协议配置的速率限制队列限制数据包的速率。 

2 如果 Sensor 未找到与为速率限制定义的任何协议匹配的项,并且如果数据包为 TCP 或 UDP 数据包,则将搜索为 

TCP 或 UDP 端口配置的速率限制队列。如果找到了匹配项,则将按照为 TCP 或 UDP 端口配置的速率限制队列限 

制数据包的速率。 

3 如果 Sensor 无法根据为速率限制定义的协议或 TCP/UDP 端口标识数据包,则将搜索为IP 协议编号配置的速率限制 

队列。如果找到了匹配项,则将按照为 IP 协议编号配置的速率限制队列限制数据包的速率。 

为说明上述情况,如果为 HTTP 协议以及 Sensor 监控端口上的 TCP 端口 80 配置了速率限制规则,则 Sensor 首先 

会搜索匹配的 HTTP 速率限制规则(而不是 TCP 端口规则)。相应地,所有传入的 HTTP 流量都与已配置的 HTTP 

协议规则和限制的速率匹配。请注意,在这种情况下协议规则优先于端口规则。 

另请参阅 


系统会同时使用速率限制规则和速率限制队列这两个术语。 

上述示例还适用于 DiffServ 和 VLAN 标记。 




4 


流量管理 

速率限制方面的注意事项 

这里介绍了两个关于 Sensor 中的速率限制的重要注意事项。 

另请参阅 

使用 SSL 的应用协议的速率限制第 282 页 

端口级别限制第 282 页 

使用 SSL 的应用协议的速率限制 

SSL 连接协议的 Sensor 速率限制功能取决于是否将 Sensor 配置为对流量进行解密。 

Sensor 中存在 SSL 密钥 

将 Sensor 配置为使用 SSL 密钥解密流量时,系统会对到达 Sensor 的 HTTPS 流量进行解密,解密的应用协议将为 

HTTP(而不是 SSL)。根据已配置的流量和速率限制规则,可能存在多种方案。在所有的方案中,使用 SSL 的应用协 

议 HTTP (HTTPS) 都用作示例。 

案例 1: 

假设已配置 SSL 速率限制规则,并且 HTTPS 流量由 Sensor 来处理。在这种情况下,Sensor 会将 HTTPS 流量解密 

为 HTTP。当 HTTPS 流量速率超过已配置的 SSL 速率限制规则时,Sensor 不会限制流量的速率。这是因为解密的流 

量为 HTTP 流量,但是会为 SSL 配置速率限制规则。对于如流量这类速率限制,必须为 HTTP 配置速率限制规则。此 

内容将在下一案例中说明。 

案例 2: 

假设已配置 HTTP 速率限制规则,并且 HTTPS 流量由 Sensor 来处理。在这种情况下,Sensor 会将 HTTPS 流量解密 

为 HTTP。Sensor 将执行解密流量的速率限制。这是因为解密的流量为 HTTP 流量,而且还为 HTTP 配置了速率限制 

规则。 

Sensor 中不存在 SSL 密钥 

当将 Sensor 配置为不使用 SSL 密钥来解密流量时,系统不会将即将到达 Sensor 的 HTTPS 流量解密为 HTTP。根据 

已配置的流量和速率限制规则,可能存在多种方案。在所有的方案中,使用 SSL 的应用协议 HTTP (HTTPS) 都用作示 

例。 

案例 1: 

假设已配置 SSL 速率限制规则,并且 HTTPS 流量由 Sensor 来处理。在这种情况下,Sensor 不会解密 HTTPS 流量, 

因为它没有密钥。当 HTTPS 流量速率超过已配置的 SSL 速率限制规则时,Sensor 将限制流量的速率。这是因为系统不 

会将 HTTPS 流量解密为 HTTP,而是会将其视为 SSL。因此,SSL 的速率限制规则始终正确且限制流量的速率。 

案例 2: 

假设已配置 HTTP 速率限制规则,并且 HTTPS 流量由 Sensor 来处理。在这种情况下,Sensor 不会解密 HTTPS 流 

量,因为它没有密钥。HTTPS 流量被视为 SSL。因此,HTTP 速率限制规则并不始终正确,而且 Sensor 不会执行速率 

限制。在这里,您必须配置 SSL 速率限制规则,才能成功限制流量的速率。 

另请参阅 

速率限制方面的注意事项第 282 页 

端口级别限制 

添加速率限制队列之前,请注意存在某些与配置有关的限制。 

互连端口配置限制 

您不能对 Sensor 故障转移对的互连端口配置速率限制,因为不能使用这些端口来监控流量。 

这包括故障转移对中的以下 Sensor 端口: 


表 4-2 

Sensor 受限端口 

I‑4010 端口 6A 和 6B 用作互连端口。 



I‑2700 使用端口 4A 作为互连端口,而未使用 4B。您不能使用 4A 或 4B 来配置速率限制。 

表 4-3 

Sensor 受限端口 

M‑8000 在 M‑8000 Sensor 中,互连端口 XC2、XC3、XC4 和 XC5 无法用于配置速率限制。 

在 M‑8000 故障转移对中,3A 和 3B 用作互连端口。您不能使用 3A 或 3B 来配置速率限制。 

M‑6050 使用端口 4A 作为互连端口,而未使用 4B。您不能使用 4A 或 4B 来配置速率限制。 

M‑2750 使用端口 10A 作为互连端口,而未使用 10B。您不能使用 10A 或 10B 来配置速率限制。 

M‑4050/M‑3050 使用端口 2A 作为互连端口,而未使用 2B。您不能使用 2A 或 2B 来配置速率限制。 

M‑1450/M‑1250 使用端口 4A 作为互连端口,而未使用 4B。您不能使用 4A 或 4B 来配置速率限制。 

I‑1200/I‑1400 没有限制,因为响应端口用作互连端口。 

如果对 Sensor 故障转移对的互连端口配置速率限制,则将删除这些互连端口上的配置。对于现有的 Sensor 故障转移 

对,请注意不能使用互连端口配置速率限制。 

如果对互连端口配置速率限制,则对故障转移对配置这些端口时将删除该配置。请注意,如果您先在互连端口上配置故 

障转移对,然后要对这些端口配置速率限制,则 Network Security Platform 不允许实现此操作(因为这些故障转移端口 

不会显示为适用于速率限制的可用端口)。 

队列条目的限制 

队列和 Sensor 条目总数有一定限制。每个队列最多只能包含 64 个条目,而 Sensor 最多只能包含 1000 个条目(所有端 

口中)。每个选择条件都被视为一个条目(一个 UDP 端口、一个已定义的协议、一个 IP 协议编号、一个端口范围,其 

中每一项都是一个条目)。此限制是在生成特征码集的过程中计算的。如果违反了最大值限制,则特征码集生成将中止。 

因负载平衡流量同时到达 Sensor 故障转移对而引起的限制 

当故障转移对中的每个 Sensor 同时收到负载平衡或非对称流量时,已配置的协议、TCP 端口、UDP 端口和 IP 协议编 

号都有一定限制。在此方案中,速率限制规则分别应用于每个 Sensor,因为 Sensor 只能调用对外出监控端口的流量的 

速率限制;而不会调用对通过互连端口从其对等方收到的故障转移复制流量的速率限制。由于仅当通过故障转移对中的 

每个 Sensor 的监控端口的流量超过已配置的带宽时才会调用速率限制,因此每个 Sensor 必须查看其监控端口上已配置 

的流量,了解是否会发生速率限制。这与对等 Sensor 可能监控的流量无关。 

另请参阅 

速率限制方面的注意事项第 282 页 




4 


流量管理 

适用于流量管理的网络方案 

适用于速率限制 HTTP 流量的网络方案 

考虑以下网络方案:将内部网络连接至 Internet,并按照下图所示部署 Network Security Platform。 

图 4-39 适用于 Network Security Platform 速率限制的方案 

假设您需要将从 Internet 到内部网络的 HTTP 流量的速率限制为指定的带宽。内部网络包含一些重要的服务器,应限制 

从 Internet 对其进行访问。因此,需要对从 Internet 到内部网络的请求流量提供较少的带宽。但是,与请求流量相比, 

需要对从内部网络到 Internet 的响应流量提供较多的带宽。 

如图所示,Sensor 的端口 1B 携带从 Internet 到内部网络的请求流量。因此,Sensor 的端口 1B 已配置为将 HTTP 流 

量的速率限制到 1024 Kbps 的带宽。 

来自内部网络的响应流量将通过端口 1A 向外传送到 Internet。由于您希望向来自内部网络的响应流量分配更多带宽,因 

此可以在 Sensor 的端口 1A 上配置速率限制规则,即限制到 5120 Kbps 的带宽。 

当通过端口 1B 的请求 HTTP 流量超出指定的速率限制 1024 Kbps 时,Sensor 将通过丢弃多余的数据包来限制流量的 

速率。只允许已配置的流量带宽值 1024 Kbps 通过端口 1B 到达内部网络。同样,当来自内部网络且通过端口 1A 的响 

应 HTTP 流量超出已配置的速率限制值 5120 Kbps 时,Sensor 将通过丢弃多余的数据包来限制流量的速率。只允许已 

配置的流量带宽值 5120 Kbps 通过端口 1A 到达 Internet。 



适用于 DiffServ 标记的网络方案 

考虑以下网络方案:将一所大学的内部网络连接至 Internet,并按照下图所示部署 Network Security Platform 和路由器。 

图 4-40 适用于 DiffServ 标记的方案 

假设您要对从大学网络到 Internet 的 HTTP 和 P2P 流量设置优先顺序。要设置流量的优先顺序,可以配置适用于 

DiffServ 或 VLAN 标记的 Sensor。Sensor 的角色只是标记数据包并将其传递到外部网络设备(此处为路由器)以进行 

DiffServ 或 VLAN 分类。 

假设您要为从大学网络到 Internet 的 HTTP 流量提供较高的优先级。可以使用 DiffServ 规则来配置 Sensor 端口 1B, 

对 HTTP 流量而言,将 DiffServ 字段的值设置为 60。当来自大学网络的 HTTP 流量到达 Sensor 端口 1B 时,Sensor 

将使用配置中指定的 DiffServ 字段值(在本示例中为 60)来标记数据包报头。标记的数据包被发送给路由器,该路由器 

配置为执行 DiffServ 分类。现在,系统将按照路由器中定义的 DiffServ 优先级来设置流量的优先顺序。请注意, 

Sensor 只标记传入的流量并将其传递给外部网络设备(在本例中为路由器),以便进一步执行 DiffServ 分类。 

同样,要为从大学网络到 Internet 的 P2P 流量提供较低的优先级,可以使用 DiffServ 规则来配置 Sensor 的端口 1B, 

以将 DiffServ 字段的值设置为 5。当来自大学网络的 P2P 流量到达 Sensor 端口 1B 时,Sensor 将使用在配置中指定 

的 DiffServ 字段值(在本示例中为 5)来标记数据包报头。标记的数据包随后将到达路由器,随即根据路由器中配置的规 

则执行 DiffServ 分类并设置优先顺序。 

“Sensor_Name(Sensor 名称)” | “SSL Decryption(SSL 解密)”选项卡上的操作可用于针对 Sensor 启用安全套接字层 

(SSL) 解密,以及导入和管理 Sensor 用于解密的 SSL 密钥。 

有关 Network Security Platform 中的 SSL 功能描述,请参阅“McAfee Network Security Platform 入门手册”。 

这一部分的可用操作有: 

• 配置 Sensor 的 SSL 功能:启用 SSL 解密和配置 Sensor SSL 参数。 

• 管理 Sensor 的已导入 SSL 密钥:为选定 Sensor 管理已导入至 Manager 的 SSL 密钥。 

• 将 SSL 密钥导入到 Manager 以用于 Sensor:将 SSL 密钥导入到 Manager,以便下载到 Sensor 来对 SSL 流量进 

行解密。 

图 4-41 “SSL Decryption(SSL 解密)”选项卡 


如何启用 SSL 解密 4 


4 



另请参阅 

配置 IPS Sensor 中的 SSL 解密第 286 页 


将 SSL 密钥导入到 Manager 以用于设备第 287 页 

配置 IPS Sensor 中的 SSL 解密 

“SSL Decryption(SSL 解密)” | “Enable(启用)”操作可以启用 Sensor 的 SSL 功能。SSL 配置包括启用 SSL 解密、启 

用 SSL 加密攻击数据包记录、设置同时监控的 SSL 流的数目,以及设置会话缓存时间。 

Sensor 支持的 SSL 流的数目将直接影响可同时处理的 TCP 流数目,比率为 2:1。例如,I‑4000 Sensor 可处理 

1000000 个 TCP 流。如果将 SSL 流的个数(“SSL Flow Count (SSL 流数目)”)设置为 100000(最大值),I‑4000 监控 

的 TCP 流将降至 800000 个。 


为了在 Sensor 上启用/禁用 SSL 功能,必须重新启动 Sensor。此外,如果更改了“SSL Flow Count(SSL 流数目)”,也 

需要重新启动 Sensor。 

要在 Sensor 上启用并配置 SSL 解密,请执行以下操作: 

任务 

1 单击“Sensor_Name(Sensor 名称)” | “SSL Decryption(SSL 解密)” | “Enable(启用)”或“Failover pair Name(故 

障转移对名称)” | “SSL Decryption(SSL 解密)” | “Enable(启用)”(对于故障转移对)。 

2 在“SSL Enabled(启用 SSL)”处单击“Yes(是)”,为 Sensor 启用 SSL 解密。 

3 请注意“Current Status(当前状态)”。 

该字段指示 Sensor 当前是否启用 SSL 解密。 

4 在“Include Decryption SSL Packets in the Packet Captures?(数据包捕捉中是否包含解密 SSL 数据包?)”中单击 

“Yes(是)” 

5 输入“Number of Flows Dedicated to SSL Decrytion(SSL 解密专用的流数目)”值。 

此值代表 Sensor 在给定时间内可以处理的 SSL 流数目。值的范围依 Sensor 的不同而异:对于 I‑4000,范围为 

100‑100000。 

Sensor 支持的 SSL 流的数目将直接影响可同时处理的 TCP 流数目。 


6 输入“SSL Cache Timer(SSL 缓存计时器)”。 

这一时间指 SSL 的会话存续时间。它的值代表最后的连接关闭之后会话的存活期。此值应等于或稍大于对应服务器 

上的会话缓存时间。 

由于一个 Sensor 可能会处理以多个服务器为目标的流量,因此 Sensor 可以维护的会话数将远远少于服务器可以维护 

的会话数。如果 Sensor 已经消耗完会话状态(Threat Analyzer 会显示警报来指示此情况),某些流将得不到处理。 

图 4-42 配置 Sensor 的 SSL 功能 

7 请注意“Maximum Number of Concurrent Flows Supported on this Device(本设备支持的并行流的最大数目)”中所 

支持的并行流数目的信息。 


如果启用/禁用了 SSL,或者更改了 SSL 流数目,则系统会提示您重新启动 Sensor 以确保功能正常。 

另请参阅 

如何启用 SSL 解密第 285 页 

管理设备的已导入 SSL 密钥 

“Key Management(密钥管理)”操作(“Sensor_Name(Sensor 名称)” | “SSL Decryption(SSL 解密)” | “Key Management 

(密钥管理)”或“Failover pair Name(故障转移对名称)” | “SSL Decryption(SSL 解密)” | “Key Management(密钥管 

理)”(对于故障转移对))使您能够为单个“Device_Name(设备名称)”实例管理已导入到 Manager 的 SSL 密钥。 

另请参阅 


将 SSL 密钥导入到 Manager 以用于设备第 287 页 

从 Manager 中删除 SSL 密钥文件第 188 页 

重新导入 SSL 密钥文件第 187 页 

将 SSL 密钥导入到 Manager 以用于设备 

“SSL Decryption(SSL 解密)” | “Key Import(密钥导入)”操作可将安全套接字层 (SSL) 密钥下载到 Manager,以用于单 

个“Device_Name(设备名称)”节点。将密钥导入到 Manager 之后,可通过“Update Configuration(更新配置)”将其推 

送到 Sensor 上。通过提供的 SSL 密钥,Sensor 可以解密 SSL 流量以实现 IPS 检查。Manager 提供 passthru 接口来 

将一组公共/专用密钥导入到 Sensor。Manager 只是代为保管所导入的密钥,以用于 Sensor 恢复。但是,Manager 不 

解析所保管的密钥,当 Sensor 遗失其密钥时,也不会尝试自行恢复密钥。为了保护所导入密钥在传递和委托保管过程 

中的安全,Manager 使用 Sensor 的公共/专用密钥对中的公共密钥。 

Network Security Platform 

支持包含文件后缀“.pkcs12”、“.p12”或“.pfx”的 PKCS12 密钥。 


如何启用 SSL 解密 4 


4 



要将 SSL 密钥导入到 Manager 以用于 Sensor,请执行以下操作: 

任务 

1 单击“Sensor_Name(Sensor 名称)” | “SSL Decryption(SSL 解密)” | “Key Import(密钥导入)”或“Failover pair Name 

(故障转移对名称)” | “SSL Decryption(SSL 解密)” | “Key Import(密钥导入)”(对于故障转移对)。 

2 此时将显示“Key Import(密钥导入)”窗口。 

图 4-43 导入 SSL 密钥文件 

3 键入“Alias Name(别名)”。 

此名称用于标识 Manager 中的 SSL 密钥文件。 

4 键入“Passphrase(通行短语)”。 

该短语用于加密 PKCS12 文件。 

5 单击“Browse(浏览)”,在客户端系统上查找“PKCS12 File(PKCS12 文件)”。 

6 单击“Import(导入)”。 


7 通过执行“更新一个 Sensor 的配置”中的步骤,将 SSL 密钥下载到 Sensor。 

另请参阅 



重新导入 SSL 密钥文件 

只要 Manager 仍然代为保管先前导入的密钥,您便可以重新导入之前已导入到 IPS Sensor 的 SSL 密钥文件。 

要从“IPS Settings(IPS 设置)”节点将 SSL 密钥重新导入到 Manager 上的 IPS Sensor 中,请执行以下操作: 

任务 


2 在“Configuration Update(配置更新)”列中,选中与所需的 Sensor 相对应的单选按钮。 

3 单击“Re‑import(重新导入)”。 

4 键入与 PKCS12 文件有关的“Passphrase(通行短语)”。 

5 单击“Browse(浏览)”,在客户端系统上查找 PKCS12 密钥文件。 




7 将所做的更改下载到 Sensor。 

另请参阅 


从 Manager 中删除 SSL 密钥文件 

要从 Manager 中删除 SSL 密钥文件,请执行以下操作: 

任务 


2 在“Manage SSL Keys(管理 SSL 密钥)”页中,选中所需 Sensor 的“Configuration Update(配置更新)”列中的单选 

按钮。 

3 单击“Delete(删除)”。确认删除。 

另请参阅 



在 IPS Sensor 级别,可以执行以下隔离/修复配置: 

• Sensor 的 IPS 隔离配置摘要 

• Sensor 中对于 IPS 隔离的访问规则日志记录 

• IPS 隔离的 Sensor 端口设置 

图 4-44 ”IPS Quarantine(IPS 隔离)”选项卡 

另请参阅 

Sensor 的 IPS 隔离配置摘要第 289 页 



Sensor 的 IPS 隔离配置摘要 

您可以从“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS Quarantine(IPS 隔离)” | “Summary(摘 

要)”中查看 IPS Sensor 的 IPS 隔离配置摘要。这是在选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” 

| “IPS Quarantine(IPS 隔离)”时所显示的默认页。 

以下配置详细信息可从“Summary(摘要)”页中查看: 

另请参阅 



Sensor 中对于 IPS 隔离的 NAC 访问日志记录 

以下步骤介绍 Manager 用户界面中 Sensor 的 NAC 访问日志记录配置: 


IPS Sensor 中的 IPS 隔离设置 4 


4 



任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS Quarantine(IPS 隔离)” | 

“NAC Access Logging(NAC 访问日志记录)”。 

图 4-45 配置 NAC 访问日志记录设置 

Manager 中的此页可帮助您编辑 Sensor 监控端口的“NAC Access Logging(NAC 访问日志记录)”设置。 

2 “NAC Access Logging(NAC 访问日志记录)”提供了以下选项: 

• “Logging(日志记录)”‑ 此部分显示各种日志记录选项: 

• Disabled on this device(在本设备上禁用) 

• Log all matched traffic(记录所有匹配的流量) 

• Log all dropped/denied traffic(记录所有丢弃/拒绝的流量) 

• Log all permitted traffic(记录所有允许的流量) 

• Log traffic only if the matched rule is configured to log(仅在匹配的规则配置为记录时记录流量) 

• “Delivery(递送)”‑ 本部分显示了递送的消息的位置。包括以下选项: 

• Send messages to the target syslog server via the Manager(将消息通过 Manager 发送到目标 Syslog 服务 

器) 

• Send messages directly from this device to the target syslog server(将消息直接从本设备发送到目标 

Syslog 服务器) 

• Target Syslog Server(目标 Syslog 服务器) 

3 选择“Save(保存)”以保存 Sensor 的 NAC 访问设置。 

请注意,在启用“NAC Access Logging(NAC 访问日志记录)”时,需要同时启用 Syslog 服务器。在选择上面的第二 

个和第三个选项(b 和 c)之前,会显示一个弹出窗口,询问您是否应当启用“Syslog Forwarding(Syslog 转发)”。 

在选择“Yes(是)”时,系统会将您重定向到管理域的“IPS Settings(IPS 设置)” “IPS Quarantine(IPS 隔离)”下的 

“Syslog Server settings(Syslog 服务器设置)”页。此步骤是查看所生成的 NAC 访问日志所必需的。 

抑制设置 

Network Security Platform 可以配置为用抑制设置禁止生成 NAC 访问警报。Network Security Platform 必须在给定 

的时间间隔内生成一定数量的警报日志,才能使抑制功能启动。此时间间隔称为“Suppression Interval(抑制间隔)”。 

在抑制时间间隔之后,Network Security Platform 可以禁止向 McAfee NAC 服务器显示 IPS 通知。 

在 Sensor 端口级别配置 NAC 访问日志记录时,可以同时为 NAC 配置抑制设置。 


在 Manager 中,要在 Sensor 端口级别配置抑制设置,请执行以下操作: 

a 从资源树中,选择“IPS Settings(IPS 设置)” | “IPS Sensor_Name(IPS Sensor 名称)>” | “IPS Quarantine 

(IPS 隔离)> NAC Access Logging(NAC 访问日志记录)”。 

b 在抑制部分中,配置下列设置: 

1 Enable Suppression(启用抑制) 

2 Suppression Interval(抑制间隔) 

3 Maximum messages to send before starting suppression(在启动抑制功能之前发送的最大消息数) 

4 Maximum summary messages sent per suppression interval(每个抑制间隔发送的最大摘要消息数) 

c 选择“Save(保存)”以保存 Sensor 的 NAC 访问设置。 

另请参阅 

为 IPS 隔离配置 Syslog 消息第 199 页 


IPS Sensor 中的 IPS 隔离设置第 289 页 

设置 Sensor 端口以进行 IPS 隔离 

要在 IPS Sensor 上激活 IPS 隔离,需要选择和启用所需的 Sensor 端口。这是在配置 IPS 隔离时涉及到的重要步骤之 

一。 

IPS 隔离仅适用于处于串联模式下的 Sensor 端口。 

要针对 Sensor 端口启用 IPS 隔离,请执行以下操作: 

任务 

1 从资源树中,选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS Quarantine(IPS 隔离)” | 

“Port Settings(端口设置)”。 

2 从下拉菜单中,选择要启用 IPS 隔离的 Sensor 监控端口。 

3 要使用向导为所选端口配置 IPS 隔离设置,请选择“Run Configuration Wizard(运行配置向导)”。 

4 在向导的第一页中,如果您希望将管理域级别的 IPS 隔离设置继承到 Sensor 端口,请选择“Use Global Settings(使 

用全局设置)”。请注意,当您选择该选项时,向导中的其他选项将呈灰显状态。 

5 如果您不希望继承管理域设置,请取消选择“Use Global Settings(使用全局设置)”。请注意,当您取消选择该选项 

时,向导中的其他选项将进行刷新并显示出来。 

6 在“IPS Quarantine(IPS 隔离)”中,配置以下设置: 

a 使用所提供的选项启用 IPS 隔离: 

• Enable quarantine of hosts, but disable remediation (or re‑direction of HTTP requests)(启用主机隔离,但是 

禁用修复(或 HTTP 请求重定向)) 

• Disable IPS Quarantine(禁用 IPS 隔离)‑ 当您选择该选项时,修复功能将自动被禁用。 

b Enabling HTTP traffic redirection(启用 HTTP 流量重定向):当您启用该配置时,来自该主机的 HTTP 流量将被 

重定向到 Remediation Portal。有关详细信息,请参阅“配置 Remediation Portal”。 

7 在“IPS Quarantine NAZ(IPS 隔离 NAZ)”中选择所需的网络访问级别。 

8 选择“Release Logic(释放逻辑)”。 


IPS Sensor 中的 IPS 隔离设置 4 


4 




9 设置“Release After(在指定时间段后释放)”,该设置表示将主机隔离的时间间隔。 

默认值为 5 分钟。 

图 4-46 “Port Settings(端口设置)”选项卡 

10 选择“Next(下一步)”转至 IPS 隔离配置向导的下一页。 

此时将显示“NAC Exclusions(NAC 排除项)”页。 

11 输入不想针对其实施 NAC 的主机/网络的类型、值和描述。 

有关详细信息,请参阅“McAfee Network Security Platform NAC 管理手册”中的“NAC 排除项”。 

12 要保存 IPS 隔离配置,请选择“Finish(完成)”。 

向导将显示一条消息,说明 Sensor 需要进行更新。如果您希望更新 Sensor,请选择所需的选项。 

另请参阅 


为 IPS 隔离添加网络访问区第 197 页 

IPS Sensor 中的 IPS 隔离设置第 289 页 

“NTBA”选项卡可以控制第 7 层数据到 NTBA Appliance 的导出。 

导出选项卡 

转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “NTBA” | “Exporting(导出)”,以将 NetFlow 数据导 

