Network Security Platform 7.0 IPS Administration Guide - McAfee

More documents

Recommendations

Info

1 拦截攻击计划 IPS 部署拦截攻击干扰与不正确标识的比率可能相当高,特别是在以下情况下: • 配置的策略包括许多信息性警报,或扫描基于请求活动(例如综合策略)的警报 • 在有大量恶意通信的位置(例如在防火墙前)部署链路 • 过度粗糙的流量 VIDS 定义,其中包含截然不同的应用程序。例如,专用接口模式的高度集中链路用户可以通过定义适当的 VIDS 并相应地自定义策略来有效地管理干扰级别。要处理例外主机(例如专用 pentest 计算机),还可以使用警报过滤器。只有以串联模式运行的 Sensor 具有丢弃和拒绝的功能。阻止利用漏洞的最有效方式是自定义一个或多个 Network Security Platform 的“IPS Policies(IPS 策略)”,以主动丢弃恶意流量。默认情况下,Network Security Platform 的预配置策略之一包含此功能。当 Sensor 首次添加到 Manager 时,“Default Inline IPS policy(默认串联 IPS 策略)”会自动应用于 Sensor 接口。该策略包含大量被 Network Security Platform 归类为“建议智能阻止”(RFSB) 的攻击,并且预配置了丢弃攻击数据包响应。根据所提供的其他策略,默认的 Sensor 响应是发送警报和日志数据包。阻止的第一步通常是阻止尚未造成误报,但是具有高严重性级别和低良性触发几率的攻击。当您知道要阻止哪些攻击时, 可配置策略以执行针对这些攻击的丢弃攻击数据包响应。阻止攻击的方法 Network Security Platform IPS 提供多种阻止恶意流量的方法。这些选项包括: • 阻止利用漏洞流量(基于策略配置) • 阻止 DoS 流量(基于行为的检测) • 阻止使用防火墙策略(基于配置的访问规则) • 利用 Network Security Platform 的流量规范化功能,基于配置的 TCP 流违规阻止(无序的数据包,拒绝...) • 阻止 IP 欺骗数据包(已配置) 阻止利用漏洞流量攻击过滤器可配置为覆盖阻止标准,例如,允许特殊来源 IP。利用漏洞是指通过一组参数或规则发现的与数据包内的数据相匹配的攻击。特征码是用于匹配违规数据包中的数据的特定字符串,是发现利用漏洞的关键方法。一个攻击可以具有多个特征码,因此需启用多个攻击检测机会。使用策略编辑器,可以通过从“/My Company(我的公司)/IPS Settings(IPS 设置)” | “Policies(策略)” | “IPS Policies (IPS 策略)”部分选择“Drop Packets(丢弃数据包)”来选择要阻止的特定攻击。 12 McAfee ® Network Security Platform 7.0 IPS 管理手册
如何阻止利用漏洞流量 • Sensor 根据流量方向(通过 Sensor 的电缆连接和端口配置决定)应用配置的入站或出站策略。 • Sensor 分析流量,并基于策略确定流量是“正常”(与策略中配置的攻击不匹配)还是“不良”(与策略中配置的攻击匹配)。如果流量为恶意,则 Sensor 会应用配置的“丢弃数据包”操作。当 Network Security Platform 识别出一个恶意流时,它只会阻止此流,而不会阻止所有来自来源 IP 的流量(Sensor 行为与防火墙的行为不同)。 • 对于 UDP 和 ICMP 流量,只会阻止攻击数据包。