Network Security Platform 7.0 IPS Administration Guide - McAfee

More documents

Recommendations

Info

3 如何管理 IPS 设置防火墙策略高级经典支持设备运行软件 7.0 版或更高版本的 M 系列 Sensor。所有 Sensor 型号。用来过滤流量来源或目标的选项您可以基于以下选项来过滤来源或目标: • 国家/地区 • 主机所属的 IPv4 地址范围 • 主机的 DNS 名称 • 网络或网络组 • 主机的 IPv4 地址用来过滤流量的选项您可以基于以下选项来过滤流量: 用来基于时间实施防火墙策略的选项。用来为每个防火墙策略组件指定多个条件的选项。防火墙策略组件 • 一个特定的第 7 层应用程序,或者一组第 7 层应用程序。例如,您可以在允许使用 Yahoo! Mail 的同时过滤出 Yahoo! Games。这些应用程序可以位于标准或自定义通信端口上。 • IP 协议或 TCP/UDP 端口编号。您可以基于以下选项来过滤来源或目标: • 主机的 IPv4 地址 • 网络有。例如,Sensor 可以仅在每个周末实施策略。没有。有。例如,在防火墙规则中,您可以指定以下任一条件作为流量的来源: • 10.0.0.0/8 网络 • 192.168.10.10 主机 • 192.168.20.10 , 本节介绍了组成防火墙策略的各种组件。在继续操作前,请先熟悉这些组件。您可以仅根据 IP 协议或 TCP/UDP 端口号过滤流量。没有。对每个策略组件, 只能指定一个条件。防火墙策略:表示网络安全策略,Sensor 根据这些策略允许或阻止流量进出网络。如前文所述,防火墙策略有两种 ‑ 高级和经典。访问规则:访问规则是防火墙策略的构造块。访问规则是访问规则列表 (ACL),是排序的规则集,它定义了允许的流量和阻止的流量。规则对象:使用规则对象可以定义访问规则。规则对象映射到一个或多个与网络流量相关的组件。规则对象的示例包括应用程序、来源主机和目标主机、来源网络和目标网络等。因此,例如,您可以对 IPv4 地址集进行分组以创建规则对象,然后可以创建访问规则,在其中将此规则对象指定为流量来源或目标。每次要在访问规则中引用此 IP 地址集时, 您只需使用此规则对象。对于高级防火墙策略,您可以为访问规则的每个组件指定多个规则对象。例如,您可以将多个规则对象指定为流量来源。对于经典防火墙策略,您只能为每个组件指定一个规则对象。同样,经典防火墙策略中使用的规则对象中只能含有一个项目。例如,您想在经典策略中使用的主机 IPv4 规则对象中只能包含一个 IPv4 地址。以下是当前可用的规则对象类型: • Applications(应用程序):表示 Sensor 可检测到的各种软件程序。Manager 从特征码集派生应用程序列表。您不能修改可用应用程序的列表。应用程序只与高级防火墙策略关联。如果 McAfee Labs 弃用了在防火墙策略中使用的某个应用程序,则系统会发出严重性为“警告”的故障消息。您必须稍后在策略中删除或修改这些规则;否则,特征码集将无法推送到 Sensor。 • Application on Custom Port(自定义端口上的应用程序):当应用程序在特定端口上通信时,您可以使用此规则来检测该应用程序。例如,如果您希望 Sensor 检测在端口 2021 上的 FTP,则自定义端口上的应用程序只与高级防火墙策略关联。 136 McAfee ® Network Security Platform 7.0 IPS 管理手册
如何管理 IPS 设置防火墙策略 3 • Application Group(应用程序组):如果预定义的应用程序组无法满足您的要求,您可以自己创建。您可以创建一个应用程序组,以将一个以上的“Application(应用程序)”与“Application on Custom Port(自定义端口上的应用程序)” 规则对象组合起来。一般情况下,可以为需要 Sensor 以相似方式处理的应用程序创建一个应用程序组。例如,可以将与 Internet 游戏相关的所有应用程序组合在一起,形成一个应用程序组。最多可以将 10 个项目分到一个应用程序组中。应用程序组只与高级防火墙策略关联。您可以将“Application(应用程序)”和“Application on Custom Port(自定义端口上的应用程序)”规则对象组合起来,以形成一个应用程序组。您不能将应用程序组包含在另一个应用程序组中。 • Country(国家/地区):“Country(国家/地区)”规则对象使您能够基于来源或目标国家/地区允许或阻止流量。 Sensor 根据映射到国家/地区的 CIDR,识别来自或发往这些国家/地区的流量。国家/地区只与高级防火墙策略关联。国家/地区与 CIDR 的映射信息来源于 MaxMind 的地理位置数据库。您不能手动修改或更新此国家/地区的列表。 McAfee 通过特征码集对此国家/地区与 CIDR 的映射列表进行更新。在 Sensor 的 CLI 中,使用 Status 命令,查看 Sensor 中是否含有地区位置数据库。 • Host IPv4(主机 IPv4):您可以创建想在防火墙规则中使用的来源和目标 IPv4 地址的列表。您最多可以在规则对象中指定 10 个地址。 • Host DNS Name(主机 DNS 名称):您可以创建想在防火墙规则中使用的来源和目标主机名称的列表。Sensor 与您配置的 DNS 服务器取得联系,以将这些名称解析为 IP 地址。例如,您可以为 facebook.com、faceparty.co.uk 和 ibibo.com 创建“Host DNS Name(主机 DNS 名称)”规则对象。您可以在一个规则对象中添加 10 个主机 DNS 名称。主机 DNS 名称只适用于高级防火墙策略。 Sensor 只使用 UDP(并且从不依靠 TCP)进行 DNS 查询,即便 DNS 服务器强制实施 TCP 也是如此。 • IPv4 address range(IPv4 地址范围):您可以创建 IPv4 地址列表,以在防火墙规则中使用。在规则中,您可以指定一个 IPv4 地址范围作为流量来源或目标。