出到特定 NTBA Appliance。由于 Sensor 进行了深层数据包检查,因此其流记录将包括第 7 层数据。 

有关详细信息,请参阅“McAfee Network Security Platform NTBA 管理手册”。 


NTBA 选项卡中的第 7 层数据收集 

转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “NTBA” | “L7 Data Collection(第 7 层数据收集)”, 

以控制由 Sensor 收集的特定第 7 层数据并且有可能将这些数据导出到 NTBA Appliance。 

图 4-47 “NTBA”选项卡中的第 7 层数据收集 

相关详细信息,请参阅“McAfee Network Security Platform NTBA 管理手册”。 


NTBA 选项卡 4 


4 




5 在接口和子接口级别配置策略 

5 

本节论述资源树中的“Interface‑x(接口 x)”和“Sub‑interface‑x(子接口 x)”节点。“Device_Name(设备名称)”节点是 

“Interface‑x(接口 x)”节点的父节点,而“Interface‑x(接口 x)”节点又是“Sub‑interface‑x(子接口 x)”节点的父节点。本 

章提供保护特定网络/主机所需的信息和说明,包括选择流量类型、应用 IPS 和 DoS 策略以及创建子接口。 

在“Configuration(配置)”页内执行的接口和子接口配置不会立即更新 McAfee ® Network Security Sensor。必须执行“更新 

所有 Sensor 的配置”或“更新一个 Sensor 的配置”中介绍的步骤,将配置信息从 McAfee ® Network Security Manager 推送 

到您的 Sensor 中。 

图 5-1 接口和子接口节点 


5 

在接口和子接口级别配置策略 

如何为接口和子接口设置策略 

表 5-1 

项目描述 

1 接口节点,端口对 

2 接口节点,单端口 

3 子接口节点 

另请参阅 


目录 


使用虚拟化应用策略 

IPS Sensor 接口节点 

IPS Sensor 子接口节点 


使用虚拟化应用策略 

Sensor 允许应用和实施非常细致的策略:在一个端口或端口对上,可以执行多个 IPS 和拒绝服务策略。 

例如,假定您是根管理域级别的“Super User(超级用户)”,并部署了一个 Sensor。您编辑了根域的详细信息并决定保 

留在安装了 Manager 后默认应用的“Default Inline IPS(默认串联 IPS)”策略。默认情况下,在添加 Sensor 时,会从根 

域继承“Default Inline IPS(默认串联 IPS)”策略并将该策略应用到 Sensor 及其全部接口。 

目前,基于 Sensor 的 IDS 产品仅允许您在整个 Sensor 上应用一个安全策略。但是,如果要监控多个网段或总流量(如 

千兆位上行链路),则采用多端口设备并更精细地划分检查过程,将有助于提高安全解决方案的成本效益和效率。 

McAfee Network Security Platform 的 Virtual Intrusion Prevention System (VIPS) 功能正是如此。 


VIPS 功能允许您为受一个 Network Security Sensor 监控的多个独特环境配置多个策略。 

有关每个 Sensor 的最大虚拟接口数的详细信息,请参阅“McAfee Network Security Platform 故障排除手册”中的“不同型 

号 I 系列 Sensor 的容量”和“不同型号 M 系列 Sensor 的容量”部分。 

“Interface‑x(接口 x)”节点代表特定 Sensor 上的接口(单个物理端口、对等端口或接口组)。显示的接口节点的数量取 

决于 Sensor 的类型。默认情况下,会单独显示接口节点,因为默认的监控模式为 SPAN。 

全双工 Tap 和串联模式都需要两个物理端口,每种模式都会使用这两个端口组成一个逻辑接口。因此,所有配置和策略 

决定都是在逻辑接口级别进行的。 

安装新的 Sensor 后,它将从管理域继承一个策略并在其所有接口上执行该策略。子接口是用户在此资源内创建的接口, 

它们可在此处或“Sub‑interface‑x(子接口 x)”资源节点进行编辑。 

您可以将接口分配给子域,进行特别管理。 


接口节点可通过导航到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “IPS Interface 

(IPS 接口)”找到,其中“Interface‑x(接口 x)”是具体的接口节点实例。 

• 管理策略:在接口/子接口级别自定义策略和保护选项。 

• 在接口级别扫描策略:更改策略;应用、执行和查看 DoS 策略。您也可以在接口和子接口级别管理攻击过滤器。 

图 5-2 接口节点 

本部分说明的所有操作步骤都假定用户已经从资源树中选择了接口节点。 

在接口级别管理保护配置文件 

此页面可用于自定义策略,还可以用于在接口级别配置保护选项。 

管理策略 

对于大型部署或者在 Manager 中配置了大量策略的部署,下载特征码集以及将策略更改应用到 Sensor 上可能要花很长 

一段时间。您可以通过 IPS 策略编辑器在管理域中定义策略。这将成为基准策略。如果两个或多个 Sensor 接口保护类 

型相似的流量,您可以为所有这些接口分配相同的基准策略,并根据需要,选择性地为每个接口自定义特定的攻击设置。 

这样有助于最大限度减少扩展性问题,并能强化 Manager 中的整个策略管理流程。基准策略已分配到接口上,且正充 

当本地攻击设置的起始点。 

管理保护选项 

您也可以在此处配置保护选项。 

入站指源自外部并以内部网络为目的地的流量。出站指源自内部网络的流量。 


IPS Sensor 接口节点 5 


5 



转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “Protection Profile(保护配 

置文件)”可自定义策略或配置保护选项。 

图 5-3 “Protection Profile(保护配置文件)”选项卡 

可以在子接口级别分配策略,还可以在子接口级别配置“Protection Options(保护选项)”部分下的功能。 


另请参阅 

自定义本地 IPS 策略第 299 页 

为接口和子接口分配防火墙策略第 305 页 


高级僵尸网络检测第 170 页 

高级流量检查第 310 页 

“启发式 Web 应用程序服务器保护”的工作方式第 171 页 

自定义指纹第 181 页 

GTI 指纹第 180 页 

IP 信誉第 168 页 

检查 X-Forwarder-For 报头信息第 329 页 

自定义本地 IPS 策略 

要在接口级别自定义策略,请执行以下操作: 

任务 

1 在 Manager 中,选择“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS Interface(IPS 接口)” | 

“Protection Profile(保护配置文件)”。(转到“IPS Settings(IPS 设置)/Sensor_Name(Sensor 名称)/Interface‑x 

(接口 x)” | “IPS Sub‑Interface(IPS 子接口)” | “Protection Profile(保护配置文件)”以在接口级别自定义策略。) 

可以在“IPS Policy(IPS 策略)”字段下的“Baseline IPS Policy(基准 IPS 策略)”选项中查看添加的 IPS 策略。 

图 5-4 “Baseline IPS Policy(基准 IPS 策略)”选项 

2 从“Local Policy Actions(本地策略操作)”下拉列表中,选择“Edit(编辑)”。 

3 单击“Go(转到)”以自定义攻击。此时将打开“Attack Definitions(攻击定义)”页。设置攻击的关联方法。 

图 5-5 “Edit the Local Policy(编辑本地策略)”选项 




5 



4 单击“Attacks(攻击)”选项卡。在“Attack Name(攻击名称)”列表中,右键单击要自定义的一个或多个攻击,然后选 

择“Edit(编辑)”/“Bulk Edit(批量编辑)”。 

此时会显示“Edit Attack Detail for Attack(编辑攻击的攻击详细信息)”页。 

图 5-6 编辑攻击 


5 通过启用以下“Edit(编辑)”选项来自定义攻击: 

• Customize(自定义) 

• Enable Attack(启用攻击) 

• Customize Severity(自定义严重性) 

图 5-7 “Edit for Selected Exploit Attacks(编辑选定的利用漏洞攻击)”页 

6 单击“OK(确定)”。您可以在“Customized(自定义)”选项卡下查看自定义的攻击。 

7 单击“Save(保存)”。此时将打开“Summary(摘要)”页。 




5 



8 单击“Finish(完成)”以保存更改。 

图 5-8 “Summary(摘要)”页 

9 在“Local IPS Policy(本地 IPS 策略)”字段下,可以在“Local Policy Actions(本地策略操作)”字段中查看以下选项: 

• Edit(编辑)‑ 允许您对本地 IPS 策略进行更改 

• Reset(重置)‑ 将自定义项重置为本地攻击定义。 

• Merge(合并)‑ 将本地策略与基准策略合并 

图 5-9 自定义后启用的选项 


10 选择“Reset(重置)”并单击“Go(转到)”,以将自定义项重置为本地攻击定义。此时会显示一则警告消息。单击“OK 

(确定)”进行确认。 

图 5-10 “警告(Warning)”消息:重置自定义 

11 此时会打开“Reset Succesful(重置成功)”消息对话框。单击“OK(确定)”进行确认。 

图 5-11 “Success(成功)”消息:重置选项 

12 您可以选择“Merge(合并)”,然后单击“Go(转到)”,以将本地策略与基准策略合并。此时会显示一则警告消息。单 

击“OK(确定)”进行确认。 

图 5-12 “Warning(警告)”消息:合并选项 

如果单击整数值(大于 0),则可以自动进入编辑模式,在前台显示自定义的攻击。 




5 



13 此时会打开“Success(成功)”对话框,指示合并成功。单击“OK(确定)”进行确认。 

图 5-13 “Success(成功)”消息:合并选项 

14 在合并成功后,针对“Number of Attacks Customized Locally(本地自定义的攻击数目)”字段显示的值为“0”。现在, 

在“Local Policy Actions(本地策略操作)”字段下,您只能看到“Edit(编辑)”选项。 

图 5-14 合并后的“Local IPS Policy(本地 IPS 策略)”字段 

您可以在接口和子接口级别自定义本地 IPS 策略。 

另请参阅 



M 系列 Sensor 可以限制主机能够建立的连接数目或连接速率。 

策略指定了以下两类连接规则: 

• 基于 McAfee ® Global Threat Intelligence (GTI) 来限制基于外部主机信誉和/或地理位置的连接速率 

• 限制来自主机的 TCP/UDP/ICMP 连接数或连接速率 

上述两种规则都在每个方向的基础上指定。系统将连接策略分配到接口或子接口级别。基于 GTI 的规则只适用于在接口 

或子接口级别启用 IP 信誉的情况。这些规则查询 IP 信誉服务器以获取外部主机的信誉和地理位置。 

连接限制仅适用于 IPv4 流量(针对基于 GTI 的规则),而基于协议的规则适用于 IPv4 流量和 IPv6 流量。 

另请参阅 



在接口级别分配连接限制策略 

任务 


口)” | “Protection Profile(保护配置文件)” | “Connection Limiting Policy(连接限制策略)”。 

图 5-15 接口级别的连接限制策略 

2 选中“Assign a Connection Limiting Policy?(分配连接限制策略?)”复选框。单击“New(新建)”以创建连接限制策略。 

有关相应的配置,请参阅“在‘IPS 设置’级别配置连接限制策略”一节中的步骤。 

为接口和子接口分配防火墙策略 

要将防火墙策略分配到端口或接口,请执行以下操作: 



1 转到“admin_domain_name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “interface 

(接口)” | “Protection Profile(保护配置文件)”。 

2 在“Protection Profile(保护配置文件)”页中,转到“Firewall Policy(防火墙策略)”部分,然后从“Assignment Logic 

(分配逻辑)”下拉列表,选择要向其分配防火墙策略的资源。 


5 



3 将防火墙策略分配到选定的资源。 

图 5-16 将防火墙策略分配到端口和接口 




要将防火墙策略分配到子接口,请执行以下操作: 

1 转到“admin_domain_name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | 

“sub‑interface(子接口)” | “Protection Profile(保护配置文件)”。 

2 在“Protection Profile(保护配置文件)”页,转到“Firewall Policy(防火墙策略)”,然后选择“Sub‑Interface Policy(子 

接口策略)”。 

3 从列表中选择一个策略,或单击“New(新建)”来创建策略。 

如果创建了新策略,则该策略将自动分配到此子接口。 

图 5-17 将防火墙策略分配到子接口 





另请参阅 


接口级别的保护选项 

使用此页以在接口级别配置保护选项。您可以在这里启用入站和出站流量选项。 

入站流量是在串联或 Tap 模式中指定为“Outside(外部)”的端口所收到(即来自网络外部)的流量。通常入站流量都发往 

受保护网络,如企业内部网。出站指源自内部网络的流量。 

出站流量是从企业内部网的系统发出、在串联或 Tap 模式中指定为“Inside(内部)”的端口上所观察到(即来自网络内部) 

的流量。 

如果启用了 GTI,则 IP 信誉将适用于所有连接,但会以不同的方式用于入站和出站连接: 

• 对于出站连接 ‑ 如果 GTI 报告目标主机有恶意目的,则会引发“GTI:High Risk External IP Detected(GTI: 检测到高 

风险外部 IP)”攻击。可以将此攻击配置为进行阻止。随后,系统会缓存外部恶意主机信誉,并阻止到该主机的所有 

连接。 

• 对于入站连接 ‑ 当启用 GTI 并配置连接限制规则时,您便可以阻止入站连接上接收到的恶意流量。例如,您可以将 

Sensor 部署在 Web 服务器的前面,并启用 GTI 和连接限制规则,以限制对服务器的访问并阻止 DoS 攻击。 

高级僵尸网络检测 

选择“Enable Inbound?(是否启用入站?)”或“Enable Outbound?(是否启用出站?)”选项,以启用所选的流量。 

Bot 被定义为在已遭破坏的系统上运行的恶意软件,目的是入侵已遭破坏的计算机的集中管理网络(称为僵尸网络)。就 

目前所知,单个僵尸网络由超过一百万个已遭破坏的计算机组成,可以算是当前全球 Internet 所面临的最大威胁。 

僵尸牧人将从包含成千上万个傀儡的大规模僵尸网络转移到规模更小且更具针对性的网络。另外,适用于命令与控制 

(C&C) 的 IRC 协议逐步被淘汰,进而采用更隐匿的协议,如 HTTP、通过 433 端口的非 SSL 加密流量,等等。 

对类似 Bot 的行为的识别通常要经过几个阶段(每个阶段采用单独的攻击 ID 来识别)。通常攻击特征码可以检测单流中 

的攻击(除侦测攻击外)。Network Security Platform 可以通过为不同流之间的多个攻击建立关联来支持“高级僵尸网络 

检测”功能。通过在给定的时间段中观测主机,从而在攻击之间建立关联。 

成功建立关联后,高级僵尸网络检测可提供从不同攻击阶段检索到的详细信息。Network Security Platform 还可以将攻 

击信息转发至 NTBA Appliance,以便建立类似的关联。 

另请参阅 





5 



在接口级别配置高级僵尸网络检测 

任务 

1 在 Manager 中,转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “IPS 

Interface(IPS 接口)” | “Protection Profile(保护配置文件)” | “Advanced Botnet Detection(高级僵尸网络检测)”。 

图 5-18 高级僵尸网络检测 ‑ 接口级别 


此时会打开“Advanced Botnet Detection(高级僵尸网络检测)”页。 

图 5-19 “Advanced Botnet Detection(高级僵尸网络检测)”对话框 

2 在“Advanced Botnet Detection(高级僵尸网络检测)”字段下选择“Export Potential Botnet Events to NTBA for 

Further Analysis?(是否将潜在僵尸网络事件导出到 NTBA 以供进一步分析?)”。 

启发式检测将不同的 Bot 活动关联起来,并在满足特定条件时发出警报。敏感度级别确定了启发式引擎进行分析所 

必需的的可信度。例如,当选择了低敏感度级别(默认)时,引擎在发出警报前,其检测到 Bot 这一点必须具有高可 

信度。 

即使当禁用本地检测时,事件也能发送到 NTBA。 

3 如果要从 IPS 设置节点继承已配置的 URI 或黑名单,请选中“Heuristic Detection(启发式检测)”字段下的“Inherit 

Settings from IPS Settings Node(从 IPS 设置节点继承设置)”。转至步骤 5。 

4 如果不从“IPS Settings(IPS 设置)”节点继承设置,请在“Heuristic Detection(启发式检测)”字段下的“Sensitivity(敏 

感度)”选项中,选择“Low(低)”/“Medium(中)”/“High(高)”敏感度级别。 

敏感度级别确定了启发式引擎进行分析所必需的的可信度。 

默认情况下会选中“Low(低)”敏感度。 


图 5-20 敏感度级别 




5 



高级流量检查 

近期,网络协议(向终端应用程序发送数据并从终端应用程序接收数据的机制)暴露出一些漏洞,这些漏洞使得数据绕开 

信息安全设备,导致针对目标网络的漏洞利用或攻击。网络流量使用编码或加密技术来规避检测。Network Security 

Platform 提供了一种针对此类流量执行高级检查的机制。利用Advanced Traffic Inspection(高级流量检查),可以对以 

下流量区段进行解码/重组: 

• SMTP 协议规范不处理二进制数据的传输,因此要对二进制数据进行编码。目前可以对 SMTP 流量中的编码数据进 

行解码,以检测威胁或异常。 

• HTTP 响应流量可能包含分块负载。可以对这些负载分块进行重组,便于检测各种威胁或异常。 

• HTTP 响应流量可能包含编码数据文件(HTML、PDF 等)可以对 HTTP 响应流量中的这些编码文件进行解码,便于 

检测各种威胁或异常。 

• 可以对 MS RPC/SMB 流量执行分片或分段操作,或同时执行这两种操作时。可以对这些数据进行重组,以检测各种 

威胁或异常。 

在包含 90% 正常流量和 10% 利用规避的流量的部署中,如果启用“高级流量检查”功能,Sensor 吞吐量将会降低约 5%。 

另请参阅 


在接口级别配置高级流量检查 

要在接口级别配置高级流量检查,请执行以下操作: 

任务 


口)” | “Protection Profile(保护配置文件)”。 

2 对入站流量和/或出站流量启用“Advanced Traffic Inspection(高级流量检查)”(对于入站流量选择“Enable Inbound? 

(是否启用入站?)”,对于出站流量选择“Enable Outbound?(是否启用出站?)”)。 


4 单击“Advanced Traffic Inspection(高级流量检查)”。根据需要选择选项和方向(入站/出站)。 

图 5-21 配置“Advanced Traffic Inspection(高级流量检查)” 


所提供选项如下所示: 

• Reassemble MS RPC/SMB application fragments(重组 MS RPC/SMB 应用程序碎片) 

SMB 是一个网络文件共享协议。MS‑RPC 为进程间通信机制提供了一个用于在两个进程之间交换数据的框架, 

这两个进程可以位于同一台计算机上,也可以位于可通过网络访问的两台远程计算机上。MS‑RPC 传输层可以 

为 TCP、UDP、HTTP 或 SMB。SMB 协议支持对数据进行分段。MS‑RPC 也支持对负载进行分片。由于 

MS‑RPC 可包含在 SMB 协议数据中传输,可以使用分片或分段或这两者来避开任何网络数据包检查设备。 

• 重组 HTTP 响应流量上的分块负载 

分块传输编码是一种 HTTP 数据传送机制。Web 服务器将 HTTP 响应内容分成多块。分块传输编码使用 HTTP 

响应报头来代替内容长度报头,否则,协议会要求使用后者。 

分块传输编码支持向客户发送动态生成的内容,无需进行缓冲。这种负载分块可以避开网络检查设备。 

• 解码 HTTP 响应流量中已编码的文件 

HTTP 响应流量可能含有已编码的数据文件(HTML、PDF 等),这些文件可能招致利用漏洞。可对 HTTP 响应流 

量中已编码的这些文件进行解码。使用的一些编码技术如下: 

• 紧缩:这一压缩技术主要用于以 FDP 文件格式压缩数据。PDF 文档支持在文档的一部分中使用“紧缩”编码。 

• HTML 编码:通过使用“&#”技术对 HTML 响应数据进行编码。编码可以为十进制或十六进制格式。 

• Base64:Base64 编码用于对在介质上存储和传送的二进制数据进行编码,其介质旨在用于处理文本数据。 

这一编码技术确保数据在传送期间保持完整无改动。 

• 解码 SMTP 流量中的已编码文件 

SMTP 协议规范使用 MIME 内容传送编码来传输二进制数据。由于 SMTP 协议只能处理 7 位 ASCII 数据,每 

组 3 字节的二进制数据会转换为 6 字节数字,并被替换为 ASCII 字符。SMTP 流量也可能包括以 Base‑64 编码 

的数据。可对 SMTP 流量中已编码的数据进行解码,以检测威胁/异常。 

默认情况下,高级流量检查处于禁用状态,并检查每个 VIDS 的流量。 

明确提到 HTTP 响应流量的选项需要在相同方向启用响应流量。如果禁用了 HTTP 响应流量,则会禁用这些选项。需 

要启用 HTTP 响应扫描。 


GTI 指纹 

Sensor 为被视为潜在有害的文件创建一个指纹(MD5 哈希值),将该指纹潜入标准的 DNS 请求中,然后将该指纹发送 

到 GTI 云服务器。云服务器将指纹与 McAfee Labs 维护的威胁数据库进行比较。如果将指纹识别为已知恶意软件,则 

云服务器会从 Sensor 发出通知,并强制执行针对该恶意软件的响应操作。请注意,恶意软件的详细信息可以从 Threat 

Analyzer 查看。 

另请参阅 





5 



从接口级别配置文件信誉 - GTI 指纹 

任务 


“Protection Profile(保护配置文件)”。 

2 启用“Protection Options(保护选项)” | “File Reputation ‑ GTI Fingerprints(文件信誉 ‑ GTI 指纹)”,以扫描入站流 

量(选择“Enable Inbound?(是否启用入站?)”)和/或出站流量(选择“Enable Outbound?(是否启用出站?)”)。 

图 5-22 “GTI Fingerprints(GTI 指纹)”选项 


3 单击“File Reputation ‑ GTI Fingerprints(文件信誉 ‑ GTI 指纹)”以打开“Configure policy(配置策略)”对话框。 

图 5-23 “GTI Fingerprints(GTI 指纹)”的“Configure Policy(配置策略)”对话框 

4 如果选中“Inheritance(集成)”部分下的“Inherit From Parent Admin Domain(从父管理域继承)”,则可以从父管理域 

继承指纹。 

5 在“GTI”部分提到“Maximum File Size Scanned(已扫描的最大文件大小)”。 

6 选择以下任一敏感度级别: 

• Very Low(非常低) 

• Low(低) 

• Medium(中) 

• High(高) 

• Very High(非常高) 

默认值为“Very Low(非常低)”选项。 


自定义指纹 

您可以哈希已知的恶意软件文件,并将生成的指纹导入 Network Security Platform。Sensor 为被视为潜在有害的文件创 

建指纹,并将这两个指纹进行比较。如果匹配,则 Sensor 会强制执行响应操作。 

另请参阅 





5 



从接口级别配置文件信誉 - 自定义指纹 

任务 



图 5-24 从接口级别配置文件信誉 ‑ 自定义指纹 

2 启用“Protection Options(保护选项)” | “File Reputation ‑ Custom Fingerprints(文件信誉 ‑ 自定义指纹)”,以扫描入 

站流量(选择“Enable Inbound?(是否启用入站?)”)和/或出站流量(选择“Enable Outbound?(是否启用出站?)”)。 


3 即会打开“Configure Policy(配置策略)”对话框。 

图 5-25 “Custom Fingerprints(自定义指纹)”选项的“Configure Policy(配置策略)”对话框 

4 “Custom(自定义)”部分下提供以下选项: 

• Number of Custom Fingerprints in Use(正在使用的自定义指纹的数目) 

• Maximum file size scanned(已扫描的最大文件大小) 

“启发式 Web 应用程序服务器保护”的工作方式 



启发式 Web 应用程序服务器保护是 McAfee 正在进行的广泛研究的成果。您可以在接口和子接口级别启用此功能。如 

果启用了此功能,Sensor 会检查相应接口与子接口上的 HTTP 和 HTTPS 流量是否存在 SQL 注入。对于 HTTPS 流量, 

您必须已经启用解密并与 Sensor 共享服务器密钥。 


5 



当启用启发式 Web 应用程序服务器保护时,以下选项可供使用: 

• 您可以针对在特定接口/子接口发现的所有 HTTP 流量启用启发式分析,或者针对特定网站路径启用该功能。因此, 

对于启发式分析,Sensor 只考虑那些包含这些路径的 HTTP 请求。在 Manager 中,这些路径称为“Website Paths 

to Protect(要保护的网站路径)”。 

• 您可以针对受保护的网站路径启用默认的启发式检测机制。Sensor 考虑那些到达受保护网站路径的规范化 HTTP 请 

求中所保留的每个 SQL 关键字。Sensor 在确定是否为攻击时会考虑各种因素(如查询中的关键字数量、查询的语法 

等)。由于启发式分析的研究仍在继续,McAfee 可能会不时地对启发式规则和算法进行调整。如果更新了特征码 

集,即可使用这些更改。 

当 Sensor 通过默认的启发式检测机制检测出了攻击,即会发出“HTTP: Web Application Server Attack Detected 

(HTTP: 检测到 Web 应用程序服务器攻击)”警报(NSP 攻击 ID:0x4029d300)。 

• 您可以使用特定字符串来增强默认的启发式检测机制。Sensor 将这些字符串视为黑名单标记。当 Sensor 在到受保 

护网站路径的 HTTP 请求中检测到任何这些字符串时,会将其视为攻击。例如,您可以指定存储过程的名称,因为 

这些名称不应当在 HTTP 请求中。在 Manager 中,这些列入黑名单的标记称为“Blacklisted Text(黑名单文本)”。 

当 Sensor 检测到了列入黑名单的文本,则会发出“HTTP: Stored Procedure Name Detected by SQL Injection 

Heuristic Engine(HTTP: SQL 注入启发式引擎检测到存储过程名称)”警报(NSP 攻击 ID:0x00011200)。 

启发式 Web 应用程序服务器保护功能仅适用于运行 7.0 或更高版本的 M 系列 Sensor。此功能在串联、Tap 和 SPAN 模 

式下工作。 

实现启发式 Web 应用程序服务器保护的简要步骤 

1 确保您要保护的 Web 应用程序服务器已连接到合适的 Sensor 监控端口。有关详细信息,请参阅“McAfee Network 

Security Platform 入门手册”。 

2 要让 Sensor 检查 HTTPS 流量,请确保已经启用了 SSL 解密并且您已经将所需的 SSL 密钥导入到 Sensor。 

3 如果必要,为 Web 应用程序服务器创建子接口。 

4 请确保已经将所需的 IPS 策略应用到 Web 应用程序服务器所连接到的接口或子接口。同时,请确保在这些 IPS 策 

略中列出并启用了以下攻击: 

a HTTP: Web Application Server Attack Detected(HTTP: 检测到 Web 应用程序服务器攻击)(NSP 攻击 ID: 

0x4029d300) 

b HTTP: Stored Procedure Name Detected by SQL Injection Heuristic Engine(HTTP: SQL 注入启发式引擎检测 

到存储过程名称)(NSP 攻击 ID:0x00011200) 

为上面列出的攻击配置所需响应操作。 

5 在管理域配置启发式 Web 应用程序服务器保护选项。 

6 为所需的接口和子接口配置并启用启发式 Web 应用程序服务器保护。 

7 监控 Threat Analyzer 中与 SQL 注入相关的警报。 

另请参阅 


在接口级别配置启发式 Web 应用程序服务器保护 











任务 

1 单击“Resource Tree(资源树)”中的接口或子接口,然后单击“Protection Profile(保护配置文件)”页中“Protection 

Options(保护选项)”部分的“Heuristic Web Application Server Protection(启发式 Web 应用程序服务器保护)”。 

2 要从管理域中继承设置,选择“Inherit Settings from IPS Settings Node?(是否从 IPS 设置节点继承设置?)” 