对于 TCP 流量,则会阻止整个攻击流,我们建议您另外在策略中配置一个 TCP 重置操作,以重置该流。在串联时,TCP 重置始终从串联端口发出。当将设备配置为 Tap 模式或 SPAN 模式时使用响应端口。使用 Threat Analyzer 验证丢弃的利用漏洞攻击 Threat Analyzer 的“Consolidated View(综合视图)”内的“Alert Result Status(警报结果状态)”图显示了由目标响应(即 “Successful(成功)”、“Failed(失败)”)或 Network Security Platform 操作(即“Blocked(已阻止)”)确定的检测攻击结果。“Blocked(已阻止)”具体指由于策略响应设置已被丢弃的攻击。在 Threat Analyzer 查询内,您可以看到在查询期间已被阻止的攻击数量。 • 对于每个已阻止的攻击,结果状态“Blocked(已阻止)”将增加。 • 如果在特定警报中按“Status(状态)”深入分析,则结果状态将显示为“Blocked(已阻止)”。阻止 DoS 流量拒绝服务 (DoS) 攻击通过将大量虚假流量发送给目标系统或主机,使系统缓冲区溢出以至于必须脱机修复,从而中断其网络服务。Sensor 在应对 DoS 攻击方面有基于学习和基于阈值两种功能。Sensor 使用复杂的算法区分恶意 DoS 数据包和正常数据包,并在以串联模式运行时丢弃恶意数据包。 Sensor 必须处于检测模式才能检测和阻止攻击。如何阻止 DoS 流量 DoS 策略适用于入站、出站或双向流量。入站流量是在串联模式中标为“Outside(外部)”的端口所收到(即来自网络外部)的流量。通常入站流量都发往受保护网络,如企业内部网。出站流量是从企业内部网的系统发出、在串联模式中标为“Inside(内部)”的端口上(即来自网络内部)的流量。双向攻击反映入站和出站方向 ECHO 请求和回复的分配中发生变化的攻击。例如,如果 Sensor 通常检测到 50% 的入站回复和 50% 的出站回复,但随后分配更改为 70%/30%,则此变化可能引发警报。另外还有一种称为学习模式的攻击,没有任何特定的方向性,具体地说就是 ICMP ECHO 异常和 TCP 控制异常。请注意,这些攻击无法阻止。根据流量方向将 Sensor 应用于入站或出站 DoS 策略(这是通过 Sensor 电缆连接和端口配置确定的)。在 DoS 策略中, 必须按流量类型(协议类型)启用“Drop attack packets(丢弃攻击数据包)”响应操作。当 Sensor 检测到攻击流量状况时,阻止操作将持续到攻击状况结束为止,并且只要存在攻击状况就会随时重复阻止操作。使用 Threat Analyzer 验证已阻止的 DoS 攻击在发生攻击这段时间,将持续向 Threat Analyzer 发送反映 DoS 情况的警报。在 Threat Analyzer 中,在发生攻击情况的这段时间,结果状态显示“Blocking activated(已激活阻止)”。从 Threat Analyzer 丢弃 DoS 攻击计划 IPS 部署拦截攻击 1 通过 IPS 策略编辑器,您可以有选择性地丢弃 DoS 学习模式攻击,但是如果您尚未设置丢弃响应,Threat Analyzer 会提供在已检测到近期攻击后丢弃其余 DoS 攻击的功能。 McAfee ® Network Security Platform 7.0 IPS 管理手册 13
Page 1 and 2: IPS 管理手册修订版 A McAfee
Page 3 and 4: 目录前言 7 关于本手册 . .
