Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
3<br />
如何管理 <strong>IPS</strong> 设置<br />
如何配置和管理策略<br />
一旦达到预定义的阈值,Sensor 就会发出连接限制警报。因此,首次警报的“Exceed Connection Count(超出连接总<br />
数)”始终显示为 1。如果流量持续,并且在警报超时间隔后再次触发警报(针对同一连接限制策略),那么下一次警报中<br />
显示的“Exceed Connection Count(超出连接总数)”等于 Sensor 在这两次警报时间间隔之间监控到的超出连接总数。<br />
如果流量持续时间不够长,没有达到下一次警报时间间隔,则不会再次触发连接限制警报。在这种情况下,即使连接超<br />
出了配置的阈值,也不会收到限制。<br />
连接限制主机条目耗尽警报<br />
根据定义的阈值限制连接,但不会发出警报。<br />
CLI 命令<br />
以下命令用于调试连接限制策略。<br />
• show connlimitstat ‑ 显示连接限制统计数据<br />
• show connlimithost ‑ 显示连接限制主机表统计数据<br />
• clrconnlimithost ‑ 清除连接限制主机表<br />
有关详细信息,请参阅“<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> CLI 手册”。<br />
连接限制策略的限制<br />
连接限制策略的主要限制包括:<br />
• 仅适用于 IPv4 流量(对于基于 GTI 的规则)。<br />
基于协议的规则对于 IPv4 流量和 IPv6 流量均适用。<br />
• 在任何规则中定义的阈值均基于来源 IP。<br />
• 对于每个 Sensor,最多可定义 1024 条规则。<br />
下表显示不同的 Sensor 型号所支持的最大主机条目数。<br />
Sensor 型号 支持的最大主机条目数<br />
M‑2750、M‑2850、M‑2950、M‑3050、M‑4050、M‑6050 和 M‑8000 256,000<br />
M‑1250 和 M‑1450 128,000<br />
连接限制规则的限制<br />
本节介绍了有关连接限制规则的限制的详细信息。<br />
• 连接速率取样时间<br />
• 针对连接速率监控的流量取样时间为 10 秒。这意味着如果您定义每秒发送 5 个连接,那么 10 秒内只能发送<br />
50 个连接。因此,如果您发送的连接数超出 50 个,就会发出警报。<br />
• 故障转移设置<br />
• 在故障转移设置中,每个 Sensor 根据其自身的系统时间监控流量。由于每个 Sensor 的系统时间有所不同,因<br />
此每个 Sensor 对流量进行取样的时间会不尽相同。这可能会导致每个 Sensor 的连接限制响应操作不匹配。<br />
• 新主机速率<br />
• 每个 Sensor 型号都有每秒能处理的最大新主机数量的限制。如果新主机速率超出这个值,Sensor 将无法限制连<br />
接。<br />
• IPv6 流量<br />
• 基于协议的连接限制规则类型对于 IPv4 流量和 IPv6 流量均适用。GTI 不支持 IPv6 流量,因此基于 GTI 的连接<br />
限制规则类型仅适用于 IPv4 流量。<br />
124 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册
Change language