• 要继承网站路径和黑名单文本,请针对“Website Paths to Protect(要保护的网站路径)”选择“Specific(特定)”。 

• 要只继承黑名单文本,请针对“Website Paths to Protect(要保护的网站路径)”选择“All(全部)”。在此情况下, 

Sensor 会对该接口或子接口看到的所有 HTTP 请求应用内置启发式规则和继承的黑名单标记。 

您不能只从管理域继承网站路径。 




5 



3 要覆盖管理域中的设置,请清除“Inherit Settings from IPS Settings Node?(是否从 IPS 设置节点继承设置?)” 

• 对于启发式 Web 应用程序服务器保护,如果 Sensor 需要考虑任何 HTTP 请求,请针对“Website Paths to Protect 

(要保护的网站路径)”选择“All(全部)”。 

• 要指定网站路径,请针对“Website Paths to Protect(要保护的网站路径)”选择“Specific(特定)”,然后在“New 

Path(新路径)”中输入路径并单击“Add(添加)”。例如,如果指定 /private‑banking/ 作为路径,则对于启发式 

Web 应用程序服务器保护,Sensor 只会考虑包含 /private‑banking/ 的请求。对于每个 Sensor,您最多可以指 

定 512 个这样的路径。如果没有指定路径,则 Sensor 会检查所有的 HTTP 请求。 


• 要指定黑名单文本,请在“New String(新建字符串)”中输入文字并单击“Add(添加)”。添加的字符串将列在 

“Current Blacklist(当前黑名单)”表中。它们的类型始终为自定义。请注意以下几点: 

• 这些字符串的长度必须为 3 到 255 字符之间。 

• 在每个 Sensor 中最多可指定 256 个字符串。 

• 如果 Sensor 在查询受保护网站路径时检测到任何这些字符串,则会将其视为攻击。如果定义这些字符串, 

则 Sensor 会针对这些字符串以及内置的默认启发式规则检查这些查询。否则,它只会检查默认的启发式规 

则。 

• 如果 Sensor 要引发警报,则黑名单文本应出现在请求 URI 中的路径后。例如,假设“private‑banking”为路 

径,而“get_balance”为黑名单文本,则在请求 URI 中,“get_balance”应出现在“private‑banking”之后,以便 

Sensor 检测该黑名单文本。 



图 5-26 “Heuristic Web application server Protection(启发式 Web 应用程序服务器保护)”对话框 

5 在接口或子接口的“Protection Profile(保护配置文件)”页,以正确的方向启用“Heuristic Web Application Server 

Protection(启发式 Web 应用程序服务器保护)”。 

要保护 Web 应用程序服务器,通常您以入站方向启用该功能。 

图 5-27 配置“Heuristic Web application Server Protection(启发式 Web 应用程序服务器保护)” 

6 在启用启发式 Web 应用程序服务器保护后,单击“Protection Profile(保护配置文件)”页中的“Save(保存)”。 

7 完成 Sensor 配置更新,以使配置生效。 

Sensor 会根据您的配置来保护 Web 应用程序服务器。 




5 



当 Sensor 通过默认的启发式检测机制检测出了攻击,即会发出“HTTP:Web Application Server Attack Detected 

(HTTP: 检测到 Web 应用程序服务器攻击)”警报(NSP 攻击 ID:0x4029d300)。这被视作是利用漏洞攻击。Threat 

Analyzer 的“Alert Details(警报详细信息)”页显示 Sensor 在查询中检测到的任何保留的 SQL 关键字。这些内容会显示 

在“Alert Details(警报详细信息)”页中的“SQL Injection Details(SQL 注入详细信息)”部分。 

图 5-28 0x4029d300 警报详细信息 


当 Sensor 检测到了自定义的列入黑名单的文本,则会发出“HTTP:Stored Procedure Name Detected by SQL Injection 

Heuristic Engine(HTTP: SQL 注入启发式引擎检测到存储过程名称)”警报(NSP 攻击 ID:0x00011200)。这被视作是 

违反策略。“SQL Injection Details(SQL 注入详细信息)”部分显示 Sensor 在相应 HTTP 请求中发现的自定义列入黑名单 

的文本。 

图 5-29 0x00011200 警报详细信息 

HTTP 响应扫描 

HTTP 响应扫描为恶意或受感染的 Web 服务器提供额外的保护。如果启用了响应扫描,将检查 HTTP 响应报头和下载 

的负载,看其中是否存在攻击。 

在接口级别配置 HTTP 响应扫描 



“HTTP Response(HTTP 响应)”设置可用于将 Network Security Platform 配置为检查每个监控端口和每个方向上的利 

用漏洞的 HTTP 响应。Sensor 将能够扫描纯 HTML 文本响应(但不扫描包含压缩、加密或 MIME 编码内容的流量)。 


5 



请注意以下几点: 

• 默认情况下,禁用 HTTP 响应处理。 

• 您可以在端口或接口对的每个方向上启用 HTTP 响应处理。 

• 为尽量减小对 Sensor 的潜在性能影响,请在尽量少的端口上并且只在实现保护目标所必需的方向上启用 HTTP 响应 

处理。有关性能信息,请参阅“McAfee Network Security Platform 最佳方法手册”。 

• McAfee 建议您对出站流量启用 HTTP 响应处理。 

• 如果您怀疑内部 Web 服务器已经/可能遭到破坏,请考虑“仅”对入站流量启用 HTTP 响应。 

根据您组织的需要,可以在入站流量、出站流量和两个方向上启用 HTTP 响应检查。从接口级别启用 HTTP 响应扫描, 

以提高灵活性并规范配置。请参考以下示例。 

对于以下所有示例,必须确保具备以下配置之后方可启用 HTTP 响应扫描。 

任务 

1 转到“Device List(设备列表)” | “Sensor_Name(Sensor 名称)” | “Physical Device(物理设备)” | “Port Settings(端 

口设置)”页。 

2 验证端口 1A 是否连接到“Outside Network(外部网络)”,端口 1B 是否连接到“Inside Network(内部网络)”。 

示例 1 

位于您的 Sensor 上的端口 1A 已连接到外部网络,端口 1B 已连接到您的内部网络 [例如 Web 服务器]。如果您网络 

中的客户端计算机发出了一个连接到位于您网络外部的恶意 Web 服务器的请求,请对出站流量启用 HTTP 响应扫 

描。 


步骤: 

a 转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “IPS Interface(IPS 

接口)” | “Protection Profile(保护配置文件)” | “HTTP Response Scanning(HTTP 响应扫描)”。 

图 5-30 “HTTP Response Scanning(HTTP 响应扫描)”设置 

b 在“Outbound Status(出站状态)”部分下面选择 1A‑1B,对出站流量启用 HTTP 响应检测。 

示例 2 

考虑相反的情况。如果来自您的网络外部的客户端计算机连接到内部 Web 服务器,则整个流(包括响应流量)会视 

为入站流。例如,为了防止外部客户端受到已遭破坏的内部 Web 服务器的侵扰,请对入站流量启用 HTTP 响应扫 

描。 

步骤: 



b 在“Inbound Status(入站状态)”下面选择 1A‑1B,对入站流量启用 HTTP 响应检测。 

示例 3 



如果您希望在上述两种情况下为您的网络提供保护,则需对入站和出站流量均启用 HTTP 响应扫描。 


5 



步骤: 



b 在“Outbound Status(出站状态)”下面选择 1A‑1B,对出站流量启用 HTTP 响应检测。 

c 在“Inbound Status(入站状态)”下面选择 1A‑1B,对入站流量启用 HTTP 响应检测。 

下表总结了上面的几种情况。 

1A 1B 请求来源需启用的 HTTP 响应扫描 

外部网络内部网络内部网络 [您的员工尝试访问 Internet] 出站 

外部网络内部网络外部网络 [黑客试图访问您的 Web 服务器] 入站 

外部网络内部网络内外部网络入站和出站 

下面介绍了在 Sensor 上启用 HTTP 响应检查的简要步骤: 

a 在“Device List/Device_Name(设备列表/设备名称)” | “Physical Device(物理设备)” | “Port Settings(端口设 

置)”页下面,对您想要启用 HTTP 响应扫描的端口进行端口设置验证。 

b 转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “IPS Interface(IPS 


c 启用适用于您的网络的 HTTP 响应处理。 

d 单击“Apply(应用)”。 

e 转到“IPS Settings(IPS 设置)” | “Configuration Update(配置更新)”页。 

配置更新也可以通过“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Configuration Update(配置 

更新)”或“IPS Settings/Failover_Pair_Name_Node(IPS 设置/故障转移对名称节点)” | “Configuration Update(配 

置更新)”来执行。 

f 单击“Update(更新)”。 

另请参阅 


IP 信誉 

Sensor 与 McAfee ® Global Threat Intelligence (GTI) 服务器相集成,以获取电子邮件、IP 地址和 URL 的实时信誉评 

级。通过某个 IP 的 IP 信誉获取的评级可用于根据配置丢弃/隔离从主机发出的流量。信誉分数表明了风险等级。 

当启用 IP 信誉时,Sensor 将来源主机的信誉作为执行阻止的附加因素,由此增强了智能阻止功能。 

事实上信誉可以通过 IP 和端口的组合来确定。因此,根据当前使用的端口不同,同一个 IP 地址的信誉可能会有所不同。 

相关详细信息,请参阅“McAfee Network Security Platform 集成手册”。 

另请参阅 


从接口级别配置 IP 信誉 

要从接口级别配置 IP 信誉,请执行以下级别: 


任务 


口)” | “Protection Profile(保护配置文件)” | “Protection Options(保护选项)”。通过针对入站流量选择“Enable 

Inbound?(是否启用入站?)”,或针对出站流量选择“Enable Outbound?(是否启用出站?)”,来启用“IP Reputation 

(IP 信誉)”。单击“Save(保存)”。 

图 5-31 从接口级别配置 IP 信誉 

如果启用了出站连接,则会选中目标 IP 地址的信誉。如果启用了入站连接,则会选中来源 IP 地址的信誉。 

在此级别,系统会提示您输入 DNS 服务器信息。 



2 要从“IPS Settings(IPS 设置)”节点继承设置,单击“Inherit Settings from IPS Settings Node?(从 IPS 设置节点继 

承设置?)”单击“Save(保存)”,转到步骤 7。 


5 



3 如果您不想从“IPS Settings(IPS 设置)”节点继承设置,请在“IP Reputation(IP 信誉)”字段下,选择“Use IP 

Reputation to augment SmartBlocking?(是否使用 IP 信誉来增强智能阻止?)”选项,以增强对高风险主机攻击的阻 

止能力。 

此步骤可选。 

图 5-32 “GTI IP Reputation(GTI IP 信誉)”对话框 

4 在“Protocols(协议)”字段下,可以选择从左侧的“Queried(已查询)”框中排除协议,以将排除的协议填充到右侧的 

“Whitelisted(白名单)”框中。 

这有助于优化查找性能。 

5 您也可以排除主机/网络,以优化查找过程。选择“Whitelist All Internal IP Addresses?(是否将所有内部 IP 地址列入 

白名单?)” 

6 在“Whitelisted Networks(白名单网络)”字段中,单击“New(新建)”、“Edit(编辑)”或“Delete(删除)”选项以添加/删 

除列入白名单的网络。 


第 7 层数据收集 

Network Security Platform 支持所有主要协议(如 HTTP、SMTP(例如发件人地址、收件人地址、附件名称)、FTP 等) 

的第 7 层数据。这些是进行鉴证分析的必要信息。 

配置第 7 层数据收集 

要在接口级别配置第 7 层数据收集,请执行以下操作: 


任务 


口)” | “Protection Profile(保护配置文件)” | “Protection Options(保护选项)” | “Layer 7 Data Collection(第 7 层数 

据收集)”。 

图 5-33 “Layer 7 Data Collection(第 7 层数据收集)”选项 

2 在“L7 Data Collection(L7 数据收集)”部分的“Flows(流)”字段下显示以下信息: 

• Percentage (%) of Flows that Capture Layer 7 Data(捕捉第 7 层数据的流的百分比 (%)) 

• Maximum Number of Concurrent Flows Supported on this Device(本设备支持的并行流的最大数目) 

图 5-34 “Flows(流)”页 

3 如果要编辑“Flows(流)”页中的字段,请单击“Edit(编辑)”或转到步骤 4。 




5 



4 在“the Percentage (%) of Flows that Capture Layer 7 Data(捕捉第 7 层数据的流的百分比(%))”字段中输入详细信 

息,然后单击“Save(保存)”以保存配置。 

需要重新启用(无中断或热启动均可),以使此更改生效。 

5 单击“

检查 X-Forwarder-For 报头信息 

客户端到 Web 服务器的连接可能是通过 HTTP 代理或负载平衡器建立的。当使用明确(非透明)代理服务器(或负载平 

衡器场)时,它将终止原来的客户端连接,然后在自身与计划的目标 IP 地址之间创建次连接。如果 Sensor 监控端口位 

于连接的代理侧,则所有警报将显示代理服务器的外部 IP 地址作为来源或目标 IP 地址(取决于攻击方向),而不是真实 

的客户端 IP 地址。因此,警报中不提供真实的客户端 IP 地址。 

X‑Forwarded‑For (XFF) HTTP 报头分析是一种机制,用于识别这类客户端的原始 IP 地址。 

Sensor 分析 HTTP 连接的 X‑Forwarded‑For (XFF) HTTP 报头,通过该报头,Sensor 可以识别数据包已经遍历的代理 

服务器或负载平衡器。当 Sensor 位于连接的代理侧时,所生成的警报包括外部代理 IP 地址和真实的客户端 IP 地址。 

当检测到攻击时,Sensor 将代理 IP 地址和实际 IP 地址转发到警报机制,并在发送到 Manager 的警报消息中指示这些 

IP 地址。 

XFF 功能支持在每个接口或子接口上启用/禁用。XFF 功能既支持 IPv4 地址又支持 IPv6 地址。 

另请参阅 


配置 X-Forwarded-For (XFF) 报头分析 

要配置 X‑Forwarded‑For 支持,请执行以下操作: 




5 



任务 

1 在 Manager 中,选择“ IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “IPS Interface(IPS 接口)” | 


2 对入站流量和/或出站流量启用“X‑Forwarded‑For (XFF) Header Parsing(X‑Forwarded‑For (XFF) 报头分析)”(对于 

入站流量选择“Enable Inbound?(是否启用入站?)”,对于出站流量选择“Enable Outbound?(是否启用出站?)”)。 


默认情况下,XFF 处于禁用状态。单击“X‑Forwarded‑For (XFF) Header Parsing(X‑Forwarded‑For (XFF) 报头分 

析)”以启用该功能。 

此时会打开“X‑Forwarded‑For (XFF) Header Parsing(X‑Forwarded‑For (XFF) 报头分析)”对话框。 

配置常规接口设置 

当启用“X‑Forwarded‑For (XFF) Header Parsing(X‑Forwarded‑For (XFF) 报头分析)”时,可在 Threat Analyzer 中查 

看代理服务器的详细信息。请参阅“NSP Manager 管理手册”。 

“IPS Interface(IPS 接口)”选项卡(“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 

x)”)操作适用于接口的常规设置。 

• 在接口级别管理策略:在“Protection Profile(保护配置文件)”部分下,在接口级别配置策略;管理保护选项。 

• 管理接口:更改流量类型和命名接口;通过将流量类型更改为 CIDR 或 VLAN 来启用接口分段。 

• 创建子接口:创建子接口以应用策略和管理流量。 


查看接口详细信息 

要查看接口详细信息,请从资源树中选择接口节点;“Interface Detail(接口详细信息)”对话框将出现在“IPS Settings 

(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Interface(接口)” | “IPS Interface(IPS 接口)” | “Properties(属性)” | 

“Edit(编辑)”下。 

图 5-36 接口详细信息 

对话框的详细信息如下: 

• “Interface Name(接口名称)”:组成接口的端口标识。对于对等接口,格式为 xA‑xB。如果是接口组,则会列出多 

个 Sensor 端口。流量类型更改为 VLAN 或 CIDR 时,此名称可由用户配置;使用唯一的名称可方便识别。 

• “Description(描述)”:对接口的描述。 

• “Administrative Status(管理状态)”:用户定义的状态。“ENABLE(启用)”表示打开,“DISABLE(禁用)”表示关闭。 

• “Operational Status(工作状态)”:由 Sensor 的工作状况(功能方面)决定的状态。“UP(开启)”表示用户已启用并 

且正在工作中,“DOWN(关闭)”表示用户已禁用或出现故障。 

• “Operation Mode(工作模式)”:接口的监控配置。 

• “Interface Type(接口类型)”:流量类型。默认值为“Dedicated(专用)”。可更改为 VLAN 或 CIDR。 

• “Applied Policy(应用的策略)”:当前实施的策略。 

• “Monitoring Port(s)(监控端口)”:组成接口的 Sensor 物理端口。 

单击“Edit(编辑)”以编辑接口级别的设置。 

管理接口 

Sensor 支持四种流量类型: 

• Dedicated(专用) 

• VLAN 

• Bridge VLAN(桥接 VLAN)(仅适用于串联模式的 M 系列 Sensor) 

• CIDR。 




5 



默认情况下,所有接口都以Dedicated(专用)模式监控流量:接口将不论网段,会监控全部传输。另外也支持根据 

VLAN 标记或 CIDR 地址划分流量。如果流量被分成几个 VLAN 网段(如同一建筑内部的不同交换机之间),则可以将接 

口类型更改为“VLAN”。更为常见的是,如果在网络中使用 CIDR 地址,将流量类型改为“CIDR”有助于更好地保护系统中 

的特定网络/主机。对于 VLAN 和 CIDR 接口,您可以添加网络 ID(VLAN 标记或 CIDR 地址)来指定域中唯一的网络。 

通过将网络流量分割成 VLAN 或 CIDR 网段,用户可在子通讯流上更加灵活地应用多种策略。具体可通过将一个或多个 

子通信流(VLAN 标记/CIDR 块)配置成一个子接口来实现。 

桥接 VLAN 接口的功能与 VLAN 接口极其类似(应用了 IPS 策略后除外),如果流量正常,则 Sensor 会将 VLAN ID 更 

改为对等端口的 ID。 

VLAN 桥接功能可以使您通过最少数量的 Sensor,使用 IPS 策略来对内部 VLAN 流量进行监控。您还可以将 VLAN 桥 

接功能与您交换机上的以太网通道负载平衡功能结合使用,逐步增加 Network Security Platform 基础结构的 IPS 带宽。 

您不能更改已分配接口的流量类型。接口被分配之后,它便成为子域的“虚拟”资产,所以不能授予完全所有权。只有物理 

端口(接口)所在的管理域才拥有此接口,并能更改流量类型。 

如果您将流量类型从专用改为“VLAN”或“CIDR”后,决定再次更改流量类型设置,则为应用新配置,系统会删除以前在接 

口和子接口级别执行的所有配置。这可能会对许多情况产生影响,包括在已分配接口上创建子管理域。 

要更改接口的流量类型、添加 VLAN 或 CIDR 网络 ID,请执行以下操作: 

任务 

1 单击“Interface‑x(接口 x)” | “Properties(属性)” | “Edit(编辑)”。 

图 5-37 管理接口 ‑ 更改流量类型 

2 选择下列一种“Interface Type(接口类型)”: 

• “Dedicated(专用)”:(默认)不对流量分段。 

• “VLAN”:可让您按 VLAN 标记将接口分成多个网络。 

• “Bridge VLAN(桥接 VLAN)”:用于在 VLAN 之间进行桥接通讯 

当 Sensor 关闭时,流量会通过具有与其到达 Sensor 时相同 VLAN ID 的对等端口进行转发。因此,如果您未将 

交换机配置为处理此类情况,则数据包可能会丢失。您可以设置故障转移 Sensor 来降低此风险。 

• “CIDR”:可让您按 CIDR 地址将接口分成多个网络。 

如果您选择“VLAN”或“CIDR”,请转至步骤 3。如果您选择“Dedicated(专用)”,则无需再执行其他步骤。 

有关流量类型的详细信息,请参阅“McAfee Network Security Platform 入门手册”。 


3 在新的“VLAN”或“CIDR”窗口中,单击“Edit(编辑)”添加 VLAN/CIDR ID。 

图 5-38 “Edit Dedicated Interface(编辑专用接口)”选项卡 

4 (可选)清除端口编号并在“Interface Name(接口名称)”字段键入新的文本。自定义名称最多包含 45 个字母数字字 

符,包括连字符、下划线和点号。输入的文本将出现在接口节点所在的资源树中,物理端口编号仍会列在文本后的 

括号内。例如,如果键入“VLANs 1‑5”作为端口 2B 的接口名称,资源树会将该节点列为“VLANs 1‑5(2B)”。 

如果您之前更改了“Interface Name(接口名称)”,然后希望还原为默认值,请单击“Reset to System Default(重置为 

系统默认值)”。此操作不会影响“Description(描述)”字段。 

如果您为某接口指定了自定义的名称,后来又将该接口分配给一个子域,那么子域将不会继承自定义名称。 

图 5-39 资源树中接口名称的变更 

5 (可选)键入接口“Description(描述)”。此文本不会显示在资源树中,仅显示在接口详细信息中。仅当接口类型已更 

改为“VLAN”或“CIDR”时,才可输入唯一的描述。 

图 5-40 编辑 VLAN ID 

项目描述 

1 自定义名称,默认值为端口编号,此名称将显示在资源树中 

2 仅显示在接口描述对话框中 




5 



6 添加要监控的 VLAN/CIDR ID。 

• 对于 VLAN,您可以按范围或各个 ID 键入 VLAN 标记。有效的范围为 0 到 4095,每个接口的最大 VLAN 标记 

数为 254。如果您创建了子接口并将所有 254 个 VLAN 分配给该子接口,则可以在该接口中创建更多 VLAN。 

• 对于 CIDR,则键入网络“IP Address(IP 地址)”和“Mask Length(掩码长度)”,然后单击“Add to List(添加到列 

表)”。网络地址必须符合标准的 CIDR 地址规则(由正确的 IP 和掩码长度组合而成)才有效。 

您现在可以在 CIDR IP 地址字段的 4 个不同字段中输入 IPv4 地址(以点分隔)。 

您现在可以在对应的字段中输入 IP 地址值。 

每个字段中的最大值为 255。如果您输入“.”,将转到下一个字段。 

只允许输入 0‑9 之间的数值。不允许包含特殊字符。在输入最后一个字段后按 Tab,将使您转而选择掩码字段。 

如果您无法保证准确的 VLAN/CIDR ID,请不要输入 ID,以后您可随时添加 ID。 

图 5-41 编辑 CIDR 接口 

7 单击“New(新建)”以保存添加的接口信息,单击“Cancel(取消)”以中止。 

8 执行“更新 Sensor 的配置”中的步骤,将所做的更改下载到您的 Sensor 接口。 

任务 

• 从接口中删除 VLAN 或 CIDR ID 第 334 页 

另请参阅 

IP 欺骗检测第 272 页 

从接口中删除 VLAN 或 CIDR ID 

要从分段后的接口中删除 VLAN 或 CIDR ID,请执行以下操作: 

任务 

1 单击“Interface‑x(接口 x)” | “Properties(属性)” | “Edit(编辑)”。 

2 选择要删除的 ID。 

3 单击“Delete(删除)”,然后确认删除。 



创建子接口 

如果有 VLAN、桥接 VLAN 或 CIDR 流量流经受监控的网段,您可以执行“Manage Sub‑interface(管理子接口)”操作创 

建一个或多个子接口。在创建子接口之前,必须按照“管理接口”中的步骤将“Interface Type(接口类型)”设置为 VLAN 

或 CIDR,且您必须已输入 VLAN 或 CIDR ID。 

如果输入了不流经受监控链路的 ID,就会使用父接口的策略保护全部流量。 

创建子接口之前必须明白,一旦创建了子接口,您将不能再在接口级别执行“Manage DoS IDs(管理 DoS ID)”操作。如 

果创建了子接口,您就必须在子接口级别执行“Manage DoS IDs(管理 DoS ID)”操作。 

如果您为接口添加了多个 VLAN 或 CIDR ID,则可以创建一个具有一个或多个 ID 的子接口,也可以创建多个子接口。 

要创建多个子接口,您必须重复执行以下步骤。 

要创建子接口,请执行以下操作: 