Page 5 and 6: 如何为 IPS Sensor 配置防火
Page 7 and 8: 前言本手册将提供配置、
Page 9 and 10: 1 计划 IPS 部署 IPS 部署可
Page 11: 调整策略提供默认 Network S
Page 15 and 16: | “IP Settings(TCP 设置)”操
Page 17 and 18: 2 理解 IPS 策略安全策略或
Page 19 and 20: 如何设置针对攻击的通知
Page 21 and 22: 保护类别具有两个级别。
Page 23 and 24: 3 如何管理 IPS 设置 “IPS Se
Page 25 and 26: “IPS Policies(IPS 策略)”选
Page 27 and 28: 字段名描述 “Rule Set(规则
Page 29 and 30: 应用规则集任务 • 添加
Page 31 and 32: 在“Summary(摘要)”窗口中
Page 33 and 34: 3 单击链接以查看该页面。
Page 35 and 36: 影响类别影响子类别 •
Page 37 and 38: 表 3-2 (续) 类别描述 Sensiti
Page 39 and 40: 3 选择“Annotations of Parent Ad
Page 41 and 42: 3 从“Annotations of Parent Admin
Page 43 and 44: 3 单击“Clone(复制)”。 4
Page 45 and 46: 3 单击“Bulk Edit(批量编辑)
Page 47 and 48: 11 单击窗口底部的“OK(确
Page 49 and 50: 任务 1 选择“IPS Settings(IPS
Page 51 and 52: 弹出窗口显示攻击的详细
Page 53 and 54: 12 在“Enter Comment(输入备注
Page 55 and 56: 如何对侦测策略使用批量
Page 57 and 58: • “Delete(删除)”:删除该
Page 59 and 60: 8 在搜索结果中,选择一个
Page 61 and 62: 5 选择一个攻击,然后单击
Page 63 and 64:
任务 1 在 Manager 中,选择“I
Page 65 and 66:
在规则集中配置智能阻止
Page 67 and 68:
任务 1 在 Manager 中,选择“/
Page 69 and 70:
任务 1 选择“IPS Settings(IPS
Page 71 and 72:
9 选择“Include(包含)”或“
Page 73 and 74:
12 单击“Protocol(协议)”选
Page 75 and 76:
14 单击“Application(应用程
Page 77 and 78:
17 单击“SmartBlocking(智能阻
Page 79 and 80:
3 单击“Delete(删除)”。 4
Page 81 and 82:
默认串联 IPS 策略 • “Poli
Page 83 and 84:
该表包括以下列: • “Proto
Page 85 and 86:
• 在“Configure Attack Details(
Page 87 and 88:
• “Signature Desc(特征码描
Page 89 and 90:
选择是否要将“Attack Name Se
Page 91 and 92:
• “软件第 2 版”:从下拉
Page 93 and 94:
4 单击“Edit Attack Details for
Page 95 and 96:
5 在“Notifications(通知)”区
Page 97 and 98:
学习模式阈值模式在学习
Page 99 and 100:
字段名字段描述 “Sensor Re
Page 101 and 102:
5 系统会自动选中“Transport
Page 103 and 104:
Page 105 and 106:
6 双击“IGSetup.exe”。图 3-
Page 107 and 108:
10 双击“IG_setup.exe” 图 3-8
Page 109 and 110:
任务 1 转到“开始” | “
Page 111 and 112:
选择要导入的策略导入和
Page 113 and 114:
完成策略导入在所有这三
Page 115 and 116:
• Alert & Deny Excess Connections
Page 117 and 118:
• Ping (ICMP echo Request)(Ping(I
Page 119 and 120:
GTI 不支持 XFF IP,因此所有 G
Page 121 and 122:
• Move Up(上移) • Move Down(
Page 123 and 124:
• Alert Only(仅发出警报) •
Page 125 and 126:
• SPAN 端口 • 连接限制规
Page 127 and 128:
此时会显示“Add an Attack Fil
Page 129 and 130:
7 对于来源和目标 IP 地址
Page 131 and 132:
“Attack Filter Assignments(攻击
Page 133 and 134:
“Filter Assignment: (过滤器分
Page 135 and 136:
防火墙策略 4 选择要导入
Page 137 and 138:
如何管理 IPS 设置防火墙
Page 139 and 140:
• Sensor 的物理端口。 •
