Network Security Platform 7.0 IPS Administration Guide - McAfee

• SPAN 端口
• 连接限制规则适用于 SPAN 端口。如果 CIDR 不是针对 SPAN 端口定义的,则入站连接限制规则将适用于
SPAN 端口上的所有流量。如果 CIDR 是针对 SPAN 端口定义的,则流向 CIDR 的流量将被视为入站流量,而来
自 CIDR 的流量被视为出站流量。
• IP 信誉
• 必须为 GTI 规则类型启用 GTI IP 信誉。
• 无状态检查
• 连接限制适用于无状态检查。
如何管理攻击过滤器和攻击响应
攻击过滤器是用来过滤 IPv4 或 IPv6 流量中的攻击/攻击响应的规则,此过滤器基于来源 IP 地址、目标 IP 地址或两者。
您还可以定义基于端口的攻击过滤器,除了来源 IP 或目标 IP 地址外,此过滤器还基于源或目标端口(TCP/UDP 端口)
来过滤攻击。
在 Manager 中,您可以从“IPS Settings(IPS 设置)”节点定义攻击过滤器,并将这些过滤器分配给 Sensor 和 Sensor
接口。在域级别定义的攻击过滤器将与属于该域的所有 Sensor 关联。同样,在 Sensor 级别定义的攻击过滤器将与属于
该 Sensor 的所有接口/子接口相关联。
您可以在 Manager 中定义以下攻击过滤器类型:
• “IPv4”:无任何源/目标端口设置的 IPv4 攻击过滤器
• “IPv6”:无任何源/目标端口设置的 IPv6 攻击过滤器
• “TCP/UDP port(TCP/UDP 端口)”:仅具有源/目标端口设置的攻击过滤器
• “IPv4 with TCP/UDP port(带 TCP/UDP 端口的 IPv4)”:具有源/目标端口设置的 IPv4 攻击过滤器
• “IPv6 with TCP/UDP port(带 TCP/UDP 端口的 IPv6)”:IPv6 攻击过滤器源/目标端口设置
最后三个攻击过滤器(“TCP/UDP Port(TCP/UDP 端口)”、“IPv4 with TCP/UDP Port(带 TCP/UDP 端口的 IPv4)”,以
及“IPv6 with TCP/UDP Port(带 TCP/UDP 端口的IPv6)”)基于源或目标 TCP/UDP 端口设置。
在定义攻击过滤器时,您可以为源或目标 IP 地址设置选择下面的任一标准:
• 任意 IP 地址 • IP 地址范围
• 任意内部 IP 地址 • 单个 IP 地址
• 任意外部 IP 地址
对于基于端口的攻击过滤器类型(“TCP/UDP Port(TCP/UDP 端口)”、“IPv4 with TCP/UDP Port(带 TCP/UDP 端口的
IPv4)”和“IPv6 with TCP/UDP Port(带 TCP/UDP 端口的 IPv6)”),可以在“Source port(源端口)”和“Destination port
(目标端口)”设置中选择下面的任一选项:
• Any port(任意端口)
• TCP/UDP Port(TCP/UDP 端口)
• TCP port(TCP 端口)
• UDP port(UDP 端口)
如何管理 IPS 设置
如何管理攻击过滤器和攻击响应 3
McAfee ® Network Security Platform 7.0 IPS 管理手册 125