任务 

1 选择“Interface‑x(接口 x)” | “IPS Interface(IPS 接口)” | “Sub‑interface(子接口)”。 

图 5-42 管理子接口 


要编辑现有子接口,请选择子接口,然后单击“Edit(编辑)”,然后执行以下步骤。要删除子接口,请选择子接口,然 

后单击“Delete(删除)”并确认删除。 

3 键入“Sub‑interface Name(子接口名称)”。 

4 选择要在子接口上执行的策略(“Policy Name(策略名称)”)。 

图 5-43 创建子接口 ‑ CIDR 




5 




• 对于 VLAN 和桥接 VLAN,选择 ID 并单击“>” 按钮,将此 ID 从“Available(可用)”列移至“Allocated(已分配)” 

列。 

• 对于 CIDR,键入“IP Address(IP 地址)”和“Mask Length(掩码长度)”,然后单击“Add to List(添加到列表)”。 

有效的 CIDR 可以来自您在“Interface‑x(接口 x)” | “IPS Interface(IPS 接口)” | “Edit(编辑)”中输入的列表,也 

可以是您输入的列表所含网络内的 CIDR 主机。例如,如果您以前输入的是 192.168.3.0/24,创建子接口时可在 

此处输入 192.168.3.1/32 和 192.168.3.2/32。添加完 CIDR 后,单击“New(新建)”。 


您现在可以在 CIDR IP 地址字段的 4 个不同字段中输入 IPv4 地址(以点分隔)。您现在可以在对应的字段中输 

入 IP 地址值。 

每个字段中的最大值为 255。如果您输入“.”,将转到下一个字段。 

只允许输入 0‑9 之间的数值。不允许输入特殊字符。在最后一个字段后按 Tab,将使您转而选择掩码字段。 

如果您正在通过一个尚未分配的 CIDR 地址创建另一个子接口,则可以单击“List of Allocated CIDRs(已分配 

CIDR 的列表)”查看已分配的 CIDR。 

新的子接口即会显示在“Sub‑Interface List(子接口列表)”表中,还会作为节点出现在资源树中创建它的接口节点下。 


如何在 IPS Sensor 接口级别管理攻击过滤器 

您可以通过“Attack Filter Assignments(攻击过滤器分配)”选项卡(“IPS Settings(IPS 设置)” | “Sensor _Name 

(Sensor 名称)” | “Interface‑x(接口 x)” | “IPS Interface(IPS 接口)” | “Attack Filter Assignments(攻击过滤器分配)”) 

在 IPS Sensor 接口级别创建攻击过滤器。可以通过过滤器将攻击过滤器应用于资源。Manager 仅在接口/子接口级别应 

用攻击过滤器。在 IPS 设置级别上关联的攻击过滤器将与属于该“IPS Settings(IPS 设置)”节点的所有 Sensor 相关联。 

同样,在 Sensor 上关联的攻击过滤器将与属于该 Sensor 的所有接口/子接口相关联。 

在接口级别添加攻击过滤器的步骤与在“管理攻击过滤器和攻击响应”中的介绍类似。 


查看接口上应用的 DoS 策略 

“Interface‑x(接口 x)” | “IPS Interface(IPS 接口)” | “DoS Profile(DoS 配置文件)”操作详细说明了接口上应用的 DoS 

学习模式策略的当前状态。DoS 策略是在添加 Sensor 域继承而来的,但可能已在执行以下操作时进行了更改: 

• 应用不同的策略。 

• 为接口创建一个或多个自定义的 DoS ID。 

在接口 x 级别,您无法查看在子接口内创建的 DoS ID 的状态。这一级别的视图只准确地显示父接口与直接子接口的 

关系。有关如何查看子接口的子 DoS 策略的详细信息,请参阅“查看子接口上应用的 DoS 策略”。 

图 5-44 查看 DoS 配置文件 

在 DoS 学习模式下,系统会根据 48 小时内的流量建立一个确定“正常”流量模式的配置文件。第一次学习过程完成后, 

Sensor 会一边检测超出正常参数的流量,一边继续测量网络流量并对配置文件做出相应的调整。超出正常参数的活动会 

触发警报。 

要查看 DoS 配置文件,请执行以下操作: 

任务 



1 选择“IPS Settings(IPS 设置)” | “IPS Sensor _Name(IPS Sensor 名称)” | “Interface‑x(接口 x)” | “IPS Interface 

(IPS 接口)” | “DoS Profile(DoS 配置文件)”。字段说明如下: 

• “Profile(配置文件)”:应用 DoS 配置文件的子接口或 VLAN/CIDR ID。“Default NI(默认 NI)”表示接口分支(即 

子接口、VLAN 标记和 CIDR 块)以外的全部流量。 

• “Status(状态)”:列出策略当前是在学习网络行为还是在积极检测。“Learning(学习)”表示正在通过确定“正常” 

的流量基准创建第一个流量配置文件。学习周期需要 48 小时。“Detection(检测)”表示配置文件已完成初始的学 

习周期,正在检查异常流量。 




5 



2 (可选)选择 DoS ID,然后单击“View(查看)”显示应用到选定 DoS ID 上的 DoS 配置文件中测量的速率数据。您可 

以通过切换“Select a Measure(选择测量)”下拉列表并单击“View(查看)”更改测量。要返回到“Applied Policy Detail 

(应用的策略详细信息)”表,请单击“Back(上一步)”。 

图 5-45 DoS 检测状态 ‑ 速率数据 

如何为接口分配防火墙策略 

转到“Interface_name(接口名称)” | “IPS Interface(IPS 接口)” | “Protection Profile(保护配置文件)”。在“Protection 

Profile(保护配置文件)”页面的“Firewall Policy(防火墙策略)”部分中,您可以为端口和接口级别分配防火墙策略。 


分配 ACL 规则 

可以在接口级别分配 ACL。 


如果要为某个接口分配对于子域不可见的 ACL 规则,那么,当您尝试将该接口委托给子域时,会显示一条错误消息。 

如果要在配置了 ACL 的情况下,从子域调用已经接受父域委托的接口,则会显示一条错误消息。您将必须首先删除该 

ACL 才能收回该接口。 

“Sub‑interface‑x(子接口 x)”资源是表示接口分段的节点,接口分段的目的在于更精细地划分监控和保护范围。因为您 

需要使用某个策略为指定主机或网络上的特别流量提供最安全的保护,所以通常都会创建子接口。可以在创建子接口的 

过程中应用不同于接口上策略的策略。这样就可以在一个接口上灵活地实施多个策略。 

位于网络汇集位置的 Sensor 具备足够的智能特性,可以检查流量内容并分离上行链路中指定的 VLAN 或 CIDR ID。企 

业通常将以上流量类型分别用于组织内的单个主机或组内的分段数据上。 

图 5-46 子接口示例 


IPS Sensor 子接口节点 5 

“子接口示例”一图说明了部署子接口保护子通信流的方案。在此示例中,Network Security Sensor 使用 Tap 模式监视路 

由器和交换机之间的上行链路。交换机背后是三个 Solaris 服务器和五个 Windows 工作站组成的网络。这三台服务器 

(A、B 或 C)需要使用独立于上行链路上其他通信量的策略。该网络地址为 192.168.0.0/24,服务器地址如下所示:A 

为 192.168.0.1/32、B 为 192.168.0.2/32、C 为 192.168.0.3/32。您可将接口流量类型设为 CIDR,并添加服务器 A、 


5 



B、C 的地址。现在,您可以创建由以上三个 CIDR 地址组成的子接口并应用一个特定于 Solaris 服务器流量的策略,如 

“Solaris Server(Solaris 服务器)”策略。其余流量将受监控上行链路的接口策略保护。因为交换机后的其他计算机使用 

的是 Windows 平台,所以最好使用“Windows Server(Windows 服务器)”策略。 

图 5-47 子接口示例 

表 5-2 

项目描述 

1 具有唯一名称的子接口节点 

子接口节点创建于接口节点级别,其位置可通过导航至“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | 

“Interface‑x(接口 x)” | “Sub‑interface‑x(子接口 x)”确定,其中“Sub‑interface‑x(子接口 x)”是指具体名称的子接口实 

例。 

• 查看和管理子接口选项卡详细信息:查看/编辑子接口信息。 

• 对子接口应用策略应用 IPS 策略和/或自定义 DoS 策略。 

• 管理子接口上的攻击过滤器关联:管理利用漏洞攻击和侦测攻击的攻击过滤器关联 

• 在子接口上添加访问控制列表 (ACL) 规则:管理在子接口级别创建的 ACL 规则。 

本部分说明的所有操作步骤都假定用户已经从资源树中选择了子接口资源。 

配置常规子接口设置 

“Sub‑interface‑x(子接口 x)” | “IPS Sub‑Interface(IPS 子接口)”选项卡操作用于子接口的常规设置。 

• 在子接口管理策略:在“Protection Profile(保护配置文件)”部分下配置不同的策略;配置保护选项。 

• 管理子接口的详细信息:添加/编辑/删除特定子接口的已有 ID。 

查看子接口的详细信息 

“Properties(属性)” | “Edit(编辑)”操作可以查看为子接口配置的详细信息。 

字段说明如下: 

• Interface Name(接口名称):子接口的名称 

• Interface Type(接口类型):子接口的流量类型,可以是 VLAN 或 CIDR 


• Assigned Policy(分配的策略):当前实施的策略 

• ID List(ID 列表):接口分配给子接口的 ID 

图 5-48 子接口详细信息 

管理子接口的详细信息 

借助“IPS Interface(IPS 接口)” | “Sub‑Interface(子接口)”操作,可以添加/编辑/删除特定子接口的已有 ID。 

子接口是在接口资源级别创建的。 

要编辑子接口的属性,请执行以下操作: 

任务 

1 选择“Sub‑interface‑x(子接口 x)” | “IPS Sub‑interface(IPS 子接口)” | “Sub‑interface(子接口)”。 

2 (仅 CIDR)选择 CIDR 的 ID,然后单击“Delete(删除)”移除该 ID。确认删除。 



以下步骤为可选步骤。 

• 对于“VLAN”和“桥接 VLAN”: 

1 通过选择一个 ID 并单击“>”按钮将其从“Available(可用)”列移至“Allocated(已分配)”列,添加 ID。 

2 通过选择一个 ID 并单击“

5 



只允许输入 0‑9 之间的数值。不允许输入特殊字符。在最后一个字段后按 Tab,将使您转而选择掩码字段。 

如果您正在通过一个尚未分配的 CIDR 地址创建另一个子接口,则可以单击“List of Allocated CIDRs(已分配 CIDR 

的列表)”查看已分配的 CIDR。 

5 单击“Finish(完成)”接受这些更改。 

6 通过执行“更新一个 Sensor 的配置”中的步骤,将所做的更改下载到您的子接口。 

查看子接口上应用的 DoS 策略 

“Sub‑interface‑x(子接口 x)” | “Sub‑Interface(子接口)” | “DoS Profile(DoS 配置文件)”操作提供有关子接口上或子接 

口内应用的自定义 DoS 策略的工作状态详细信息。DoS 策略是在创建子接口时从接口继承而来的,但可能已在执行以 

下操作时进行了更改: 

• 为子接口应用其他策略。 

• 为子接口创建一个或多个自定义的 DoS 策略。这可以通过对整个子接口、子接口内的各 VLAN/CIDR ID、VLAN 或 

CIDR ID 内的 CIDR 地址执行“Manage Custom(管理自定义)”操作来实现。有关详细信息,请参阅: 

在 DoS 学习模式下,系统会根据 48 小时内的流量建立一个确定“正常”流量模式的配置文件。第一次学习过程完成后, 

Sensor 会一边检测超出正常参数的流量,一边继续测量网络流量并对配置文件做出相应的调整。超出正常参数的活动会 

触发警报。 

“Applied Policy Detail(应用的策略详细信息)”表显示父子关系(子接口或子接口 DoS ID)并分别显示子接口及其直接子 

项的学习模式状态值。在您已经通过“Manage Custom(管理自定义)”操作扩充策略应用并想确定新应用的配置文件的 

状态时,它将非常有用。 

要查看子接口上应用 DoS 策略的状态,请执行以下操作: 

任务 

1 选择“Sub‑interface‑x(子接口 x)” | “IPS Sub‑interface(IPS 子接口)” | “DoS Profile(DoS 配置文件)”。 


• “Profile(配置文件)”:应用 DoS 策略的子接口。“Default NI(默认 NI)”表示不属于子接口分支(即子接口内 

VLAN 标记或 CIDR 地址的 DoS ID)的所有流量。 

• “Status(状态)”:列出配置文件当前是在学习还是在检测。“Learning(学习)”表示正在创建第一个学习配置文件 

来确定“正常”的流量基准。学习周期需要 48 小时。“Detection(检测)”表示配置文件已完成初始的学习周期,正 

在检查异常流量。 



2 (可选)选择 Dos ID,然后单击“View(查看)”显示应用到选定 DoS ID 上的 DoS 配置文件中测量的速率数据。您可 

以通过切换“Select a Measure(选择测量)”下拉列表并单击“View(查看)”更改测量。要返回到“Applied Policy Detail 

(应用的策略详细信息)”表,请单击“Back(上一步)”。 

如何在子接口级别管理攻击过滤器 

您可以通过“Atack Filters(攻击过滤器)”选项卡(“IPS Settings(IPS 设置)” | “IPS Sensor_Name(IPS Sensor 名称)” | 

“Interface‑x(接口 x)” | “Sub‑Interface(子接口)” | “IPS Sub‑Interface(IPS 子接口)” | “Attack Filter Assignments(攻 

击过滤器分配)”)在 IPS Sensor 接口级别创建攻击过滤器。 

此步骤与“在 IPS Sensor 接口级别管理攻击过滤器”中说明的步骤类似。 

子接口级别的策略 

在接口内创建的每个子接口都可以应用一个特定的 IPS 策略。例如,如果您使用 VLAN 标记创建了三个子接口,您可以 

为这三个子接口分别应用一个不同于父接口的策略。 


创建子接口时,您可以指定 IPS 策略,也可以直接从父接口继承 IPS 策略。您可以随时更改每个子接口的 IPS 策略。 

如果您在子接口上应用的不是继承的策略,那么特定于子接口的流量将不受在接口级别执行的策略的保护。也就是说, 

子接口的 IPS 策略将专门保护符合子接口条件的所有流量,通常是流经父接口的任何指定的基于 CIDR 的网络或 

VLAN 标记的流量。受接口监控的其他流量均适用接口上应用的策略。 

场景:将不同的策略应用到多个子接口上 

多端口 Sensor 支持为接口和子接口应用多个 IPS 策略。在您按 VLAN 标记或 CIDR 地址分配方案将网络流量分段后, 

这项功能将十分有用。在本场景中,示例网络已由 CIDR 地址分配方案分段。您的 Sensor 监视来自一个汇集位置的三 

段网络。通过利用 Network Security Platform 的多策略功能,您可以将相应的策略应用于各个网络,从而关闭这些网段 

中非常少见的流量的警报。这种“关闭”操作将大大减少您所看到的警报数量,从而降低您的 Network Security Platform 

解决方案的总拥有成本。 

任务 

1 将端口对 1A‑1B 指定为 CIDR 接口。接口已从管理域继承了“Default Inline IPS(默认串联 IPS)”策略并在整个接口 

上实施。 

2 向接口添加三个 CIDR 网络地址: 

• 192.168.0.0/24:多个文件服务器 

• 192.168.1.0/24:多个文件服务器 

• 192.168.2.0/24:多个 Windows 服务器 

3 创建一个“File_Servers”子接口,以便使用更加合适的策略保护网络 192.168.0.0/24 和 192.168.1.0/24。可以创建 

“File Server(文件服务器)”策略,以保护“File_Servers”。 

使用特指的名称“File_Servers”,而不是使用“Sub‑interface1”等通用名称的原因在于,使用描述子接口环境的唯一名称 

可方便以后识别。 

4 创建另一个子接口“Windows_Servers”,以便使用更加合适的策略保护 192.168.2.0/24。可以创建 Windows Server 

策略,以保护“Windows_Servers”。 

通过端口对 1A‑1B 但不属于这两个子接口的所有接口流量都将受“Default Inline IPS(默认串联 IPS)”策略保护。对 

于“File_Servers”来说,“File Server(文件服务器)”策略是最有效的,因为这两个网络是由多个文件服务器组成的, 

“File Server(文件服务器)”策略专门针对已知的文件服务器流量元素。同理,对于“Windows_Servers”而言, 

“Windows Server(Windows 服务器)”策略是最有效的,因为这个策略专门针对 Windows 服务器流量。这两个策略 

中的任意一个都可以复制并自定义,例如,可自定义策略以用于删除可能产生误报的攻击,和/或设置当检测到特定 

攻击时自动响应。 

管理子接口的策略 

要应用创建期间应用的策略以外的其他策略,请执行以下操作: 

任务 

1 选择“Sub‑interface‑x(子接口 x)” | “Scanning(扫描)” | “IPS Policy Assignment(IPS 策略分配)”。 

2 选择您要应用的策略。 


有关详细信息,请参阅“使用策略编辑器查看策略”。 



IPS Sensor 子接口节点 5 


5 




6 

使用 IPS 检测带有双重 VLAN 标记的流量 

双 VLAN 标记提供对城域网 (MAN) 中 Internet 服务提供商 (ISP) 的基础结构的访问。它允许服务提供商在特定的 

VLAN 上为特定的客户提供某些服务(如 Internet 访问),而且仍允许服务提供商在其他 VLAN 上为其他客户提供其他类 

型的服务。VLAN 双标记允许服务提供商使用单个 VLAN 为具有多个 VLAN 的客户提供支持。 

假设某个企业中有多个 VLAN 跨越城域网中的多个客户场所。该企业对于带宽有较高的要求,而且需要用更多的物理链 

路与不同的 VLAN 进行通讯。在这种情况下,可以使用双 VLAN 标记作为解决方案。 

在这里,该企业使用公共 MAN 中的 ISP 在不同的客户场所之间传输流量。为了标识来自 MAN 中不同客户的以太网帧/ 

数据包,每个帧都需要具有一个客户标识标记。也就是说,为了标识来自某个客户的 VLAN 流量,需要一个标识标签。 

使用双标记,另一个标记/标识符会添加到属于同一个用户的 VLAN发来的数据包中。 

目录 

关于 VLAN 标记 

关于 VLAN 标记 

双 VLAN 标记案例 

McAfee ® Network Security Platform 如何处理带有双重 VLAN 标记的流量 

限制 

下面显示的是不带标记的原始以太网帧。 

图 6-1 不带标记的原始以太网帧 

在常规 VLAN 标记中,标记/标识符用来标识来自 VLAN 的流量。 

图 6-2 常规标记 


6 

在双 VLAN 标记中,当帧进入 ISP 网络中时,会在帧中再插入一个 VLAN 标记。此标记特定于客户,可标识来自该客 

户的所有 VLAN 的流量。第二个标记又称为外部 VLAN 标记或客户标识标记 (CID)。原始 VLAN 标记称为内部 VLAN 标 

记或 VLAN 标识符标记 (VID)。 

图 6-3 双 VLAN 标记 




下面显示的是双 VLAN 标记的示例案例。 

图 6-4 双 VLAN 标记案例 

进入服务提供商交换机的客户端口的数据包是来自客户网络的、带有 VLAN 标记且具有原始 VLAN 标识符 (VID) 的数据 

包。当带有 VLAN 标记的数据包退出交换机的核心端口而进入服务提供商网络时,会在内部 VLAN 标记的基础上额外添 

加一个 CID 或外部 VLAN 标记。在服务提供商基础结构中,该 VID 将被忽略,桥接将基于该 CID 的值。当带有双标记 

的数据包进入服务提供商交换机的另一个核心端口时,该 CID 标记将被删除,数据包将传输到与该 CID 相关联的相应 

客户端口。因此,当数据包退出客户端口时,原始 VLAN 标记将得以保留。 


McAfee ® Network Security Platform 如何处理带有双重 VLAN 标记的流量 

限制 


McAfee ® Network Security Platform 如何处理带有双重 VLAN 标记的流量 6 

McAfee ® Network Security Platform 可以检测针对带有双重 VLAN 标记的数据包的攻击。对于带有双重 VLAN 标记的数 

据包,Network Security Platform 使用外部标记中的 VLAN ID,但前提是配置了 VLAN ID。 

Network Security Platform 目前支持针对带有双重 VLAN 标记、而且外部 VLAN 标记中的以太网类型为 0x8100 的帧进 

行攻击检测。具有外部 VLAN 标记且该标记中含有其他可能的以太网类型值(0x9100 和 0x9200)的帧将被转发,而不 

进行解析以进行攻击检测。 

在该版本之前,Network Security Platform 在不进行检查的情况下转发带有双重 VLAN 标记的流量。 

在 I‑4010、I‑4000、I‑3000、I‑2700 以及所有 M 系列 McAfee ® Network Security Sensor 型号上,支持使用 IPS 来检测 

带有双重 VLAN 标记的流量。 

I‑1200、I‑1400 和 N‑450 Sensor 型号不支持使用 IPS 来检测带有双重 VLAN 标记的流量。在这些型号中,数据包将在 

不进行入侵检测或防护的情况下进行转发。 


6 


限制 


7 拒绝服务 

7 

拒绝服务 (DoS) 攻击是一种恶意尝试,会导致合法用户无法使用服务、系统或网络。 

要达到此目的,攻击者通常会尝试以下方法之一: 

• 使目标服务或系统崩溃或让其无法使用。 

• 扰乱或阻止普通用户对目标的访问。 

• 通过洪水攻击使目标上有限的重要资源满载。 

在分布式拒绝服务 (DDoS) 攻击中,攻击者会利用分布在 Internet 中先前已遭破坏的大量主机来发动暴力攻击(使目标得 

不到其所需的重要资源)。 

本手册使用 DoS 一词来指代 Denial of Service(拒绝服务)和 Distributed Denial of Service(分布式拒绝服务)。 

目录 

有时将已遭破坏的主机称为“傀儡”。 

由 Network Security Platform 处理的 DoS 攻击的类型 

Network Security Platform 用于应对 DoS 攻击的方法 

警报 

了解策略编辑选项 

拒绝服务 (DoS) 自定义 

自定义子接口的 DoS 策略 

管理遍历 

使用 CLI 命令执行与 DoS 相关的操作 

配置 ACL 

自定义攻击响应的工作方式 


在 McAfee ® Network Security Platform 中,DoS 攻击根据其设计分为三个主要类别。本章详细介绍这些主要类别。 

基于量的 DoS 攻击 

基于量的 DoS 攻击是由 Network Security Platform Network Security Sensor (Sensor) 在流量中监控到的统计异常。换 

句话说,通过对流量正常分布和量的了解,Sensor 可以查找这些水平的明显变化,而这些变化表明可能存在恶意行为。 

根据采用的协议,基于量的 DoS 攻击可以分为以下几类: 

• IP 

• IP 碎片:在这种情况下,攻击者可能会试图通过在短时间内发送大量零碎的 IP 数据包使系统崩溃。 


7 

拒绝服务 


• TCP 

• TCP SYN 和 FIN:此类攻击产生的原因是向目标主机发送大量 TCP SYN(SYN 洪水)或 FIN 数据包,但不对目 

标主机返回的数据包做出响应。这将填补目标主机所使用的数据结构,用来跟踪待处理的连接。待处理连接最终 

将超时,并释放数据结构中的空间。但是,攻击者可以通过发送更多的 SYN 或 FIN 数据包创造永久的 DoS 条 

件。 

• TCP RST:此类攻击基于大量 TCP RST 网段。初始 TCP RST数据包可以关闭主机和服务器之间的合法连接。 

攻击者可以监听并模拟网络中的 RST 序列号,然后发送恶意的 TCP RST。在 TCP 连接被撤销后,继续接收 

TCP RST 数据包会导致产生 DoS 条件,因为系统资源正用于接收、检查和丢弃数据包。 

• 超出范围的 TCP 数据段:超出范围的数据段是指其序列号不在可接受范围内,即不在目标主机的“TCP 接收范 

围”内的数据段。例如,假设目标主机成功接收并处理的最后一个字节的序列号为 10000,且接收范围为 1024 字 

节。随后在 10001 到 11024 这个范围内的数据包将被视为在此范围内。所有其他数据包均被认为超出范围。在 

正常条件下,超出范围的数据包的数量不宜过多。因此,产生大量这类数据包的情况是可疑的,可能会导致 

DoS 条件。此类攻击可能会消耗目标网络的大量带宽,导致服务中断或服务质量下降。有些情况下,目标服务器 

系统甚至可能会耗尽内存、崩溃或者无法运行。 

• 超出环境的 TCP 数据段:每个 TCP 数据包都由 4‑tuple 组合形式的来源 IP 和端口以及目标 IP 和端口来标识。 

超出环境的数据段是指与任何已建立流的 4‑tuple 都不匹配的数据段。大量超出环境的数据包可能导致 DoS 条件 

并影响网络,影响方式与大量超出范围的数据包的方式相同。 

• HTTP 洪水攻击:HTTP 洪水攻击产生的原因是攻击者向目标服务器发起大量的合法 GET 请求,耗尽服务器的处理 

能力。 

• UDP 

• UDP 洪水:在两个 UDP 服务之间建立通信后,通过向目标系统的随机端口发送大量 UDP 数据包就会引起 

UDP 洪水攻击。目标系统被强制发送许多“目标无法送达”的 ICMP 数据包,从而消耗其资源并导致产生 DoS。 

由于 UDP 传输数据时不需要任何连接设置步骤,因此只要有网络连接,任何人都能发起攻击;不需要任何帐户 

访问权限。UDP 洪水的另一个示例是将主机的“chargen”服务连接到本机或其他计算机上的“echo”服务。受影响 

的计算机可能会很快退出服务,因为产生了数量过多的数据包。此外,如果涉及到两台或多台主机,中间网络还 

可能拥堵并拒绝为流量通过该网络传输的所有主机提供服务。 

• DNS 欺骗:此类攻击属于 UDP 攻击的一种,会耗尽 DNS 服务器的处理能力。 

• ICMP 

• ICMP Echo:此类攻击是指通过 ICMP Echo 请求或回复数据包引起网络泛洪。针对目标系统的大量 Echo 请求 

导致系统忙于响应这些请求。如果存在大量的回复数据包,那么很有可能是远程攻击者在您的网络中伪造了 IP 

地址,用于向其他网络发送 ICMP Echo 请求。网络对请求中的地址进行回复,从而产生了两个网络之间的请求/ 

回复泛洪现象。 

• 所有其他 ICMP(除 Echo 请求和回复之外):此类攻击包括大量 ICMP 数据包(除 Echo 请求和回复数据包之外)。 

• 非 TCP/UDP/ICMP:此类攻击是指通过除 TCP、UDP 或 ICMP 之外的其他数据包导致网络泛洪。此类攻击相关的 

数据包可能包括 IPSec 和格式有误的 IP 数据包(如校验和不准和长度不符的 IP)。 

基于漏洞的 DoS 攻击 

不同于基于量的 DoS 攻击,基于漏洞的 DoS 攻击通常是指可能导致 DoS 条件的单个请求。基于漏洞的 DoS 攻击利用 

网络及其系统中的漏洞。此类攻击不断演化,Network Security Platform 更新保护网络,使其免受新类型攻击的威胁。 

一些已知的基于漏洞的 DoS 的示例如下: 