Page 141 and 142:
这些应用程序特征码捆绑
Page 143 and 144:
假设用户尝试访问已知的 G
Page 145 and 146:
• 在“Show(显示)”列表中
Page 147 and 148:
添加应用程序组任务 1 开
Page 149 and 150:
添加网络组任务 1 输入有
Page 151 and 152:
添加服务组任务 1 选择“I
Page 153 and 154:
3 输入 DNS 后缀。您可以输
Page 155 and 156:
添加访问规则查看防火墙
Page 157 and 158:
i 单击“OK(确定)”。 j 要
Page 159 and 160:
4 单击“Save(保存)”。 5 进
Page 161 and 162:
5 单击“Save(保存)”。如
Page 163 and 164:
8 在“Application(应用程序)
Page 165 and 166:
限制 • 只有在“TCP flow vio
Page 167 and 168:
9 单击“Save(保存)”。单
Page 169 and 170:
任务 1 在 Manager 中,选择“I
Page 171 and 172:
任务 1 转到“IPS Settings(IPS
Page 173 and 174:
对于子接口,您只能从其所
Page 175 and 176:
当创建接口时,启发式 Web
Page 177 and 178:
4 单击“Save(保存)”以保存
Page 179 and 180:
当 Sensor 检测到了自定义的
Page 181 and 182:
2 在“GTI”部分下方,您可
Page 183 and 184:
6 单击“Manage File Types(管理
Page 185 and 186:
如何启用安全套接字层 (SSL
Page 187 and 188:
Page 189 and 190:
下面是在 Manager 中进行 IPS
Page 191 and 192:
9 要对由于此攻击而隔离的
Page 193 and 194:
5 选择所需的攻击数目(例
Page 195 and 196:
请查看以下内容了解 IPS 隔
Page 197 and 198:
4 如果需要将配置继承到子
Page 199 and 200:
• “Description(描述)”:规
Page 201 and 202:
任务 1 从资源树中,选择“I
Page 203 and 204:
3 选择“Next(下一步)”。
Page 205 and 206:
您可以针对“Quarantine Durati
Page 207 and 208:
表 3-6 (续) 字段名描述 Host
Page 209 and 210:
对警报和数据包日志进行
Page 211 and 212:
如果选择“Weekly(每周)”,
Page 213 and 214:
2 执行以下任一操作: a 单
Page 215 and 216:
4 通过以下两种方式指定要
Page 217 and 218:
容量规划 Manager 中的“Capac
Page 219 and 220:
数据库大小要求我们根据
Page 221 and 222:
d 单击“Calculate(计算)”。
Page 223 and 224:
“Manager Cache(Manager 缓存)”
Page 225 and 226:
3 单击“New(新建)”。 “SNM
Page 227 and 228:
修改或删除 SNMP 服务器设
Page 229 and 230:
表 3-8 Syslog ‑ 配置选项字
Page 231 and 232:
• 单击“Save(保存)”,返回
Page 233 and 234:
单击“Save(保存)”返回到
Page 235 and 236:
更新设备配置 “Configuration
Page 237 and 238:
4 在 Sensor 级别配置 IPS 策
Page 239 and 240:
6 单击“Save(保存)”。弹
Page 241 and 242:
“Filter Assignment: (过滤器分
Page 243 and 244:
任务 1 单击“IPS Settings(IPS
Page 245 and 246:
如果网络流量随时间自然
Page 247 and 248:
任务 • 选择“IPS Settings(IP
Page 249 and 250:
配置 TCP 设置此操作只能
Page 251 and 252:
TCP 参数描述 SYN Cookie SYN Co
Page 253 and 254:
要编辑参数,请指定新的参
Page 255 and 256:
另请参阅 Jumbo Frame 解析第
Page 257 and 258:
2 在“Common IP Parameters(常见
Page 259 and 260:
2 在“OS Finger Printing(操作
Page 261 and 262:
Page 263 and 264:
Network Security Platform 支持使
Page 265 and 266:
您可以右键单击“Host(主机
Page 267 and 268:
5 在“Type(类型)”中选择“
Page 269 and 270:
虽然两个规则中的来源是
Page 271 and 272:
Page 273 and 274:
已用 CIDR 地址分配方式细
Page 275 and 276:
速率限制用于控制通过网
Page 277 and 278:
队列计数队列计数是指为