攻击名称描述 

TearDrop 攻击此类攻击是指零碎的 ICMP 数据包之间有重叠。这些碎片导致所实现的某些 IP 堆栈崩溃或进入无 

限循环,从而导致产生 DoS 条件。 

Ping of Death 攻击此类攻击是指向 TCP/IP 堆栈存在漏洞的系统发送大小超出最大允许值(65536 字节)的数据包, 

从而导致系统崩溃。 

Land 攻击此类攻击是指在来源和目标字段中使用相同 IP 地址和端口编号进行 IP 地址欺骗,导致存在漏洞 

的系统出现不稳定状态。 


DDoS 攻击工具 

DDoS 攻击可通过工具启动,这些工具为生成 DDoS 攻击而构建的。 

DDoS 攻击工具有许多。下面列出了一些广为人知的工具: 

• Trinoo:Trinoo 是一种攻击工具,它在受感染的主机上安装代理程序,并通过一个主程序来使用代理程序,从而通 

过向一个 Trinoo 或多个目标主机发送大量 UDP 数据包来实现攻击。主程序和代理程序之间的通信受密码保护。 

• Tribal Flood Network (TFN):TFN 使用的攻击方式与 Trinoo 相似,它可以生成多个攻击并使用受欺骗的 IP 地址。 

ICMP 回显请求洪水攻击、TCP SYN 洪水攻击和 UDP 洪水攻击是 TFN 可以启动的一些攻击。 

• TFN2K:TFN2K 是 TFN 的高级版本,具有使其更加难以检测的功能。TFN2K 使用多种协议,包括 UDP、TCP 和 

ICMP。 

• Stacheldraht:Stacheldraht,在德语中是“带刺铁丝网”的意思,包括 Trinoo 和 TFN 具有的功能。例如, 

Stacheldraht 具有诸如代理程序和主程序之间加密通信的功能。 

• Shaft:Shaft 是一个与 Trinoo 相似的工具,可以启动数据包洪水攻击。 

• Trinity:Trinity 是一种洪水攻击工具,可使用 Internet Relay Chat (IRC) 等聊天程序。 

• MStream: MStream 是一种基于“stream.c”攻击的工具,该攻击对处理程序的访问受到密码保护。 


根据具体要求配置后,Network Security Platform 可以帮助您防止网络中的 DoS 攻击。 

可以针对特定网络对由 Manger 管理的 Sensor 进行自定义配置,以防 DoS 攻击。 

您既可以在您的 Internet 服务提供商 (ISP) 的网络上部署 Sensor,也可以在自己的网络上部署,还可以在这两者上同时 

部署。 

Network Security Platform 结合了三种方法来识别并应对 DoS 和 DDoS 攻击。这三种方法为: 

• Network Security Platform DoS 检测特征码 

• 阈值 

• 学习 

Network Security Platform 特征码可以识别使用 DDoS 攻击工具执行的攻击,以及基于漏洞的 DoS 攻击。 

阈值方法和学习方法可在 Network Security Platform 扫描的流量中查找统计异常,以检测基于量的 DoS。通过对网络未 

受攻击时流量正常分布和量的了解,这些方法查找这些水平的明显变化,而这些变化指示可能存在恶意行为。 

除了 Network Security Platform 用于检测 DoS 和 DDoS 攻击的方法,在 Manager 中网络管理员还可以使用以下选项来 

采取 DoS 攻击预防措施。 

• TCP Settings(TCP 设置) 

• Manager 中的“TCP Settings(TCP 设置)”选项可用于多种设置的配置,如:TCP Segment Timer(TCP 碎片计 

时器)、TCP 2MSL Timer(TCP 2MSL 计时器)、TCP Flow Violation(TCP 流违规)、Unsolicited UDP 

Packets Timeout(主动 UDP 数据包超时)、SYN Cookie、Inbound Threshold Value(入站阈值)、 

Outbound Threshold Value(出站阈值)以及Reset unfinished 3‑way handshake connection(重置未完成的三 

向握手连接)。管理员可以根据对特定网络的了解来配置这些参数值,从而防止 DoS 攻击。 

• Rate‑Limit Traffic(速率限制流量) 

拒绝服务 

Network Security Platform 用于应对 DoS 攻击的方法 7 

• 速率限制用于控制通过 Sensor 的各个端口发送的出口流量的速率。管理员可以在 Manager 中设置适当的值来防 

止 DoS 攻击,方法是在特定网络中设置与防止 DoS 攻击相关的、特定于 Sensor 端口的带宽限制。 


7 

拒绝服务 


• Connection Limiting policies(连接限制策略) 

• 连接限制策略包括一套规则,Sensor 通过这些规则来限制主机可以建立的连接数或连接速率。 

Network Security Platform DoS 检测特征码 

Network Security Platform 使用攻击特征码检测多个已知 DDoS 攻击工具之间的通信。 

攻击特征码可识别用于创建 DDoS 攻击的实用程序(如 Trinoo、Stacheldraht 和 Trinity)之间的特定通信。例如,当 

Trinity 主人指示其傀儡发动分布式攻击时,特征码可以标识来自 Trinity 主人的通信。 

Network Security Platform 还会对不是由传统方法(如流量超载)引发的 DoS 攻击使用漏洞利用特征码。例如,HTTP: 

Microsoft IIS..SLASH..DenialofService 利用漏洞可识别阻止旧版 IIS 服务器在重新启动前响应客户端的单个请求。 

Sensor 使用特征码执行不同级别的流量处理和分析。Network Security Platform 特征码处理由流、协议分析和数据包搜 

索组成的框架,以检测基于漏洞的 DoS 攻击和利用 DDoS 攻击工具的攻击。 

流 

简单说来,Network Security Platform 根据流的概念来确定 UDP 和 TCP 流量的地址。流是按它们的协议(UDP 或 

TCP)、它们端点的来源和目标端口以及 IP 地址来定义的。UDP 不具有 TCP 所具有的“状态”的概念,因此 Sensor 对 

UDP 流量实现了一个基于计时器的流环境。将流量分成流后,Sensor 利用端口映射或智能协议识别(如果流量运行在非 

标准端口上),以将每个流传递给相应的协议分析机制。 

值得注意的是,Network Security Platform 让您可以指定特征码是检查整个流、流的一个方向还是只检查流的一个数据 

包内出现的数据。精确控制这种检测窗口对于准确检测攻击是非常必要的。 

协议分析规范 

协议规范(Network Security Platform 的协议分析机制)可分析网络流以验证通信量,并将其分成多个协议字段,然后使 

用 Network Security Platform 提供的攻击或用户定义的特征码对各协议字段进行主动测试。通过将协议通信量分成相应 

字段,Network Security Platform 可以对大多数特定字段或与某种有效攻击有关的子字段进行匹配,从而支持具有极低 

误报率的特征码。由于分析过程是完全有状态的,它允许检测协议行为中的异常。此外,这种分析还能够以限定词的形 

式向特征码编写者提供额外的好处。限定词是包含在特定协议字段名称中的测试。例如,您现在无需指定 HTTP 请求方 

法必须是“GET”,Network Security Platform 系统允许使用“http‑get‑req‑uri”作为字段名称,从而不必在特征码中提供该 

测试,而 Sensor 也不必再执行额外的模式匹配。 

数据包搜索 

未标识为属于任何特定协议的通信流将传递到数据包搜索协议规范引擎,以供进一步分析。Network Security Platform 

向 Network Security Platform 定义的攻击和用户定义的特征码提供各个方向的通信流。针对数据包搜索流量的测试通常 

会采用特定顺序的模式匹配的形式,以便防止出现误报和性能问题。 

特征码适用的环境 

特征码与流、协议分析和数据包搜索框架的一些元素结合使用才能从较小的构造块中获取网络流量的特定“指纹”。实际 

上,特征码就像 DNA 测试。它们可以识别具体某个人以及这个人的亲属。对于入侵检测来说,亲属可能是针对某个软 

件代码段的一组缓冲区溢出攻击,而这个人可能是特定的利用漏洞代码段。 

由于这两者的区别不大,因此 Network Security Platform 采用一种惯例来区分基于异常的攻击特征码(不要与用于拒绝 

服务攻击的基于异常的检测混淆)以及与特定攻击有关的特征码。主要的区别就是,基于异常的特征码检查网络中的非 

预期或未确认行为,而与特定攻击有关的特征码则经常查看特定指示器,例如具有特定值的标志或特定字符串是否存在。 

基于特征码的异常攻击知道正常通信量会有什么活动,而当它们发现其他活动时,它们就会被触发。一般攻击特征码都 

会检测特定的不当行为。在定义攻击以检测和防御漏洞时,通常会定义一组混合特征码,以检查行为异常和特定利用漏 

洞字符串。使用这种机制,所有可能的利用漏洞尝试都会被检测到。 


基于阈值的模式 

在阈值模式中,Sensor 会监控网络从来源到目标的传输流量中,是否有大量数据包(如过多的 IP 碎片)流过,这在 

Sensor 接口或子接口中检测。当配置 DoS 策略或在接口或子接口级别自定义时,必须为要检测的阈值攻击指定数量和 

间隔时间(以秒为单位)。当流量超过启动攻击所需的自定义阈值时,Sensor 会发出警报(如果在 DoS 策略中进行了这 

样的配置)。您也可以对特别需要注意的攻击启用通知功能。 

此方法要求您完全了解正常的流量模式,这样才能设置“适当”的阈值,否则会因为流量的波动,例如“瞬间集中”(如每天 

早上九点大家同时登录网络)或其他正常增加的流量而产生大量误报。 

对于基于阈值的攻击,Sensor 会监控入站和出站流量。 

尽管为阈值和间隔时间提供了默认值,但您必须为要检测的每个 DoS 阈值模式配置实际阈值和间隔时间。研究了每种 

DoS 阈值攻击的当前防御级别后,再进行 DoS 阈值自定义是最有效的。这有助于精确地确定最能保护您的网络的阈值个 

数和时间间隔。 

基于学习的模式 

新的 Sensor 会在学习模式下运行其最初的 48 个小时。48 个小时结束后,Sensor 会自动更改为检测模式,从而为网络 

建立一个“正常”流量模式的基准,即长期配置文件。假设在最初的 48 小时内未发生 DoS 攻击。 

进入检测模式后,Sensor 会继续收集统计数据并更新其长期配置文件。这样一来,长期配置文件便会随着网络的变化而 

逐渐完善。 

Sensor 还会生成几分钟时段内的短期配置文件。 

学习模式配置文件可以在“Sensor_Name(Sensor 名称)”节点级别进行自定义。也可在这一级别重置(重新学习)或重新 

加载学习模式配置文件。此操作全部在 Manager 的“Configuration(配置)”页中执行。 

在 VLAN 标记或 CIDR 块内,可以创建在受到 DoS 攻击时用适当的学习模式设置进行保护的子接口和个别 CIDR 主机。 

这对于防范 DMZ 或其他位置的服务器因 DoS 攻击而关机特别有用。可为每种资源创建单独的配置文件。 

Sensor 使用以下检查和计数器检查来确保检测的准确性: 

• 计数器配置文件污染 

• 来源 IP 分类 

如果路由方案发生了更改,McAfee 建议指示 Sensor 重新获取网络,以便可以创建新的基准。 

计算配置文件污染 

长期配置文件的隐含目标是定义正常流量级别。根据定义的正常级别,Sensor 能够识别流量的异常激增。 

Sensor 还会使用所收集的统计数据来计算短期配置文件(几分钟时段内统计数据的平均值)。 

如果某个短期配置文件含有 DoS 攻击数据并用于更新长期配置文件,则它会污染该长期配置文件。 

Network Security Platform 使用以下对策来帮助防止污染: 

• 当处于检测模式时,如果 Sensor 在短时段内发现了太多统计异常,则会暂时停止对长期配置文件的更新。 

• Sensor 使用百分位数测量。短期数据中的一些大幅激增情况可能会扰乱简单平均值,但不太可能影响百分位数测 

量。例如,假设一组四个学生参加考试,使用 0‑29、30‑49、50‑69 和 70‑100 等百分位数测量范围来判断考试是否 

有效。其中三个学生得到的评分等级为 95%、93% 和 92%,而第四个学生得到的评分等级为 0%。平均分数只有 

70%,而四个学生中的三个仍然处于 70‑100 范围内。因此老师可以使用百分位数范围作为判定此次考试是否有效的 

标准。 

来源 IP 分类 

拒绝服务 

Network Security Platform 用于应对 DoS 攻击的方法 7 

Sensor 创建 20 个唯一的来源 IP 配置文件,每个方向每个跟踪数据包类型有一个配置文件。 


7 

拒绝服务 


在每个来源 IP 配置文件中,整个 IP 地址空间被划分为最多 128 个互斥的 IP 地址块(即 Bin),这与 CIDR 寻址方法对地 

址空间的划分方式几乎一样。每个 Bin 都由一个前缀(长度在 2 位到 32 位之间)来唯一标识。如果 IP 地址的前 n 位符 

合 Bin 的前缀,则该地址属于该 Bin。然后,Sensor 会将每个来源 IP 与相应配置文件中的特定 Bin 相关联。 

每个 Bin 具有以下两个属性: 

• 源自属于此 Bin 的来源 IP 的长期(正常)流量百分比。 

• 此 Bin 中 IP 范围所占用的整个 IP 地址空间的百分比。 

对来源 IP 正确分类后,Sensor 现在可以保护网络免受 DoS 攻击。如果出现统计异常,Sensor 将在相关来源 IP 配置文 

件中采取以下操作: 

• Sensor 阻止具有以下 Bin 中来源 IP 的所有数据包:这些 Bin 占用较大百分比的 IP 空间,但只代表较小百分比的长 

期流量。这便可以对付生成有大量随机、范围广、虚假来源 IP 地址的攻击。 

• Sensor 阻止具有以下 Bin 中来源 IP 的所有数据包:这些 Bin 占用较大百分比的短期流量,并且在短期出现比历史 

平均水平高得多的流量百分比。这便可以对付从一些具有真正来源 IP 地址的网络发动的攻击。 

• Sensor 不会阻止具有以下 Bin 中来源 IP 的数据包:这些 Bin 占用较小百分比的 IP 空间,但代表较大百分比的长期 

流量。这将防止阻止已知没问题的主机。 

第三条标准的例外情况是当流量同样也符合第二条标准的情况。换句话说,如果正常 Bin 的短期流量水平明显高于其峰 

值长期水平,则将阻止来自这些 Bin 的来源 IP。这便可以对付从最近刚被损坏的正常主机发动的攻击。 

来源 IP 分类比使用可限制网络上 SYN 数据包速率的设备(如防火墙)阻止 DoS 攻击更为有效。这种方法与 Network 

Security Platform 的主要区别在于速率限制设备会随机阻止流量。正常流量与攻击流量受到阻止的几率是相同的。另一 

方面,Network Security Platform 会使用来源 IP 分类来尝试区分正常流量与攻击流量,因此攻击流量更有可能被阻止。 

由 Network Security Platform 处理的攻击 

由 Network Security Platform 处理的攻击 

Network Security Platform 通过运用与 Network Security Platform 特征码、阈值和学习相关的方法组合,来处理不同类 

型的 DoS 攻击。 

解决基于量的 DoS 攻击 

DoS 攻击常发生于防火墙或 DMZ 内,尤其是 DMZ Web 和邮件服务器。Network Security Platform 提供了两种解决基 

于量的 DoS 的方法。 

第一种是基于阈值的模式。在该模式中,Sensor 监控超过所配置的阈值的流量。第二种方法是基于学习的模式。在该模 

式中,Sensor 学习长期的正常行为,并将其与短期所观察到的行为进行比较。 

将阈值和学习方法结合起来能显著提高检测结果的可靠性。 

解决基于漏洞的 DoS 攻击 

要阻止基于漏洞的 DoS 攻击,Sensor 会尝试捕获攻击行为所表现出的特征,并根据每个特征码采取特定的对策(如果配 

置了对策)。对于具有众所周知特征码的已知攻击,此方法非常有效。例如,Network Security Platform 的检测机制可 

以让您的特征码识别出每个 HTTP 通信流,每个使用 GET 机制的 HTTP 通信流、每个使用 GET 机制且路径为 /cgi‑bin/ 

calendar.pl 的 HTTP 通信流,甚至识别出每个使用该路径、同时具有一个值为 February 的 month 参数的 GET。 

Network Security Platform 能够支持每个攻击中包含多个特征码。攻击中的每个特征码都可以很具体,也可以不太具体, 

从而可以识别所有事件,从能够以特定方式影响给定平台的一般网络活动到具有特定和可识别影响的特定代码段。根据 

其特点和严重性,特征码会被分配不同的可信度和严重性值。 

当出现匹配现有 Network Security Platform 攻击的网络事件时,该攻击中的一些特征码(一般和具体)可能会被触发。 

如果启用了警报合并,Network Security Platform Sensor 会自动关联多个触发的事件,以生成具有最高可信度级别的警 

报。 


警报 

解决利用 DDoS 攻击工具的攻击 

Network Security Platform 使用攻击特征码来标识由 DDoS 攻击工具生成的攻击。 

Network Security Platform 特征码可以识别来自特定 DDoS 攻击工具的攻击。当检测到来自 DDoS 攻击工具的攻击时, 

会在 Threat Analyzer 中生成警报。 


连接限制策略包括一套规则,Sensor 通过这些规则来限制主机可以建立的连接数或连接速率。 

Sensor 能够定义阈值,从而限制主机能够建立的连接数(对于 TCP 来说为三方握手)。Sensor 将允许小于或等于定义 

阈值的连接数或连接速率,而超过该值将被丢弃。这有助于尽量减少服务器上基于连接的 DoS 攻击。 

您也可以在接口级别和子接口级别分配已定义的连接限制策略。 

另请参阅 


警报是在 Manager 的 Threat Analyzer 中触发的。 

当 Sensor 检测到基于量的 DoS 攻击、基于漏洞的 DoS 攻击和 DDoS 攻击工具引起的攻击时,会触发与 DoS 相关的警 

报。 

Network Security Platform 采用攻击特征码来检测多个已知 DDoS 攻击工具之间的通信,还可以检测基于漏洞的攻击。 

当检测到这些攻击时,Threat Analyzer 中会触发警报。 

对于基于量的攻击,Sensor 会在短期和长期配置文件中查找统计异常。Sensor 会将短期配置文件与长期配置文件进行 

比较。如果流量级别中存在显著差异,则会生成警报,并且 Sensor 将阻止带有统计异常的流量(如果进行了这样的配 

置)。 

生成警报的原因是 Sensor 检测到了两种统计异常之一: 

• 分类(或“不平衡”)异常 

• 流量大小异常 

当长期配置文件准确反映了给定网络的正常流量时,统计异常即为攻击的结果。但是因干预(如路由方案的更改)引起的 

网络流量变化会导致统计异常。在这种情况下,您需要利用“Rebuild the DoS Profiles (start the learning process from 

scratch)(重建 DoS 配置文件(从头启动学习过程))”选项来从头重建配置文件,该选项位于“DoS Data Management 

(DoS 数据管理)”页(“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name (Sensor 名 

称)” | “Advanced Scanning(高级扫描)” | “DoS Data Management(DoS 数据管理)”)上。 

分类(或不平衡)异常 

某些类型的数据包之间存在内在联系。例如,如果没有 ICMP Echo 回复,ICMP Echo 请求则几乎毫无用处。同样,如 

果没有 FIN 和 RST,您虽然可以启动 TCP 连接,但却无法将其终止。 

Network Security Platform 可检测两种类型的分类异常: 

• ICMP Echo 异常(Echo 请求和 Echo 回复) 

• TCP 控制区段异常(SYN、SYN ACK、FIN 和 RST) 

拒绝服务 

警报 7 

Network Security Platform 会在其长期配置文件中记录这些类型的数据包的分布情况。如果这些数据包类型的分布情况 

在短期内发生了剧烈变化,则完全可以确定出现了恶意行为。 


7 

拒绝服务 

警报 

例如,网络 A 对于每 50 个 Echo 请求有 50 个 Echo 回复,而网络 B 对于 60 个请求却只有 40 个回复。在这种情况下, 

分布情况分别为 50%/50% 和 40%/60%。在现实中,分布情况会因网络而异,但通常会在一个较长的时段内保持相对一 

致的平均水平。从以前的经验可知,如果 ICMP Echo 数据包或 TCP 控制数据包的分布情况发生突然且急剧的(短期) 

变化,则表明即使不完全是攻击,也是恶意行为。 

流量大小异常 

Network Security Platform 还会跟踪流量的大小或强度中出现的激增情况。 

为了简化对流量大小异常的分析,自学算法将所有数据包分类为以下八种类型之一: 

• IP 碎片 • TCP SYN 和 FIN 

• ICMP Echo(请求和回复) • TCP RST 

• 所有其他 ICMP • 非 TCP/UDP/ICMP 

• UDP • 超出范围和超出环境的 TCP 数据段 

百分位数 

Network Security Platform 用来处理流量异常的一个方法是基于不同数据包类型的数据包速率和爆发大小来建立阈值。 

对这些已确定的阈值进行更改会带来威胁,这些更改会进行相应的处理。 

为了测算随时间变化的流量大小,Network Security Platform 为每种数据包类型建立了两个百分位数。对于给定的数据 

包类型,Sensor 会查看以下各项的分布情况: 

• 短期数据包速率 

• 流量爆发大小 

Sensor 会对这些分布情况进行分析,以建立短期平均值通常不得超过的阈值。 

例如,Network Security Platform 可能决定,对于给定的数据包类型,95% 的短期配置文件的平均速率为 X 个数据包/ 

秒(或更少),数据包的平均大小为 Y 字节(或更小)。当平均速率超过了 X 数据包/秒,而数据包大小超过了 Y 字节, 

Network Security Platform 会分析更改的重要性。 

如果更改很重要,并且与威胁感知相匹配,则会发出警报。 

阻止攻击 

针对每个攻击,每两分钟只会发出一个统计异常警报。 

可将 Sensor 配置为在出现统计异常时阻止流量。 

阻止 DoS 流量比阻止一般的利用漏洞攻击更为复杂,因为其来源通常无法确定。例如,分布式攻击是否“成功”可能取决 

于一起生成流量的已遭破坏主机的数量,而不是靠自己生成大量流量的单个主机。这会使阻止过程复杂化,因为 

Sensor 无法仅阻止独自生成大量流量的主机。 

此外,DoS 攻击工具通常生成具有虚假 IP 地址的流量,因此尝试阻止它们将无功而返并浪费系统资源。 

而 Network Security Platform 会将来源 IP 地址分类为 IP 配置文件,以区分无恶意和有恶意的主机。随后它会使用这 

些 IP 配置文件确定 Sensor 的阻止方案。 


了解策略编辑选项 

“Edit IPS Policy(编辑 IPS 策略)”页“DoS Attacks(DoS 攻击)”选项卡中的“Leaning Mode(学习模式)”和“Threshold 

Mode(阈值模式)”设置具有“Inbound(入站)”、“Outbound(出站)”和“Bidirectional(双向)”子选项卡。“Leaning Mode 

(学习模式)”子选项卡也具有“Response Sensitivity for all DoS Learning Attacks(所有 DoS 学习攻击的响应敏感度)”选 

项。在实际设置前了解这些选项的工作方式非常重要。 

单击“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”, 

选择一个策略并单击“View/Edit(查看/编辑)”以查看“Edit IPS Policy(编辑 IPS 策略)”页。 

入站和出站流量 

对于基于学习的检测,DoS 策略适用于入站、出站和双向流量。入站流量是在串联或 Tap 模式中指定为“Outside(外 

部)”的端口所收到(即来自网络外部)的流量。通常入站流量都发往受保护网络,如企业内部网。 

出站流量是从企业内部网的系统发出、在串联或 Tap 模式中指定为“Inside(内部)”的端口上所观察到(即来自网络内部) 

的流量。 

如果启用了 GTI,则 IP 信誉将适用于所有连接,但会以不同的方式用于入站和出站连接: 

• 对于出站连接 ‑ 当 GTI 报告目标主机为恶意,则发出“GTI: High Risk External IP Detected(GTI: 检测到高风险外部 

IP)”攻击。可以将此攻击配置为进行阻止。随后,系统会缓存外部恶意主机信誉,并阻止到该主机的所有连接。 

• 对于入站连接 ‑ 当启用 GTI 并配置连接限制规则时,您便可以阻止入站连接上接收到的恶意流量。例如,您可以将 

Sensor 部署在 Web 服务器的前面,并启用 GTI 和连接限制规则,以限制对服务器的访问并阻止 DoS 攻击。 

另外还有一种称为学习模式的攻击,没有“入站”或“出站”的方向关联,具体地说就是“ICMP ECHO 异常”和“TCP 控制异 

常”。这些攻击归类为“双向”攻击。 

用策略编辑器配置时,可以自定义严重性,对许多类别启用管理通知。生成的报告和 Threat Analyzer 有助于判断影响 

网络性能的统计信息类型。 

响应敏感度 

在发生 ICMP ECHO 异常和 TCP 控制异常攻击时,Sensor 只能发出警报,但不能阻止它们,即使在串联模式下也是如 

此。 

流量暴增达到多高的程度以及持续多长的时间应视为异常,以及是否要发出警报,都由响应敏感度决定。将响应敏感度 

设置为“Low(低)”时,检测算法应尽量容忍流量暴增现象。将响应敏感度设置为“High(高)”时,系统对任何流量暴增都 

非常敏感。High(高)敏感度是一把双刃剑:“High”敏感度一方面能够检测到小规模的 DoS 攻击,但另一方面也会让系 

统的误报数量大增,而 Low(低)敏感度的情形则刚好相反。因此在对特定网络具有深入了解的情况下进行设置时,这 

些设置很有意义。 

DoS 学习模式响应敏感度是在创建策略的过程中配置的,而且会在将策略应用于接口和子接口级别时在这些级别实施。 

设置响应敏感度 

Sensor 在确定某个更改是否重要到足以发出警报时所使用的方法会因配置文件和数据包类型而异。 

Network Security Platform 会为配置文件和数据包类型的每个组合维护一份单独的历史记录。它参考唯一的历史记录以 

确定该组合敏感度的精确级别。 

例如,如果 IP 碎片的正常流量在配置文件 A 的各个快照之间变化幅度非常小,则流量大小中的一个微小变化就可能会 

触发警报。配置文件 B 发现 TCP 重置的流量大小在正常状况下的短期快照之间变化幅度非常大。在这种情况下,当某 

个更改被记录时,算法在判断是否应发送警报时的苛刻程度将极大降低。 

要管理 DoS 攻击的响应敏感度,请执行以下操作: 

拒绝服务 

了解策略编辑选项 7 


7 

拒绝服务 


1 转到“IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”。 

2 选择一个策略,然后单击“View/Edit(查看/编辑)”。 

3 转到“Properties(属性)”选项卡。从“Sensitivity(敏感度)”选项下的下拉列表中选择响应敏感度级别。 

管理员可以修改“Response Sensitivity(响应敏感度)”级别,以在一定程度上控制 Network Security Platform 对流量波 

动的响应。 

图 7-1 管理响应敏感度级别 

“Response Sensitivity(响应敏感度)”级别控制短期配置文件和长期配置文件之间有多大偏差才足以触发警报。每个级别 

都会转换为统计阈值。高敏感度会转换为较低的阈值,以便更容易生成警报。低敏感度会转换为较高的阈值,从而更难 

以触发警报。 

例如,如果保留其默认值“Low(低)”,则 Network Security Platform 会在配置文件和数据包类型的给定组合的短期流量 

大小达到 98% 时发出警报。将响应敏感度更改为“High(高)”可能导致 Network Security Platform 在短期流量大小达到 

95% 时即发出警报。确定响应敏感度值的方法直接取决于针对存在疑问的配置文件和数据包类型所收集到的历史记录。 


所有现成的 IPS 策略或使用策略编辑器创建的那些策略,都会针对拒绝访问 (DoS) 攻击提供保护。您可以在接口和子接 

口级别进一步自定义这些策略设置。自定义 DoS 是保护特定主机或服务器免受集中式 DoS 或 DDoS 攻击的关键。 

Network Security Platform 可以提供极其精细的 DoS 保护:您可以在整个 Sensor 接口上应用和自定义一个 DoS 策略, 

也可以为接口和子接口内的多个 VLAN 或 CIDR 主机创建自定义的 DoS 策略。 

每次您配置或创建自定义 DoS 策略时,都是在创建应用于您指定的接口、子接口或 DoS ID 的策略。每个 DoS 策略都 

列在创建策略时选定接口或子接口的“List of [traffic‑type] IDs([流量类型] ID 列表)”表中。您创建的自定义 DoS 策略越 

多,表中所列的策略也就越多。这些表提供了一种简单的管理跟踪处理。 


创建 DoS 策略时,必须注意接口或子接口已经从应用的 IPS 策略中继承了一个默认的 DoS 策略。这个策略将给出接口 

或子接口的名称。您可以自定义继承的 DoS 策略,但绝不能删除该策略,因为它会覆盖除您创建的 DoS 配置文件确定 

的流量以外的全部流量。这可让 Sensor 检测网段上的全部 DoS 活动。 

I‑4000 和 I‑4010 Sensor 最多可支持 3,000 个 DoS 策略实例;I‑2700 最多可支持 500 个;I‑1200 最多可支持 64 个。 

DoS 自定义配置规则 

下表显示了创建自定义 DoS 策略的规则。 

表 7-1 

如果您在以下条件下自定义 DoS: 则... 

在接口级别上,为整个接口或为 VLAN 或 CIDR ID(未创建子 

接口)进行自定义 

在子接口级别上,为整个子接口或为子接口中的 VLAN 或 

CIDR ID 进行自定义 

您将无法为该接口创建子接口。对于专用的接口,您可 

以在此处创建 DoS ID。 

• 您将无法在该接口级别自定义 DoS。 

• 您可以在此处创建 DoS ID。 

这些规则说明了应用 Manage Custom DoS(管理自定义 DoS)自定义的后果。 

• 对于“Dedicated(专用)”接口,您可以自定义继承的 DoS 策略,并为基于 CIDR 的网络地址创建多个 DoS ID。 

• 对于具有多个 VLAN 标记的 VLAN 接口,您可以执行以下操作: 

• 自定义继承的 DoS 策略,并为每个 VLAN 标记创建多个 DoS 策略(不要与 DoS ID 混淆)。如果您在接口节点上 

为 VLAN 标记创建了 DoS 策略,则将无法为 VLAN 标记创建子接口。 

• 您可以在一个 VLAN 标记内,为网络中基于 CIDR 的网络地址创建多个 DoS ID。 

如果您在接口节点上为 VLAN 标记创建了 DoS 策略,则将无法为该接口创建子接口。 

• 自定义继承的 DoS 策略,并创建多个子接口,随后便可为这些子接口创建自定义的 DoS 策略。如果您为 VLAN 标 

记创建了子接口,则您将无法在接口级别上为任何 VLAN 标记创建 DoS 策略。 

• 对于具有多个基于 CIDR 地址的 CIDR 接口,您可以执行以下操作之一: 

• 自定义继承的 DoS 策略,并为每个 CIDR 地址创建多个 DoS 配置文件。 

• 您可以在一个 CIDR 网络地址内,为网络中基于 CIDR 的主机地址创建多个 DoS ID。 

如果您在接口节点上为 CIDR 地址创建了 DoS 策略,则将无法创建任何子接口。 

拒绝服务 

拒绝服务 (DoS) 自定义 7 

• 自定义继承的 DoS 策略,并创建多个子接口,随后便可为这些子接口创建自定义的 DoS 策略。如果您为 VLAN 标 

记创建了子接口,则您将无法在接口级别上为任何 VLAN 标记创建 DoS 策略。 


7 

拒绝服务 


示例场景:在网络中自定义 DoS 策略 

在本例中,假定 Sensor 使用 SPAN 模式监控建筑内各楼层间的通信量传输。Sensor 端口 1A 是接口编号。 

图 7-2 自定义 DoS 示例 

“自定义 DoS 示例”一图显示各种自定义 DoS 实现。之后的流量类型场景解释了分别适用于三种接口类型的 DoS 策略的 

自定义选项。 

专用 

假设端口 1A 的流量类型为“Dedicated(专用)”。在这种情况下,您可以: 

• 为接口监控的所有流量自定义继承的 DoS 设置。 

• 为多个 CIDR 网络创建多个 DoS 策略。以本图为例,您可以为 192.168.0.0/24、192.168.1.0/24 和 192.168.2.0/24 

创建三个唯一的 DoS 策略。创建了这些唯一的 DoS 实例之后,其余的接口流量就由继承的 DoS 设置来保护。 

专用 

假设端口 1A 的流量类型为“Dedicated(专用)”。在这种情况下,您可以: 

• 为接口监控的所有流量自定义继承的 DoS 设置。 

• 为多个 CIDR 网络创建多个 DoS 策略。以本图为例,您可以为 192.168.0.0/24、192.168.1.0/24 和 192.168.2.0/24 

创建三个唯一的 DoS 策略。创建了这些唯一的 DoS 实例之后,其余的接口流量就由继承的 DoS 设置来保护。 


VLAN 

假定端口 1A 的流量为 VLAN,并已为接口添加了 VLAN ID 1‑6。在这种情况下,您可以: 

• 为网络中的每个 VLAN ID 创建多个 DoS 策略。在此实例中,您可以为 VLAN 2、VLAN4 和 VLAN 5 创建不同的 DoS 

策略;接口上的其他所有流量都将由继承的 DoS 策略设置保护,以免受到 DoS 攻击;您可以自定义继承的设置。 

• 为 VLAN ID 内的多个 CIDR 网络创建多个 DoS 策略。在此实例中,您可以为 VLAN 2 内的 CIDR 网络 

192.168.0.0/24 创建 DoS ID 策略,和/或为 VLAN 4 内的 CIDR 网络 192.168.1.0/24 和 192.168.2.0/24 创建两个或 

多个 DoS ID 策略。接口中的其余流量将由继承的 DoS 策略设置保护,以免受到 DoS 攻击。 

图 7-3 DoS 策略示例 ‑ VLAN 

• 创建子接口。将 VLANS 2、4 和 5 组合在一起构成子接口 VLAN‑245。您可以选择: 

拒绝服务 


• 为个别 VLAN ID 和整个子接口(保护其余全部流量)创建 DoS 实例,例如只需为 VLAN 2 和“Entire VLAN‑245”(整 

个 VLAN‑245)创建 DoS 实例。可以在以后创建 VLANs 4 和 5 的 DoS 实例。 

• 为单个 VLAN ID 内的 CIDR 主机创建 DoS ID。您选择 VLAN 4 并指定 192.168.1.2/24 作为您的 DoS ID。稍后,您 

可为 192.168.1.1/24 网络和位于 VLAN 4 中的其他 CIDR 主机以及“Entire VLAN‑245(整个 VLAN‑245)”添加策略。 


7 

拒绝服务 


CIDR 

假定端口 1A 的流量类型为 CIDR。您可以执行以下任一操作: 

• 为每个 CIDR 网络 ID 和其余的接口流量创建多个 DoS 策略。在本实例中,您可以为 192.168.0.0/24、 

192.168.1.0/24、192.168.2.0/24 和“Entire 1A(整个 1A)”创建唯一的 DoS 策略。 

• 为一个 CIDR 网络 ID 内的 CIDR 主机以及所有其他接口流量创建多个 DoS 策略。在本实例中,您可以为 CIDR 网 

络 192.168.0.0/24 和“Entire 1A(整个 1A)”内的 CIDR 主机 192.168.0.1/24 和 192.168.0.2/24 创建多个 DoS ID 策 

略。 

• 创建子接口。将 192.168.0.0/24 和 192.168.1.0/24 组合在一起构成子接口 CIDR‑0010。您可以选择: 

• 为个别 CIDR ID 和整个子接口(保护其余全部流量)创建 DoS 实例,例如只需为 192.168.0.0/24 和“Entire 

CIDR‑0010(整个 CIDR‑0010)”创建 DoS 实例。 

CIDR 

• 为 CIDR 网络内的主机创建 DoS ID。您可以选择 192.168.0.0/24 并指定 192.168.0.1/24 作为您的 DoS ID。您 

可以稍后再为 192.168.0.2/24 及 192.168.0.0/24 网络中的其他 CIDR 主机添加策略。 

假定端口 1A 的流量类型为 CIDR。您可以执行以下任一操作: 

• 为每个 CIDR 网络 ID 和其余的接口流量创建多个 DoS 策略。在本实例中,您可以为 192.168.0.0/24、 

192.168.1.0/24、192.168.2.0/24 和“Entire 1A(整个 1A)”创建唯一的 DoS 策略。 

• 为一个 CIDR 网络 ID 内的 CIDR 主机以及所有其他接口流量创建多个 DoS 策略。在本实例中,您可以为 CIDR 网 

络 192.168.0.0/24 和“Entire 1A(整个 1A)”内的 CIDR 主机 192.168.0.1/24 和 192.168.0.2/24 创建多个 DoS ID 策 

略。 

• 创建子接口。将 192.168.0.0/24 和 192.168.1.0/24 组合在一起构成子接口 CIDR‑0010。您可以选择: 

• 为个别 CIDR ID 和整个子接口(保护其余全部流量)创建 DoS 实例,例如只需为 192.168.0.0/24 和“Entire 

CIDR‑0010(整个 CIDR‑0010)”创建 DoS 实例。 

• 为 CIDR 网络内的主机创建 DoS ID。您可以选择 192.168.0.0/24 并指定 192.168.0.1/24 作为您的 DoS ID。您 

可以稍后再为 192.168.0.2/24 及 192.168.0.0/24 网络中的其他 CIDR 主机添加策略。 

配置页中的 DoS ID 

下面举例说明如何配置 DoS ID。 

图 7-4 管理自定义 DoS 

可以通过如下方式实现典型的配置:在“Interface‑x(接口 x)” | “Scanning(扫描)” | “Custom DoS Policy(自定义 DoS 

策略)”下创建三个 DoS ID。接口流量类型为 VLAN,可用的 VLAN ID 为 VLAN 1、2、3 和 4。 

第一种配置 

任务 

1 选择 VLAN“2”(选项为 1、2、3 或 4)。 

2 选择“Apply DoS to CIDR within VLAN(将 DoS 应用于 VLAN 内的 CIDR)”,选项为“Apply DoS to this VLAN(将 

DoS 应用于此 VLAN)”或“Apply DoS to CIDR in VLAN(将 DoS 应用于 VLAN 内的 CIDR)”。 


3 在“IP Address(IP 地址)”字段输入 192.168.1.0,在“Mask Length(掩码长度)”字段输入 24。 

4 编辑 DoS 模式,然后单击“OK(确定)”。 

“Result(结果)”:“192.168.1.0/24 (VLAN 2)”显示在“Advanced DoS Policy(高级 DoS 策略)”表中,默认(继承) 

的 DoS 设置将保护所有其他“Interface: 3A(接口: 3A)”流量。 

“Summary(摘要)”:在第一种配置中,选择应用到 VLAN ID 2 而不应用到整个接口,选择在一个 CIDR 主机(在 

Network Security Platform 中称为 DoS ID)上应用唯一的 DoS 自定义策略。由于只输入了 VLAN 2 的子集,所以今 

后可以在 VLAN 2 内添加其他 DoS ID 自定义 DoS 策略。如果删除这个 DoS ID 条目,整个 VLAN 2 将只有一个自 

定义的 DoS 策略。应用的 IPS 策略具备 DoS 检测规则,这些规则将应用到与这个 DoS ID 无关的所有流量。 

第二种配置 

任务 

1 选择 VLAN“3”(选项为 1、2、3 或 4)。 

2 选择“Apply DoS to this VLAN(将 DoS 应用于此 VLAN)”,选项为“Apply DoS to this VLAN(将 DoS 应用于此 

VLAN)”或“Apply DoS to CIDR in VLAN(将 DoS 应用于 VLAN 内的 CIDR)”。 


“Result(结果)”:VLAN“3”显示在“List of VLAN IDs(VLAN ID 列表)”表中。该表现在将显示“192.168.1.0/24 

(VLAN 2)”和“3”以及保护“Interface: 3A(接口: 3A)”上的所有其他流量的默认(继承)的 DoS 设置。 

“Summary(摘要)”:在本配置中,为 DoS 自定义策略选择的是整个 VLAN ID 3。现在,VLAN 3 不能再用于添加自 

定义 DoS,因为整个 ID 只有一个策略。 

第三种配置 

任务 

1 选择 VLAN“2”(选项为 1、2 或 4)。 

2 选择“Apply DoS to CIDR within VLAN(将 DoS 应用于 VLAN 内的 CIDR)”。 

3 在“IP Address(IP 地址)”字段输入 192.168.2.0,在“Mask Length(掩码长度)”字段输入 24。 


“Result:192.168.2.0/24 (VLAN 2)(结果: 192.168.2.0/24 (VLAN 2))”显示在“List of VLAN IDs(VLAN ID 列表)”表 

中。 

“Summary(摘要)”:在此配置中,为 VLAN 2 添加了另一个 DoS ID,因为 DoS 自定义策略仍可用于此 VLAN 内 

的 CIDR 子集。请注意:本配置的第一个步骤中,VLAN 3 已不再可用于 DoS 自定义策略,因为整个 VLAN 3 上已 

经应用了一个策略。 

自定义接口使用的一个或多个 DoS 策略 

拒绝服务 


拒绝服务 (DoS) 策略,即“Learning Mode(学习模式)”和“Threshold Mode(阈值模式)”设置,是从接口上应用的 IPS 

策略继承来的。“Custom DoS Policy(自定义 DoS 策略)”操作可以根据接口的流量类型自定义 DoS 参数。 

• Dedicated(专用):您可以自定义整个接口的 DoS 设置,也可以自定义所监控网段中特定 CIDR 网络的 DoS 设置。 

• VLAN:您可以自定义指定的 VLAN 标记的 DoS 策略,也可自定义 VLAN 标记网络内特定 CIDR 网络的 DoS 策略。 

• 您可以自定义指定的 CIDR 网络的 DoS 策略,也可以自定义 CIDR 网络内特定 CIDR 主机的 DoS 策略。 


7 

拒绝服务 


自定义的 DoS 学习模式设置称为配置文件。配置文件指学习模式学习网络中“正常”的流量模式,并将正常时的读数用作 

今后网络传输的基准。如果流量稳定增长或下降,配置文件就会随时间做出调整,并在新的流量值大幅超出标准基准时 

发送警报。 

如果您已经创建子接口,就“不能”为接口内的 VLAN/CIDR ID 自定义 DoS 策略。 

图 7-5 管理自定义 DoS 

要自定义接口内 DoS 检测实例,请执行以下操作: 

任务 

1 选择“Interface‑x(接口 x)” | “Scanning(扫描)” | “Custom DoS Policy(自定义 DoS 策略)”。最初,该表只列出了 

接口。 

突出显示的策略“(Inherited DoS)((继承的 DoS))”指示该接口当前受到应用的 IPS 策略的 DoS 设置保护。 


3 打开一个策略并进行更改。 


5 单击“Version Control(版本控制)”以跟踪或查看对该策略进行的更改。 


请注意,在提交所做的更改之前,“Version Control(版本控制)”处于禁用状态。 

图 7-6 自定义 DoS 策略 

• 对于学习模式,默认情况下已启用所有攻击。要禁用攻击,请从表中选择一行,然后单击“Disable(禁用)”。要 

启用攻击,请从“Learning Attack List(学习攻击列表)”表中选择一行,然后单击“Enable(启用)”。 

通过选择“Response Sensitivity for All Learning Attacks(所有学习攻击的响应敏感度)”的“Low(低)”、“Medium 

(中)”或“High(高)”三个级别,将配置文件的学习曲线设为较低、中等或较高的敏感度。例如,如果您希望 

Sensor 灵敏地感应流量轻微的异常波动时,请选择“High(高)”。 

要查看/编辑学习模式攻击时,请选择该攻击,然后单击“View/Edit(查看/编辑)”。您可以单击“Attack Detail(攻 

击详细信息)”,查看该攻击的完整描述。您也可以更改攻击的严重性,设置攻击的通知方法。只须查看学习模式 

攻击并单击“OK(确定)”,一个复选标记即会显示在学习模式的“Custom(自定义)”字段中。 

• 对于阈值模式,请执行以下操作: 

1 选择一个攻击,然后单击“View/Edit(查看/编辑)”。您可以单击“Attack Detail(攻击详细信息)”,查看该攻击 

的完整描述。(可选)可以更改严重性。 

2 选择“Threshold(阈值)”选项卡。输入“Threshold Value(阈值)”和“Threshold Interval(阈值间隔)”。也就是 

在给定的时间范围(间隔)内出现的攻击数(值)。 

您必须设置阈值和间隔,阈值检测功能才能正确检测到每个阈值攻击。 

3 (可选)选择“Notification(通知)”选项卡。设置一个或多个攻击的通知方法。 

您不必为每个攻击设置通知,我们建议您只为那些需要立即注意的攻击设置通知。在“Severity Level(严重性 

级别)”中,选择“By Attack(按攻击)”。 

4 单击“OK(确定)”,一个复选标记即会显示在阈值模式的“Custom(自定义)”字段内。选择修改后的条目,然 

后单击“Enable(启用)”开始搜索该攻击。 

5 重复上述步骤设置阈值并启用多个阈值攻击的检测功能。 

删除自定义 DoS ID 条目的方法 

拒绝服务 


在“Interface‑x(接口 x)” | “Scanning(扫描)” | “Custom DoS Policy(自定义 DoS 策略)”操作中,您可以删除任何自定 

义的 DoS 策略。但是,如果您自定义了接口的“Inherited DoS(继承的 DoS)”策略,选择此实例并单击“Delete(删除)” 

只会将 DoS 参数改回应用的 IPS 策略的默认 DoS 设置。您必须通过执行“更新一个 Sensor 的配置”中的步骤,将更改 

下载到您的 Sensor。 


7 

删除自定义的 DoS ID 条目 

在“Interface‑x(接口 x)” | “Scanning(扫描)” | “Custom DoS Policy(自定义 DoS 策略)”操作中,您可以删除任何自定 

义的 DoS 策略。但是,如果您自定义了接口的“Inherited DoS(继承的 DoS)”策略,选择此实例并单击“Delete(删除)” 

只会将 DoS 参数改回应用的 IPS 策略的默认 DoS 设置。您必须通过执行“更新一个 Sensor 的配置”中的步骤,将更改 

下载到您的 Sensor。 


管理遍历 

拒绝服务 


“Scanning(扫描)” | “DoS Policy(DoS 策略)”操作可以定义整个子接口、子接口内特定 VLAN 或 CIDR ID、VLAN 或 

CIDR ID 内 CIDR 主机 (DoS ID) 上的拒绝服务 (DoS) 规则。 

要自定义子接口上的 DoS 检测规则,请执行以下操作: 

任务 

1 在“Customize a DoS Policy(自定义 DoS 策略)”窗口中,按方向(入站、出站或双向)自定义任何可用 DoS 学习模 

式和/或阈值模式攻击。 

• 对于学习模式,默认情况下已“启用”全部攻击。要禁用攻击,请从“Learning Attack List(学习攻击列表)”表中选 

择一行,然后单击“Disable(禁用)”。要启用攻击,请从表中选择一行,然后单击“Enable(启用)”。 

通过选择“Response Sensitivity for All Learning Attacks(所有学习攻击的响应敏感度)”的“Low(低)”、“Medium 

(中)”或“High(高)”)三个级别,将配置文件的学习曲线设为较低、中等或较高(严密保护)的敏感度。例如,如 

果您希望 Sensor 灵敏地感应流量轻微的异常波动时,请选择“High(高)”。 

要查看/编辑学习模式攻击时,请选择该攻击,然后单击“View/Edit(查看/编辑)”。您可以单击“Attack Description 

(攻击描述)”,查看该攻击的完整描述。您也可以更改攻击的严重性,设置特定攻击的通知方法。只须查看学习 

模式攻击并单击“OK(确定)”,一个复选标记即会显示在学习模式的“Custom(自定义)”字段中。 

• 对于阈值模式,请执行以下操作: 

1 选择一个攻击,然后单击“View/Edit(查看/编辑)”。您可以单击“Attack Description(攻击描述)”,查看该攻 

击的完整描述。您可以更改严重性级别。 

2 选择“Threshold(阈值)”选项卡。输入“Threshold Value(阈值)”和“Threshold Interval(阈值间隔)”。也就是 

在给定的时间范围(间隔)内出现的攻击数(值)。 

您必须设置阈值和间隔,阈值检测功能才能检测到每个阈值攻击。 

3 (可选)选择“Notification(通知)”选项卡。设置一个或多个攻击的通知方法。 

您不必为每个攻击设置通知,McAfee 建议您只为那些需要立即注意的攻击设置通知。在“Severity Level(严重 

性级别)”,选择“By Attack(按攻击)”作为您使用的通知方法。 

4 单击“OK(确定)”,一个复选标记即会显示在阈值模式的“Custom(自定义)”字段内。 

5 选择修改后的条目,然后单击“Enable(启用)”开始搜索该攻击。 

6 重复上述步骤设置阈值并启用多个阈值攻击的检测功能。 



在本节中,我们将逐步讲解 Manager 中特定于 DoS 的部分。 


IPS 设置级别的选项 

在 Manager 的配置页面上,“IPS Settings(IPS 设置)”节点的“Polices(策略)”选项卡中的“IPS Polices(IPS 策略)”子 