Page 279 and 280:
6 为新的流量管理队列输入
Page 281 and 282:
任务 1 从资源树中,选择“I
Page 283 and 284:
表 4-2 Sensor 受限端口 I‑401
Page 285 and 286:
如何启用 SSL 解密适用于 D
Page 287 and 288:
6 输入“SSL Cache Timer(SSL 缓
Page 289 and 290:
6 单击“Apply(应用)”。弹
Page 291 and 292:
在 Manager 中,要在 Sensor 端
Page 293 and 294:
NTBA 选项卡中的第 7 层数据
Page 295 and 296:
5 在接口和子接口级别配置
Page 297 and 298:
接口节点可通过导航到“IP
Page 299 and 300:
另请参阅自定义本地 IPS
Page 301 and 302:
5 通过启用以下“Edit(编辑)
Page 303 and 304:
10 选择“Reset(重置)”并单
Page 305 and 306:
在接口级别分配连接限制
Page 307 and 308:
4 单击“Save(保存)”。 5 验
Page 309 and 310:
此时会打开“Advanced Botnet D
Page 311 and 312:
所提供选项如下所示: • Re
Page 313 and 314:
3 单击“File Reputation ‑ GTI
Page 315 and 316:
3 即会打开“Configure Policy(
Page 317 and 318:
对于子接口,您只能从其所
Page 319 and 320:
4 单击“Save(保存)”以保存
Page 321 and 322:
当 Sensor 检测到了自定义的
Page 323 and 324:
步骤: a 转到“IPS Settings(IPS
Page 325 and 326:
Page 327 and 328:
Page 329 and 330:
检查 X-Forwarder-For 报头信息
Page 331 and 332:
查看接口详细信息要查看
Page 333 and 334:
3 在新的“VLAN”或“CIDR”
Page 335 and 336:
创建子接口如果有 VLAN、
Page 337 and 338:
查看接口上应用的 DoS 策略
Page 339 and 340:
分配 ACL 规则可以在接口
Page 341 and 342:
• Assigned Policy(分配的策略
Page 343 and 344:
创建子接口时,您可以指定
Page 345 and 346:
6 使用 IPS 检测带有双重 VLA
Page 347 and 348:
McAfee ® Network Security Platform
Page 349 and 350:
7 拒绝服务 7 拒绝服务 (DoS)
Page 351 and 352:
DDoS 攻击工具 DDoS 攻击可通
Page 353 and 354:
基于阈值的模式在阈值模
Page 355 and 356:
警报解决利用 DDoS 攻击工
Page 357 and 358:
了解策略编辑选项 “Edit IP
Page 359 and 360:
创建 DoS 策略时,必须注意
Page 361 and 362:
VLAN 假定端口 1A 的流量为 V
Page 363 and 364:
3 在“IP Address(IP 地址)”字
Page 365 and 366:
请注意,在提交所做的更改
Page 367 and 368:
IPS 设置级别的选项在 Manag
Page 369 and 370:
3 单击“DoS Attacks(DoS 攻击)
Page 371 and 372:
7 在“Sensor Response(Sensor 响
Page 373 and 374:
• “DoS Profile Upload and Resto
Page 375 and 376:
以下信息可帮助您理解该
Page 377 and 378:
任务 1 单击“Admin_Domain_Name
Page 379 and 380:
TCP 参数描述 “Outbound Thres
Page 381 and 382:
队列计数 “Queue Count(队列
Page 383 and 384:
字段描述 “UDP Port(UDP 端
Page 385 and 386:
3 选择想要自定义的攻击,
Page 387 and 388:
单击“View(查看)”以查看
Page 389 and 390:
2 即会显示所选警报的警报
Page 391 and 392:
• “Threshold Duration(阈值持
Page 393 and 394:
任务 1 右键单击攻击实例,
Page 395 and 396:
4 使用以下 CLI 命令,在 Senso
Page 397 and 398:
配置 ACL • stRate ‑‑ short
Page 399 and 400:
以下含义和先决条件应用
Page 401 and 402:
索引 A ACL ACL Syslog 转发程
Page 403:
700-3578A11
show all

Network Security Platform 7.0 IPS Administration Guide - McAfee

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?