选项卡提供了 IPS 设置级别的以下选项。 

• 设置阈值 

• 自定义 DoS 学习模式 

设置阈值 

阈值方法为管理员提供了一种当超过预先配置的流量阈值时即触发警报的方法。 

成功使用阈值的关键在于了解网络上的正常流量级别。在大多数情况下,外部设备(如监听器)被用于建立网络的基准, 

并且会根据相应的数据设置初始级别。 

基准一旦建立,管理员就可以启用与攻击相关的阈值,并使用适用于特定网络的值配置每个阈值。 

按照以下步骤可设置攻击的阈值: 

任务 

1 单击“Admin Domain Name(管理域名称)” | “IPS & Recon(IPS 和侦测)” | “Default IPS Attack Settings(默认 IPS 

攻击设置)”以查看“IPS Policies(IPS 策略)”页。 

图 7-7 设置阈值 

2 选择一个策略并单击“View/Edit(查看/编辑)”,以查看“Edit IPS Policy(编辑 IPS 策略)”页。 

拒绝服务 

管理遍历 7 

3 单击“DoS Attacks(DoS 攻击)”选项卡中的“Threshold Mode(阈值模式)”子选项卡以查看列出的攻击。 


7 

拒绝服务 

管理遍历 

4 选择要为其设置阈值的攻击,然后单击“View/Edit(查看/编辑)”以查看“Edit Threshold Attack Details(编辑阈值攻击 

详细信息)”页。 

5 设置攻击阈值: 

例如,选择“Customize Threshold Value(自定义阈值)”和“Customize Threshold Interval(自定义阈值间隔)”复选 

框,针对“Inbound Link Utilization (Bytes/Sec) Too High(入站链路利用率(字节/秒)过高)”攻击,在“Edit Threshold 

Attack Details(编辑阈值攻击详细信息)”中分别键入 1000 和 1 作为所选选项的值。在这种设置下,如果 Sensor 

在 1 秒间隔内发现了 1000 或更多入站链路利用,将发送警报。 

图 7-8 阈值 

只能配置阈值方法来发送警报;不能阻止达到或超出预定义阈值的流量。 

阈值方法主要用于进行故障排除。管理员可能会希望在带宽利用率超过预定义的限制时收到通知。 

与阈值方法相反,基于学习的方法自动建立基准,在进行了配置的情况下,如果基准被超过(以这种方式构成攻击) 

时发出警报或进行阻止。 

自定义 DoS 学习模式 

遵循以下步骤可为选定策略自定义 DoS 学习模式: 

任务 

1 在 IPS 策略编辑器中打开所需策略。到策略编辑器的导航路径为“Admin Domain Name(管理域名称)” | “IPS Settings 

(IPS 设置)” | “Policies(策略)” | “IPS Policies(IPS 策略)”。 

2 在“IPS Polices(IPS 策略)”列表中选择一个列出的策略,然后单击“View/Edit(编辑/查看)”以查看“Edit IPS Policy 

(编辑 IPS 策略)”页。 


3 单击“DoS Attacks(DoS 攻击)”选项卡,即会打开带有“Learning Mode(学习模式)”子选项卡的“Inbound(入站)”子 

选项卡。 

Network Security Platform 按流量的方向提供了增强的 DoS 流量配置文件功能:“Inbound(入站)”、“Outbound(出 

站)”或“Bidirectional(双向)”。必须分别为各个方向启用攻击。 

默认情况下,严重性、Sensor 响应、阻止所有学习模式攻击(“Inbound(入站)”、“Outbound(出站)”和“Bidirectional 

(双向)”处于禁用状态。您必须为希望通过应用策略来检测的每个学习攻击手动启用这些设置。 

图 7-9 IPS 编辑策略 

从“Response Sensitivity for all DoS Learning Attacks(所有 DoS 学习攻击的响应敏感度)”下拉列表中选择一个值, 

以将配置文件的学习曲线的敏感度设置为较不敏感(“Low(低)”)、中等(“Medium(中)”)或非常敏感(“High 

(高)”)。例如,如果要让 Sensor 能觉察到轻微的流量异常,请选择“High(高)”。 

请参阅:“响应敏感度”和“设置响应敏感度”。 

4 选择所需攻击,并单击“View/Edit(查看/编辑)”以自定义攻击。 

拒绝服务 



7 

拒绝服务 

管理遍历 

5 查看选择要进行自定义的 DoS 攻击。 


“Attack Name(攻击名称)”:攻击的全称。 

“Severity(严重性)”:攻击的潜在影响级别。 

“Attack Description(攻击描述)”:单击可打开完整的攻击说明。 

“Annotate Description(注释描述)”:单击可为攻击大全中的攻击添加注释。 

“Benign Trigger Probability(良性触发几率)”:显示一个值,指示对攻击的检测会触发误报的几率。 

图 7-10 攻击的详细信息 

6 当选择“Customize Severity(自定义严重性)”复选框时,默认严重性级别设置为“7 (High)(7 (高))”。如果要提高或 

降低攻击的优先级,可在“Customize Severity(自定义严重性)”下拉列表中选择其他严重性级别。 


7 在“Sensor Response(Sensor 响应)”区域,选择“Customize(自定义)”和“Enable Alert(启用警报)”复选框以激活 

对该类型攻击的搜索。 

图 7-11 攻击的详细信息 ‑ Sensor 响应 

要自定义通知,首先选择“Notifications(通知)”下每个响应旁边的“Customize(自定义)”,然后根据需要选择“Email 

(电子邮件)”、“Pager(寻呼机)”、“Script(脚本)”、“SNMP”、“Auto. Ack.(自动确认)”和“Syslog”复选框。 

8 如果要在检测到攻击时丢弃入侵的 DoS 数据包,可选中“Drop DoS attack packets of this attack type when this 

attack is detected(检测到此攻击时,丢弃此攻击类型的 DoS 攻击数据包)”复选框。 

您必须为以这种方式应对的每个“Learning Mode(学习模式)”攻击设置此选项。它仅适用于以串联模式部署的 

Sensor。 

“注意:”有关自定义攻击响应的详细信息,请参阅“自定义攻击响应的工作方式”。 

Sensor 级别的选项 

Manager 提供了 Sensor 级别的以下 DoS 相关选项: 

• DoS data management(DoS 数据管理) • DoS related TCP settings(与 DoS 相关的 TCP 设置) 

• DoS profiles(DoS 配置文件) • Rate Limiting configurations(速率限制配置) 

• DoS filters(DoS 过滤器) 

DoS 数据管理 

“DoS Data Management(DoS 数据管理)”页显示有关选定 Sensor 的 DoS 配置文件的信息和选项。 

拒绝服务 



7 

拒绝服务 

管理遍历 

任务 

1 选择“Admin Domain Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | 

“Advanced Scanning(高级扫描)” | “DoS Data Management(DoS 数据管理)”以查看“DoS Data Management 

(DoS 数据管理)”页。 

图 7-12 DoS 数据管理 

2 “DoS Data Management(DoS 数据管理)”页列出了下列信息和选项: 

• “DoS Profiles on Manager(Manager 上的 DoS 配置文件)” 

这里列出了上载到 Manager 的 DoS 配置文件。当选择“DoS Profile Upload and Restoration(DoS 配置文件上 

载和还原)”下的“Restore a DoS Profile (Manager to device)(还原 DoS 配置文件(从 Manager 到设备))”时,可 

以选择将这些配置文件还原到 Sensor。 

• “DoS Profile Learning(DoS 配置文件学习)” 

• “Rebuild the DoS Profiles (start the learning process from scratch)(重建 DoS 配置文件(从头启动学习过 

程))” 

通常在遇到下列情况时才需要使用此页面: 

• 众所周知,在最初学习阶段期间发生的 DoS 攻击会污染长期配置文件。 

• 网络流量发生了明显变化,例如对路由基础结构的彻底检查。 

学习模式下运行的端口不会分析 DoS 攻击的流量。通过了解特定于网络的情境,您可以推断出在初始阶 

段是否发生了 DoS 攻击。 

• “Force the IPS Sensor into Detection Mode (bypass learning)(强制 IPS Sensor 进入检测模式(跳过学习))” 

您可以强制使 Sensor 在常规的 48 小时最短学习周期结束之前即进入检测模式。必须保留此选项以用于测试 

和故障排除。 

• “Manage DoS Packet Copying Actions(管理 DoS 数据包复制操作)”(M 系列和 N‑450 Sensor 不支持此功能) 

• “Enable copying of DoS packets to Response port(s)(启用复制响应端口的 DoS 数据包)” 

• “Disable copying of DoS packets to Response port(s)(禁用复制响应端口的 DoS 数据包)” 

由于 DoS 攻击产生了大量流量,Network Security Platform 并不收集与 DoS 相关的数据包日志进行鉴证分析。 

而您可以选择将 DoS 数据包复制到可以连接数据包捕获设备的 Sensor 响应端口。 

用于此目的的响应端口是特定于 Sensor 型号的。例如,I‑2700 将其第三个响应端口 (R3) 用于此目的。了解哪个 

接口用于给定型号的一种方法是执行一遍启用此选项的操作。用户界面在提示您确认选择时会包括响应端口号。 


• “DoS Profile Upload and Restoration(DoS 配置文件上载和还原)” 

• “Upload a DoS Profile (device to Manager)(上载 DoS 配置文件(从设备到 Manager))” 

• “Restore a DoS Profile (Manager to device)(还原 DoS 配置文件(从 Manager 到设备))” 

您可以将当前的长期配置文件从 Sensor 上载至 Manager,或者还原先前上载的配置文件。 

在大多数情况下,无需上载和还原配置文件。例外情况包括: 

• Sensor 未能检测到攻击。在这种情况下,Sensor 会错误地将不良流量模式作为正常流量模式来学习。如果 

有先前已保存的配置文件,则可以还原该配置文件以替换被污染的配置文件。 

• Sensor 用于曲解长期配置文件的测试。要使 Sensor 恢复正常状态,需保存配置文件,执行测试并还原以前 

保存的配置文件。 

• 对接口/子接口的数量进行了更改,但需撤消所做的更改。例如,您添加了新的子接口,这同样更改了 DoS 

配置文件的数量和构成方式。随后,您决定撤销此项更改。还原配置文件就无需再通过重新学习阶段了。 

DoS 配置文件 

重新启动 Sensor 不会使其返回到学习模式。Sensor 会存储长期数据,并且会在重新启动开始时所中断的位 

置重新开始数据存储。 

DoS 配置文件是对网络流量的分析,参考了 Sensor 在学习期间捕捉的正常通信流。所选 Sensor 的 DoS 配置文件显示 

在“DoS profiles(DoS 配置文件)”页中。可以在此页中查看配置文件的信息。 

按照以下步骤可查看 Sensor 的 DoS 配置文件: 

任务 

1 选择“Admin Domain Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | 

“Advanced Scanning(高级扫描)” | “DoS Profiles(DoS 配置文件)”,以查看“DoS Profiles(DoS 配置文件)”页。 

“DoS Profile(DoS 配置文件)”页显示每个 DoS 配置文件的状态(“Detection(检测)”或“Learning(学习)”)以及从一 

个模式转换到另一个模式所需的时间。 

图 7-13 “DOS Profile(DOS 配置文件)”列表 

DoS 配置文件定义一组流量,Sensor 会为该组流量维护其独有的配置文件。 

2 选择一个配置文件,然后单击“View(查看)”以查看所选的配置文件。 

将显示下列度量的入站或出站流量信息: 

度量 

tcp‑control 

icmp‑echo‑count 

拒绝服务 



7 

拒绝服务 

管理遍历 

度量 

udp‑rate 

icmp‑rate 

ip‑frag‑rate 

tcp‑rst‑rate 

rejected‑tcpseg‑rate 

rejected‑pkt‑rate 

syn‑fin‑rate 

icmp‑echo‑req&rep‑rate 

3 选择“Direction(方向)”和“Measure(度量)”。 

4 再次单击“View(查看)”,以查看所选方向和度量的 DoS 配置文件。 

图 7-14 DoS 配置文件 ‑ 度量选择 

图 7-15 DoS 配置文件 ‑ 高级扫描 

配置文件显示了所选配置文件的“Short Term(短期)”和“Long Term(长期)”分配的对比视图。“Packet rate(数据包速 

率)”选项卡显示最近 1 分钟内的数据包速率。 


以下信息可帮助您理解该图表的含义: 

• 长期配置文件是短期配置文件的编译。 

• 横轴包含不同数据包速率的桶。 

• 纵轴指示这些速率在每个桶中的百分比。 

DoS 配置文件限制 

如果选择了一个仍处于学习模式的配置文件,则会显示以下消息“NOTE:The VIDS is still in learning mode(注 

意: VIDS 仍处于学习模式)”。 

每种 Sensor 可配置的 DoS 配置文件数量的限制因 Sensor 的型号而异。 

详细信息如下: 

I 系列 ‑ 支持的 DoS 配置文件最大数 

I‑4010 I‑4000 I‑3000 I‑2700 I‑1400 I‑1200 

5,000 5,000 5,000 300 120 100 

M 系列 ‑ 支持的 DoS 配置文件最大数 

M‑8000 M‑6050 M‑4050 M‑3050 M‑2750 M‑1450 M‑1250 

5,000 5,000 5,000 5,000 300 120 100 

DoS 过滤器 

单击“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced 

Scanning(高级扫描)” | “DoS Filters(DoS 过滤器)”,以查看“DoS Filters(DoS 过滤器)”页。 

“DoS Filters(DoS 过滤器)”页显示了可能会丢弃 DoS 数据包的接口的列表。 

默认情况下不会丢弃 DoS 数据包,因此根据默认配置“DoS Filters(DoS 过滤器)”列表为空。 

图 7-16 DoS 过滤器 

拒绝服务 



7 

拒绝服务 

管理遍历 

当使用“Policy Editor(策略编辑器)”,为接口编辑继承的 DoS 策略(该策略应用于“DoS Policy(DoS 策略)”页中的接 

口)(“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | 

“Interface_Name(接口名称)” | “Scanning(扫描)” | “DoS Policy(DoS 策略)”,以及更改默认的阻止设置,以便应用过 

滤器时,应用的过滤器会显示在“DoS Filters(DoS 过滤器)”页中。显示的过滤器是“Resource(资源)”、“Measure(度 

量)”、“Direction(方向)”以及“Filter End Time(过滤器结束时间)”的唯一组合。 

图 7-17 DoS 过滤器 ‑ 高级扫描 

当从“IPS Policy Editor(IPS 策略编辑器)”启用阻止功能时,“Filter End Time(过滤器结束时间)”的值为“ALWAYS(始 

终)”。在此情况下,会从攻击来源阻止数据包,直到攻击结束。 

当从 Threat Analyzer 深入分析选项阻止攻击时,“Filter End Time(过滤器结束时间)”选项变为可用。在该情况下,我 

们就可以规定对生成警报的接口应用指定时长的阻止操作。对于“DoS Filters(DoS 过滤器)”页中列出的这些行项目,通 

过选择“Filter(过滤器)”并单击“Extend(延长)”可延长结束时间。 

请参阅“在 Threat Analyzer 中阻止攻击”。 

只能针对流量大小异常而不能针对分类异常来配置阻止操作。 

与 DoS 相关的 TCP 设置 

使用“TCP Settings(TCP 设置)”页可以配置 TCP 参数。其中一些参数用于阻止 DoS 攻击。 

根据您对网络的了解,您可以针对网络的特殊情况配置合适的选项,以阻止 DoS 攻击。 


任务 

1 单击“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Device_Name(设备名称)” | “Advanced 

Scanning(高级扫描)> TCP Settings(TCP 设置)”,以查看“TCP Settings(TCP 设置)”。 

图 7-18 针对 DoS 的 TCP 设置 

2 在可配置参数中,以下参数对配置 TCP 设置以阻止 DoS 而言尤为重要。完成配置更改后,单击“Update(更新)”。 

您需要将更改推送到 Sensor(“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Device_Name 

(设备名称)” | “Configuration Update(配置更新)” | “IPS Sensor”或“Admin_Domain_Name(管理域名称)” | “IPS 

Settings(IPS 设置)” | “Configuration Update(配置更新)” | “IPS Sensors”),以使更新生效。 


“TCP Segment Timer 

(TCP 网段计时器)” 

“(in seconds)(秒)” 

“TCP 2MSL Timer 

(TCP 2MSL 计时器)” 


在无序网段变为有序之前的等待时间,超过这一时间将丢弃这些网段。 

拒绝服务 


等待释放连接控制块的时间,超过这一时间将销毁控制块。网段最大生存期 (MSL) 是数 

据包可以在网络中传输的时间。 


7 

拒绝服务 

管理遍历 


“TCP Flow Violation 

(TCP 流违规)” 

“Unsolicited UDP 

Packets Timeout(主动 

UDP 数据包超时时间) ” 


当接收到不存在连接的数据包(例如没有接收到某个连接的 SYN 数据包,但接收到 

ACK 数据包)时,会发生 TCP 流违规。 

TCP 流违规通过操纵 TCP 数据包的通信方式来消耗网络资源,从而引发 DoS 攻击。 


• “Permit(允许)”:对于无序数据包,Sensor 最多会将数据包保留几秒钟(具体时间在 

“TCP Segment Timer(TCP 网段计时器)”中设置),以便在执行检查之前重组。如果 

重组失败(由于仍然缺少某些数据包),Sensor 将仅转发流量。如果未建立 TCP 状 

态,则 Sensor 将允许数据包通过。 

• “Deny(拒绝)”:对于无序数据包,Sensor 最多会将数据包保留几秒钟(具体时间在 

“TCP Segment Timer(TCP 网段计时器)”中设置),以便在执行检查之前重组。如果 

重组失败(由于仍然缺少某些数据包),Sensor 会丢弃流量。如果未建立 TCP 状态, 


• “Permit out‑of‑order(允许乱序)”(默认设置):Sensor 允许继续传送无序数据包而不 

做处理。如果未建立 TCP 状态,则 Sensor 将允许数据包通过。 

• “Deny no TCB(拒绝无 TCB)”(如果未建立状态,则拒绝):如果未建立 TCP 状态, 


• “Stateless Inspection(无状态检查)”:Sensor 检测攻击,且无需有效的 TCP 状态。 

仅当 Sensor 被置于某个网络中,且在该网络中这些 Sensor 无法查看 TCP 流的所有 

数据包(如在非对称网络配置中)时,才应使用此选项。 

已发送数据包等待接收响应数据包的时间。如果不符合这一时间要求,则丢弃数据包。 

“SYN Cookie” SYN Cookie 用于对 SYN 洪水攻击计数。启用 SYN Cookie 后,只要新连接请求达到服 

务器,服务器便会回送一个 SYN+ACK,SYN+ACK 带有一个初始序列号 (ISN),该序列 

号是用传入 SYN 数据包中提供的信息和密钥唯一生成的。如果连接请求来自合法主机, 

服务器便从该主机获得返回的 ACK。 

“Inbound Threshold 

Value(入站阈值)” 


• “Disabled(禁用)”:禁用 SYN Cookie 

• “Inbound Only(仅入站)”:仅对入站流量使用 SYN Cookie 

• “Outbound Only(仅出站)”:仅对出站流量使用 SYN Cookie 

• “Both Inbound and Outbound(入站和出站)”:对入站和出站流量使用 SYN Cookie 

“注意:”在 MPLS 流量流经 Network Security Sensor 时,请不要启用 SYN Cookie。 

“附注 1:”使用 SYN Cookie 设置的 Sensor 必须采用串联模式。如果您没有处于串联 

模式的端口,请至少将一个端口配置为串联模式。 

“附注 2:”在任何端口,Sensor 一次只能看到一个数据包。但是,如果 Sensor 正在 

监控包含 VLAN 标记的流量的接口,则必须为每个 VLAN 配置不同的子接口,以确保 

不会多次看到一个数据包。 

“附注 3:”在 N‑450 Sensor 上不支持 SYN Cookie 功能。 

未完成的 SYN 数量,超过此数量后,必须为传入连接启用 SYN Cookie。 



“Outbound Threshold 

Value(出站阈值)” 

“Reset unfinished 3 way 

handshake connection 

(重置未完成的三向握手 

连接)” 

速率限制配置 

未完成的 SYN 数量,超过此数量后,必须为传出连接启用 SYN Cookie。 

如果启用,则在连接的 TCP SYN 计时器超时时,Sensor 会自动向来源发送 TCP RST。 


• “Disabled(禁用)”:关闭 

• “Set for all traffic(为所有流量设置)”:所有攻击类型 

• “Set for DoS attack traffic only(仅为 DoS 攻击流量设置)” 

此操作只能由深入了解 TCP 的专家用户执行,否则可能出现系统错误。 

要阻止基于阈值的 DoS 攻击,您可以使用 Network Security Platform 的速率限制功能。您可以通过协议(如 P2P、 

HTTP 和 ICMP)、TCP 端口、UDP 端口和 IP 协议编号来实现速率限制。 

速率限制用于控制通过 Sensor 的端口发送出口流量(外出流量)的速率。在串联模式下部署时,Sensor 通过限制从 

Sensor 端口出去的流量的带宽来限制流量速率。允许小于或等于指定带宽值的流量,但超过该带宽值的流量将被丢弃。 

Sensor 使用令牌桶方法来限制流量速率。 

Network Security Platform 提供了各个 Sensor 端口处的速率限制配置。例如,如果 1A‑1B 是端口对,则需要为 1A 和 

1B 分别配置流量管理。端口的流量管理配置仅应用于出口流量。 

在 Manager 中,Sensor 的每个速率限制队列都由一个唯一名称进行标识。流量管理队列根据协议、TCP端口、UDP 端 

口以及 IP 协议编号进行配置。可以为 Sensor 的每个端口创建多个队列。在 Manager 中配置流量管理后,必须更新对 

Sensor 的配置。 

速率限制选项在 Manager 中作为一个流量管理选项提供。为了设置速率限制值,您必须先启用流量管理。 

有关流量管理的详细信息,请参阅“流量管理”部分。 

在 Sensor 上启用流量管理配置 

按照以下步骤可在 Sensor 上启用流量管理: 

拒绝服务 



7 

拒绝服务 

管理遍历 

任务 

1 从资源树中,转到“Admin Domain Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Sensor Name(Sensor 名 

称)” | “Traffic Management(流量管理)” | “Enable(启用)”。此时会显示“Enable(启用)”页,您可以在此页编辑流 

量管理参数。 

图 7-19 Sensor 上的流量管理 

2 要对选定 Sensor 的所有串联端口启用流量管理,请在“Enable Traffic Management Settings(启用流量管理设置)” 

选项中,选择“Yes(是)”。 

3 单击“Save(保存)”以保存配置更改。 

即会显示一条“Informational(信息)”消息,指示您需要更新 Sensor 配置,以使流量管理更改生效。 

图 7-20 “Success(成功)”消息 


5 更新 Sensor 配置(“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Device_Name(设备名 

称)” | “Configuration Update(配置更新)” | “IPS Sensor”或“Admin_Domain_Name(管理域名称)” | “IPS Settings 

(IPS 设置)” | “Configuration Update(配置更新)” | “IPS Sensors”),以使更改生效。 

系统为 Sensor 的每个串联端口均提供了流量管理配置选项卡。 


队列计数 

“Queue Count(队列计数)”是指为 Sensor 端口配置的速率限制流量管理队列和其他类型流量管理队列的数目。此值显 

示在“Traffic Management(流量管理)”选项卡下的“Enable(启用)”页中。 

图 7-21 Queue count(队列计数) 

在端口上配置的速率限制队列的数目取决于端口的类型。FE 端口最多支持 6 个队列,而 GE 端口最多支持 8 个队列。 

最大队列计数与 Sensor 型号无关。 

添加速率限制带宽流量管理队列 

要为流量管理添加“Rate Limit Bandwidth(速率限制带宽)”队列,请执行以下操作: 

任务 

1 从资源树中选择“Admin Domain Name(管理域名)” | “IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | 

“Traffic Management(流量管理)” | “Enable(启用)”。 

您可以在“Enable(启用)”页面上添加速率限制带宽流量管理队列。 

图 7-22 启用流量管理 

拒绝服务 



7 

拒绝服务 

管理遍历 

2 检查是否启用了“Enable Traffic Management Settings(启用流量管理设置)”选项。 

3 选择一个端口以添加流量限制队列。例如,选择 1A。 

4 单击“New(新建)”。此时将显示“Add Queue(添加队列)”页面。 

图 7-23 Traffic management(流量管理):添加队列 

5 在“Add Queue(添加队列)”页面中,可以指定以下参数,以用于配置所需的流量管理队列。 

字段描述 

“Name(名称)” 此字段代表流量管理队列的名称。队列名称在 Sensor 端口中是唯一的。请注意,对于 

与同一 Sensor 的不同端口对应的两个队列,可以使用相同的名称。可以按照需要自定 

义名称。 

“Type(类型)” 指定队列类型:“Rate Limit Bandwidth(速率限制带宽)”、“DiffServ”或“VLAN 802.1p”。 

选择“Rate Limit Bandwidth(速率限制带宽)”。 

“Value(值)” “Rate Limit Bandwidth(速率限制带宽)”的值。 

“Available Protocols(可 

用的协议)” 

“Selected Protocols(选 

定协议)” 

从下拉列表中选择“Kbps”或“Mbps”,并输入一个值(在“Value(值)”字段下方标注的范 

围内)。 

为 Sensor 中的流量管理定义的应用协议的列表。 

从“Available Protocols(可用协议)”列表中为流量管理队列选择的协议。 

“TCP Port(TCP 端口)” 用于流量管理的 TCP 端口。 


字段描述 

“UDP Port(UDP 端口)” 用于流量管理的 UDP 端口。 

“IP Protocol Number(IP 

协议编号)” 

IP 协议编号。 

1 为新的流量管理队列输入“Name(名称)”。 

2 选择“Rate Limit Bandwidth(速率限制带宽)”作为流量管理队列的“Type(类型)”。 

3 选择“Value(值)”。 

4 从“Available Protocols(可用协议)”列表中选择协议。单击“Add(添加)”,将选定的协议添加到“Selected Protocols 

(选定协议)”列表中。要从“Selected Protocols(选定协议)”列表中删除协议,请选择该协议并单击 “Remove(删 

除)”。 

在速率限制队列中,您可以配置多个协议。 

5 指定“TCP Port(TCP 端口)”。 

• 输入要向所需的端口列表中添加的端口号或端口范围(例如 5‑10),并单击“>>”。 

• 必要时进行更改。要从选定端口列表中删除端口或端口范围,请进行选择并单击“”。 

• 必要时进行更改。要从选定端口列表中删除端口或端口范围,请进行选择并单击“”。 

您不能指定 IP 协议编号 6 (TCP) 和 17 (UDP)。 

• 必要时进行更改。要从选定端口列表中删除端口或端口范围,请选择相应端口或端口范围并单击“

7 

拒绝服务 

管理遍历 

在接口级别自定义 DoS 策略 

Sensor 接口级别的“DoS Policy(DoS 策略)”页列出了分配到接口的默认 DoS 策略。从更高级别继承的此策略因此作为 

“Inherited DoS(继承的 DoS)”列出。 

任务 

1 单击“/IPS Settings(IPS 设置)//” | “Scanning(扫描)” | “DoS Policy 

(DoS 策略)”,以在接口级别查看“DoS Policy(DoS 策略)”页。 

默认情况下,列出从更高级别继承的 DoS 策略。 

图 7-24 DoS 策略 

2 单击“Edit(编辑)”查看“Customize DoS Policy(自定义 DoS 策略)”页。 



3 选择想要自定义的攻击,然后单击“View/Edit(查看/编辑)”以针对选定攻击查看“Edit Attack Details(编辑攻击详细 

信息)”页。 

图 7-26 查看/编辑攻击 

4 根据需要自定义攻击,然后单击“OK(确定)”返回到“Customize DoS Policy(自定义 DoS 策略)”页。单击“Save(保 

存)”。 

请参阅“自定义攻击响应的工作方式”。 

5 (可选)在“Enter Comment ‑ (Policy Edit)(输入评论 ‑ (策略编辑))”页中输入评论。 

图 7-27 “Enter comment(输入评论)”页 

6 单击“Commit(提交)”,以查看有关更改成功的“Informational(信息)”通知。 

图 7-28 “Success(成功)”消息 

拒绝服务 



7 

拒绝服务 

管理遍历 

7 单击“OK(确定)”返回到“DoS Policy(DoS 策略)”页,在这里 DoS 策略作为“Customized DoS(自定义 DoS)”列在 

括号内。 


为了使配置更改生效,您必须更新 Sensor 配置(“/IPS Settings(IPS 设置)/Device_Name(设备名称)” 

| “Configuration Update(配置更新)>IPS Sensor” 或“

单击“View(查看)”以查看与选定接口相关联的 DoS 配置文件。 

图 7-31 查看 DoS 配置文件 

子接口级别的选项与接口级别的选项完全相同。 

在 Threat Analyzer 中查看 DoS 警报 

Threat Analyzer 的“Alerts(警报)”页面中会列出与 DoS 相关的警报。这些既包括与阈值违规相关的警报,也包括与统 

计攻击相关的警报。 

• “Simple Threshold(简单阈值)”警报是指那些违反“DoS Threshold Mode(DoS 阈值模式)”设置的警报。 

• “Statistical(统计)”攻击是指那些违反 DoS 学习模式设置的攻击。 

按照以下过程可以查看特定警报的详细信息: 

拒绝服务 



7 

拒绝服务 

管理遍历 

任务 

1 右键单击攻击实例,然后单击“Show details(显示详细信息)”。 

图 7-32 Threat Analyzer 


2 即会显示所选警报的警报详细信息 

图 7-33 警报 

Network Security Platform 的 Threat Analyzer 中的 DDoS 攻击工具产生的攻击的描述通常以 DDos 开头并相应进行 

排序。但检测通过特定应用协议而不是 ICMP 或任意 TCP/UDP 端口进行 DDoS 工具间通信的特征码例外。例如, 

IRC: Trinity DDoS 可识别 Trinity 主机之间通过 IRC 的通信。 

图 7-34 “All Alerts(全部警报)”页 

拒绝服务 



7 

拒绝服务 

管理遍历 

任务 

• 在 Threat Analyzer 中阻止攻击第 391 页 

• 编辑 Threat Analyzer 中 DoS 警报的攻击设置第 392 页 

警报详细信息 

通过“Alert Details(警报详细信息)”页可以更清晰地了解有关攻击的关键信息。然后再利用相关信息加强策略设置和/或 

启动响应操作。 

图 7-35 “Alert Details(警报详细信息)”页 

“Alert Details(警报详细信息)”页中显示了某一类攻击特有的警报详细信息。因此,显示的信息因攻击的类型而异。 

有关 DoS 攻击的部分警报信息描述如下: 

简单阈值警报 

“Simple Threshold(简单阈值)”警报是指那些违反“DoS Threshold Mode(DoS 阈值模式)”设置的警报。 

• “Threshold ID(阈值 ID)”:该 ID 对应于阈值攻击在“DoS Threshold Mode(DoS 阈值模式)”目录中的列表位置。 

• “Observed Value(观测值)”:实例出现的次数。因为已经触发了警报,所以该值大于“Threshold Value(阈值)”。 


• “Threshold Duration(阈值持续时间)”:在自定义“DoS Threshold Mode(DoS 阈值模式)”时为攻击实例设置的时间 

限制。它与“Threshold Value(阈值)”相辅相成。设置时限后,系统将捕获全部实例,直至达到设置的时间限制为 

止;而不是在检测到超出阈值的第一个实例后立即停止捕获。 

• “Threshold Value(阈值)”:在自定义“DoS Threshold Mode(DoS 阈值模式)”时为攻击实例设置的限制值,它与 

“Threshold Duration(阈值时限)”相辅相成。 

图 7-36 阈值 

统计警报 

“Statistical(统计)”攻击是指那些违反 DoS 学习模式设置的攻击。 

• “Measures(度量)”:显示与违反学习模式测量值有关的数据包速率数据柱状图。违反的测量值带有最近 10 分钟内 

对应的数据包速率显示。图中显示了学习到的长期速率(在创建 DoS 配置文件过程中建立)和近期活动(短期速率), 

以进行比较。短期速率是指最近 10 分钟(大概)内的速率。当短期速率大于长期速率并超出了指定的响应敏感度 

(“DoS Learning Mode(DoS 学习模式)”设置中的“Low(低)”、“Medium(中)”或“High(高)”),即会生成警报。 

百分数值表示所指测量占全部流量的百分比。例如,如果 IP 碎片的“正常”百分比约为 2.5%,则 IP 碎片占受监控网 

段上全部流量的 2.5%。 

如果在某段间隔内流量中零碎的 IP 数据包大大超出已建立的长期百分率,这表示出现 IP 碎片洪水攻击。 

• “Packet Rate(数据包速率)”:显示触发警报的最后一分钟内违反测量值的数据包速率。数据包速率将以五 (5) 秒为 

间隔显示。 

• “DoS IP Range(DoS IP 范围)”:显示 DoS 攻击牵涉的 IP 地址的范围,包括来源 IP 和目标 IP。 

• 同时还注明了攻击所含的数据包类型和数据包数量。 

• “Min(最小)”表示范围的第一个地址,“Max(最大)”表示范围的最后一个地址。 

• “Total Packet Count(数据包总计)”指从给定的来源 IP 和目标 IP 范围内检测到的 DoS 数据包数量。这包括全部 

误报(正常)和攻击(不良)数据包。发往特定网络的各种类型(如 TCP SYN)的所有数据包都将显示在该警报 

中。 

图 7-37 DoS IP 范围 

第一个 DoS 警报显示在触发警报前 5 秒内接收数据包的计数。随后的抑制警报显示自上一个警报以后接收的数据包 

数目。 

如果选择丢弃数据包,Sensor 将只丢弃“不良”数据包。即,如果来源 IP 地址被判定为“正常”,Sensor 就不会始终丢 

弃它发出的数据包。 

在 Threat Analyzer 中阻止攻击 

拒绝服务 


可从 Threat Analyzer 的“All Alerts(所有警报)”页中将所有攻击(除了 ICMP Echo 异常和 TCP 控制异常攻击以外)配置 

为阻止。 


7 

拒绝服务 

管理遍历 

任务 

1 右键单击攻击实例,然后单击“Show Details(显示详细信息)”。 

即会显示所选警报的警报详细信息。 

2 转到“Actions(操作)” | “Edit Attack Settings(编辑攻击设置)” | “Default Attack Settings(默认攻击设置)”。在 

“Blocking Option(阻止选项)”部分,从下拉列表中选择“Enable Blocking(启用阻止)”。 

3 对于“Block(阻止)”页中的“Drop the DoS Packets for a duration of __ minutes(丢弃 DoS 数据包持续 __ 分钟)”字 

段,输入所需的持续时间。 

4 单击“Block(阻止)”。 

5 单击“Close(关闭)”以关闭“Block(阻止)”页。 

6 在 Manager 中将 Sensor 配置更新到 Sensor(“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | 

“Device_Name(设备名称)” | “Configuration Update(配置更新)>IPS Sensor”,或选择“Admin_Domain_Name(管 

理域名称)” | “IPS Settings(IPS 设置)” | “Configuration Update(配置更新)” | “IPS Sensors”),以使阻止生效。 

图 7-38 在 Threat Analyzer 中阻止攻击 

在发生 ICMP Echo 异常和 TCP 控制异常攻击时,Sensor 只能发出警报,但不能阻止它们,即使在串联模式下也是 

如此。 

编辑 Threat Analyzer 中 DoS 警报的攻击设置 

您可以为 Threat Analyzer 中列出的 DoS 警报编辑攻击设置。 

按照以下步骤可编辑 Threat Analyzer 中攻击的攻击设置。 


任务 

1 右键单击攻击实例,然后单击“Show details(显示详细信息)”。 

2 即会显示所选警报的警报详细信息。 

3 单击“Actions(操作)” | “Edit Attack Settings(编辑攻击设置)”以查看相关选项。 

图 7-39 “Actions(操作)”选项卡 

4 单击“Local Policy(本地策略)”或“Baseline Policy(基准策略)”以查看“Edit Attack Detail(编辑攻击详细信息)”页。 

图 7-40 编辑本地策略 

拒绝服务 


单击“Edit Attack Settings(编辑攻击设置)” | “Default Attack Settings(默认攻击设置)”,可以查看“Edit Attack Details 

(编辑攻击详细信息)”页和修改“Default Attack Settings(默认攻击设置)”。通过“Default Attack Settings(默认攻击设 

置)”选项所做的修改将应用到具有相同攻击名称的所有攻击。但是,使用“Local Policy(本地策略)”或“Baseline Policy 

(基准策略)”选项对个别攻击进行的编辑将覆盖“Default Attack Settings(默认攻击设置)”。 


7 

拒绝服务 


5 根据需要编辑攻击,然后单击“OK(确定)”。 

6 在 Manager 中更新 Sensor 配置(“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Device_Name 

(设备名称)” | “Configuration Update(配置更新)>IPS Sensor”或“

4 使用以下 CLI 命令,在 Sensor 上设置最大值: 

set dospreventionseverity 

5 通过 Sensor 发送来自选定 IP 地址的流量,该流量比在学习模式期间发送的流量具有更为显著的相似性。 

6 这一操作将阻止来源 IP 地址。 

示例 

• 将 Sensor 保持在学习模式下 48 小时。 

• 将来自选定 IP 地址(例如 10.0.10.1, 198.19.0.2, 120.100.10.1, 100.10.10.11 和 99.40.10.30)的 5 Mbps UDP 

数据包类型发送到 Sensor。将 Sensor 切换到检测模式 

• 在 DoS 策略中,启用对“入站 UDP 数据包数量太多”攻击的阻止。 

• 从 10.10.0.1 发送 50 Mbps 以上的流量。 

• 此操作会阻止已学习的 IP 地址 10.10.0.1。 

DNS 欺骗保护 

通过强制 DNS 客户端使用 TCP(而不是 UDP)作为传输协议,可以保护 DNS 服务器免受 DoS 欺骗攻击侵扰。由于 

TCP 使用三方握手,当使用 TCP 时,欺骗攻击比较难以启动。 

您可以使用 CLI 命令,设置 DNS 保护模式、添加 DNS 欺骗保护 IP 地址或从受保护的服务器列表中删除现有的 DNS 

欺骗保护 IP 地址。 

set dnsprotect 

执行此命令可设置 DNS 保护模式。 

语法 

set dnsprotect 

参数描述 

将 DNS 保护模式设置为“inbound” 

将 DNS 保护模式设置为“inbound‑outbound” 

将 DNS 保护模式设置为“ip‑based” 

关闭 DNS 保护模式 

将 DNS 保护模式设置为“outbound” 

dnsprotect 

可以不考虑此设置,对受保护的目标 IP 地址的列表进行编辑。 

此命令可执行以下任务:添加新的 DNS 欺骗保护 IP 地址、从受保护的服务器列表 (PSL) 中删除现有的 NDS 欺骗保护 

IP 地址(IPv4、IPv6 或两者),以及重新列出 DNS 欺骗保护 IP 地址。 

语法: 

使用以下语法添加或删除 DNS 欺骗保护 IP 地址 

dnsprotect 

使用参数时,请使用以下语法: 

dnsprotect 

拒绝服务 

使用 CLI 命令执行与 DoS 相关的操作 7 


7 

拒绝服务 


参数描述 

add 添加新的 DNS 欺骗保护 IP 地址 

删除删除现有的 DNS 欺骗保护 IP 地址 

resetlist 重置 DNS 欺骗保护 IP 地址列表 

ipv4 表示该 IP 地址适用于 ipv4 数据包 

ipv6 表示该 IP 地址适用于 ipv6 数据包 

all 表示现有 DNS 欺骗保护 IP 地址的 resetlist 适用于 ipv4 和 ipv6。 

示例: 

以下示例显示的 dnsprotect 命令用于添加适用于 ipv4 的 DNS 欺骗保护 IP 地址。 

dnsprotect add ipv4 157.125.202.255. 

以下示例显示的 dnsprotect 命令用于重置适用于所有 IP 地址(ipv4 和 ipv6)的 DNS 欺骗保护 IP 地址的列表。 

dnsprotect resetlist all 

当 IPv6 数据包有路由标头时不能执行此命令。 

show dospreventionprofile 

执行此命令可显示为 Sensor 指定的拒绝服务防御配置文件信息,此命令采用两个参数(DoS 测量名称和流量方向)进行 

定义。 

语法: 

show dospreventionprofile 

参数描述 

表示 DoS 测量名称:“tcp‑syn”、“tcp‑syn‑ack”、“tcp‑fin”、“tcp‑rst”、“udp”、“icmp‑echo”、 

“icmp‑echo‑reply”、“icmp‑non‑echo‑reply”、“ip‑fragment”或“non‑tcp‑udp‑icmp”之一 

表示方向。可以是“inbound(入站)”或“outbound(出站)” 

示例 ‑ 命令执行: 

show dospreventionprofile tcp‑syn inbound 

show dospreventionprofile 命令中显示的信息包括 Sensor 的 DoS 配置文件以及该配置文件保护的流量方向。 

示例 ‑ 结果: 

packet type:TCP‑SYN IN (0), profile stage:still learning (0) 

long‑term average rate=0.000(pkts/s), last_rate=0.000(pkts/s) 

no attack in progress 

each line:bin_index, IP_prefix/prefix_len, AS, LT, ST, ltR(ate), stR(ate) 

• AS(%) ‑‑ percentage of the IP address space this bin occupies 

• LT(%) ‑‑ percentage of long‑term traffic that falls into this bin 

• ST(%) ‑‑ percentage of short‑term traffic that falls into this bin 

• ltRate ‑‑ long‑term average traffic rate (in pkts/s) for this bin 


配置 ACL 

• stRate ‑‑ short‑term traffic rate (in pkts/s) for this bin 

• 0: 0.0.0.0/2 AS=25.000% LT=25.000% ST=25.00% ltR=0.000 stR=0.000 

• 1: 128.0.0.0/2 AS=25.000% LT=25.000% ST=25.00% ltR=0.000 stR=0.000 

• 2: 64.0.0.0/2 AS=25.000% LT=25.000% ST=25.00% ltR=0.000 stR=0.000 

• 3: 192.0.0.0/2 AS=25.000% LT=25.000% ST=25.00% ltR=0.000 stR=0.000 

DOS prevention severity for tcp-syn-ack outbound is 30 

当执行此命令时会显示特定拒绝服务配置文件的严重性。 

语法: 

show dosPreventionseverity 

参数描述 

表示 DoS 测量名称:“tcp‑syn”、“tcp‑syn‑ack”、“tcp‑fin”、“tcp‑rst”、“udp”、“icmp‑echo”、 

“icmp‑echo‑reply”、“icmp‑non‑echo‑reply”、“ip‑fragment”或“non‑tcp‑udp‑icmp”之一 

表示方向。可以是“inbound(入站)”或“outbound(出站)” 

示例 ‑ 命令执行: 

show dospreventionseverity tcp‑syn‑ack outbound 

示例 ‑ 结果: 

DOS Prevention Severity for tcp‑syn‑ack outbound is 30 

您也可以配置 ACL 来阻止 DoS 攻击(“/IPS Settings(IPS 设置)/” | “ACL” | “ACL 

Assignments(ACL 分配)”)。 

可针对 Sensor 整体和每个单独的端口对,为任何来源 IP 地址、目标 IP 地址、特定 CIDR 块、目标协议/端口、按 TCP/ 

UDP 端口、按 ICMP 类型和按 IP 协议的组合创建 ACL。 

当允许入侵防护匹配已配置的规则时,可设置“Permit(允许)”、“Drop(丢弃)”或“Deny(拒绝)”响应操作。 


拒绝服务 

配置 ACL 7 

您可以在 Network Security Manager 的多个级别,为策略编辑器中列出的攻击自定义响应选项。这里的自定义是指启用 

或禁用在更高级别配置的给定设置,从而练习操作用来继承或不继承更高级别上设置的选项。方法是允许具有 IPS 

Administrator(IPS 管理员)或 NTBA Administrator(NTBA 管理员)角色权限的用户对每个 IPS 或 NTBA 策略中的攻 

击定义进行全面自定义,或保留该策略以供继承,从而规定要启用或禁用的设置。 

继承取决于您所处的位置。单独的策略可从全局策略中获得设置,除非在策略中有明确设置。对于 IPS,全局策略在 

Default IPS Attack Settings(默认 IPS 攻击设置)页中设置,对于 NTBA 则在 Default NTBA Attack Settings(默认 

NTBA 攻击设置)页中设置(在 5.1 版或更早版本的 Manager 中,Default IPS Attack Settings(默认 IPS 攻击设置)页 

称为 Global Attack Response Editor(全球攻击响应编辑器)‑ GARE)。全局设置则从 Network Security Platform 特征 

码中获得其设置,除非在 Default IPS Attack Settings(默认 IPS 攻击设置)或 Default NTBA Attack Settings(默认 

NTBA 攻击设置)页中有明确设置。 


7 

拒绝服务 


为理解继承,您可以假设以下层次结构: 

级别描述 

1 Network Security Platform 特征码集 

2 Default IPS Attack Settings(默认 IPS 攻击设置)或 Default NTBA Attack Settings(默认 NTBA 攻击设置)页 

中的编辑器 

3 IPS Policies(IPS 策略)、Reconnaissance Policies(侦测策略)、NTBA Policies(NTBA 策略)和 Worm 

Policies(蠕虫策略)页中的编辑器 

在下面的示例中,以图片描述了自定义的运行情况。在这里,针对 IPS 接口级别的 DoS 攻击的攻击响应已经在 Edit 

Attack Details(编辑攻击详细信息)页中进行了自定义。 

图 7-41 学习攻击详细信息 

在上述设置中: 

1 已继承了严重性。 

2 用户已明确自定义(并启用)了警报生成,否则会继承其状态。 

3 特定通知选项已继承,而且当前处于禁用状态。 

4 阻止操作也已继承,而且当前处于禁用状态。 


以下含义和先决条件应用于在 Edit Alert Details(编辑警报详细信息)页中启用警报的情境下: 

拒绝服务 

自定义攻击响应的工作方式 7 

• Enable Alert(启用警报)表示将警报从 Sensor 或 Network Threat Behavior Analysis Appliance 发送到 Manager。 

• 在管理域级别,在 Alert Notification(警报通知)选项卡中启用“Email(电子邮件)”、“Script(脚本)”、“Pager(寻呼 

机)”、SNMP 和 Syslog(“Admin_Domain_Name(管理域名称)” | “IPS Settings(IPS 设置)” | “Alert Notification(警 

报通知)”或“Admin_Domain_Name(管理域名称)” | “NTBA Settings(NTBA 设置)” | “Alert Notification(警报通 

知)”)是转发这些通知的先决条件。 

• 特定于电子邮件转发的另一个先决条件是在 Sensor 级别配置电子邮件服务器设置(“Root_Admin_Domain(根管理 

域)” | “Manager” | “Misc(其他)” | “E‑mail Server(电子邮件服务器)”)。 

利用漏洞攻击、侦测攻击、NTBA 攻击和 DoS 阈值攻击的 Edit Attack Details(编辑攻击详细信息)页包含的选项与 

上图略有差异;但是本节描述的自定义规则同样适用于上述攻击。 


7 

拒绝服务 



索引 

A 

ACL 

ACL Syslog 转发程序 165, 167 

导出 ACL 161 

导入 ACL 161 

分配 ACL 242, 257, 265, 269, 270, 285–287, 289, 296 

ACL 编辑器 59, 60, 62, 64–66, 133, 179, 194, 251, 256, 259 

B 

百分位数 356 

本手册中使用的约定和图标 7 

编辑策略 357 

部署方案 9 

部署模式 

C 

策略 

Sensor 部署; 部署 9, 10 

配置; 24 

策略继承 24, 25, 29, 42, 43, 47, 67, 68, 78, 80–82, 92, 94, 97, 99, 109–111, 

113 

策略调整 10, 11 

重新分配侦测策略 57, 79 

重组处理 162 

D 

DDoS 攻击工具 351 

丢弃攻击数据包 12 

dnsprotect 395 

DoS 

学习模式; 97 

阈值模式; 97, 100, 101, 185–188, 238, 242, 244, 246, 247, 288, 289, 321 

DoS 过滤器 375 

DoS 检测 295, 358–360, 362, 363 

DoS 检测特征码 352 

DoS 警报 349, 387 

DoS 配置 373 

DoS 配置文件限制 375 

dospreventionprofile 396, 397 

dospreventionseverity 394 

DoS 学习模式 368 

队列计数 381 

F 

分类异常 355 

G 

干扰 11 

干扰与不正确标识的比率 11 

攻击处理 354 

攻击过滤器编辑器 126, 130, 134, 189, 239, 241, 336 

管理 DoS 数据 371 

关于本手册 7 

H 

哈希函数 214, 215 

I 

IPv6 252 

iv_packetlog 表 222 

J 

解决 DDoS 攻击工具 355 

解决基于量的 DoS 354 

解决基于漏洞的 DoS 354 

接口 

创建策略来监控子接口 342, 343, 366 

CIDR 块 237, 296, 342, 343 

VLAN ID 361, 362 

为接口分配策略 337–341, 363, 365 

接口级别 383, 386 

接口节点 296, 330, 331, 334, 335 

警报 355 

警报结果状态图 13 

警报详细信息 390 

基于漏洞的 DoS 350 

技术支持, 查找产品文档 8 

L 

L3-ICMP 162 

来源 IP 353, 394, 395 

冷启动丢弃操作 14 

流 352 

流量 357, 367 

流量大小异常 356 


流量管理 

端口级别限制 184, 282 

队列 279, 280 

使用 SSL 的应用协议 87, 132, 240, 266, 281, 282 

VLAN 802.1p 标记 125, 274, 277 

流量规范化 14 

M 

Manager 17–19, 102, 208–210, 212, 213, 220 

McAfee ServicePortal, 访问 8 

P 

配置报告 281 

配置 L3 ACL 162 

配置文件污染 353 

平均警报率 218 

purge.bat 实用工具 221 

Q 

启用端口设置 275, 284, 289, 291 

R 

容量规划 216 

入站 29, 30 

S 

扫描例外 223, 224, 227, 231, 233, 260–262 

ServicePortal, 查找产品文档 8 

审核日志备注 30, 31 

设置响应敏感度 357 

设置阈值 367 

失效打开功能 

关于;失效关闭功能 235 

双重 VLAN 标记攻击 347 

双 VLAN 标记 345 

数据库大小调整 219 

数据包日志大小 217 

数据包搜索 352 

数据库警报阈值 219 

SPAN/集线器工作模式 

部署 I-1200;I-1200 Sensor 10 

SSL 最佳方法 17, 40, 184 

速率限制 379 

索引 

SYN Cookie 165 

T 

TCP 设置 376, 384 

特征码 352 

V 

VLAN 标识符或 VID 345, 346 

W 

未经授权的访问 35 

Threat Analyzer 中的攻击设置 392 

文档 

X 

印刷约定和图标 7 

本手册面对的读者 7 

指定产品, 查找 8 

响应敏感度 357 

协议分析 352 

学习 353 

Y 

严重性 33, 135, 183, 217, 251, 255, 272 

应对 DoS 的方法 351 

用户注释 

查看备注 42, 227 

覆盖备注 40 

附加备注 38 

与 DoS 相关的 CLI 命令 394 

约定 23, 67, 188, 195, 197, 199–202, 204, 205, 208, 216, 237, 262, 263, 340, 

342 

阈值 353 

Z 

在 Threat Analyzer 中阻止 391 

侦测 35 

侦测策略编辑器 48, 53–55 

自定义攻击响应 397 

阻止 356, 366, 371 

阻止 DoS 流量 13 

阻止利用漏洞攻击 13 


700-3578A11

Network Security Platform 7.0 IPS Administration Guide - McAfee

Create successful ePaper yourself

Delete template?

Save as template?