例如,您可以将一个规则应用于从 10.1.1.1 到 10.1.1.25 范围之间的流量。此规则对象只适用于高级防火墙策略。您最多可以在规则对象中指定 10 个范围。 • Network(网络):您可以创建 CIDR 地址列表,以在防火墙规则中使用。在规则中,您可以指定 CIDR 作为流量来源或目标。例如,您可以将一个规则应用于针对 172.16.225.0/24 网络的流量。根据 RFC 1918 保留的三个 IPv4 范围作为默认网络提供。您最多可以在规则对象中指定 10 个 CIDR。 • Network Group(网络组):您可以将一个或多个国家/地区、主机 IP、主机名称、IP 范围或网络组合起来,形成一个网络组。例如,您可以将所有北美国家/地区和多个 IP 范围组合起来,形成一个“Network Group(网络组)”规则对象。此规则对象只适用于高级防火墙策略。您最多可以在一个“Network Group(网络组)网络组”规则对象中指定 10 个项目。 • Finite Time Period(有限时间段):您可以将 Sensor 配置为只在特定时间段内不断地强制实施防火墙规则。例如, 您可以从今年 6 月 10 日上午 9 点到今年 6 月 11 日上午 10 点强制实施一个规则。为此,您需要创建一个“Finite Time Period(有限时间段)”规则对象,指定开始时间和日期以及结束时间和日期。包含开始时间和结束时间。 “Finite Time Period(有限时间段)”只适用于高级防火墙策略。在一个防火墙访问规则中只能指定一个“Finite Time Period(有限时间段)”规则对象。当使用基于时间的规则对象时,请确保已配置了相应的“Time Zone(时区)”。Sensor 会根据需要自动考虑夏令时因素。在 Manager 中,GMT 为默认时区。 • Recurring Time Period(循环时间段):您可以按某些时间频率反复地强制实施防火墙规则。例如,您可以在所有工作日的上午 9 点到下午 5 点强制实施一个规则。使用此规则对象以反复地强制实施一个规则。要强制实施某个规则仅一次,请使用“Finite Time Period(有限时间段)”规则对象。当使用基于时间的规则对象时,请确保已配置了相应的“Time Zone(时区)”。请注意,Sensor 会根据需要自动考虑夏令时因素。“Recurring Time Period(循环时间段)”只适用于高级防火墙策略。 McAfee ® Network Security Platform 7.0 IPS 管理手册 137
Page 1 and 2:
IPS 管理手册修订版 A McAfee
Page 3 and 4:
目录前言 7 关于本手册 . .
Page 5 and 6:
如何为 IPS Sensor 配置防火
Page 7 and 8:
前言本手册将提供配置、
Page 9 and 10:
1 计划 IPS 部署 IPS 部署可
Page 11 and 12:
调整策略提供默认 Network S
Page 13 and 14:
如何阻止利用漏洞流量 •
Page 15 and 16:
| “IP Settings(TCP 设置)”操
Page 17 and 18:
2 理解 IPS 策略安全策略或
Page 19 and 20:
如何设置针对攻击的通知
Page 21 and 22:
保护类别具有两个级别。
Page 23 and 24:
3 如何管理 IPS 设置 “IPS Se
Page 25 and 26:
“IPS Policies(IPS 策略)”选
Page 27 and 28:
字段名描述 “Rule Set(规则
Page 29 and 30:
应用规则集任务 • 添加
Page 31 and 32:
在“Summary(摘要)”窗口中
Page 33 and 34:
3 单击链接以查看该页面。
Page 35 and 36:
影响类别影响子类别 •
Page 37 and 38:
表 3-2 (续) 类别描述 Sensiti
Page 39 and 40:
3 选择“Annotations of Parent Ad
Page 41 and 42:
3 从“Annotations of Parent Admin
Page 43 and 44:
3 单击“Clone(复制)”。 4
Page 45 and 46:
3 单击“Bulk Edit(批量编辑)
Page 47 and 48:
11 单击窗口底部的“OK(确
Page 49 and 50:
任务 1 选择“IPS Settings(IPS
Page 51 and 52:
弹出窗口显示攻击的详细
Page 53 and 54:
12 在“Enter Comment(输入备注
Page 55 and 56:
如何对侦测策略使用批量
Page 57 and 58:
• “Delete(删除)”:删除该
Page 59 and 60:
8 在搜索结果中,选择一个
Page 61 and 62:
5 选择一个攻击,然后单击
Page 63 and 64:
任务 1 在 Manager 中,选择“I
Page 65 and 66:
在规则集中配置智能阻止
Page 67 and 68:
任务 1 在 Manager 中,选择“/
Page 69 and 70:
Page 71 and 72:
9 选择“Include(包含)”或“
Page 73 and 74:
12 单击“Protocol(协议)”选
Page 75 and 76:
14 单击“Application(应用程
Page 77 and 78:
17 单击“SmartBlocking(智能阻
Page 79 and 80:
3 单击“Delete(删除)”。 4
Page 81 and 82:
默认串联 IPS 策略 • “Poli
Page 83 and 84:
该表包括以下列: • “Proto
Page 85 and 86: • 在“Configure Attack Details(
Page 87 and 88: • “Signature Desc(特征码描
Page 89 and 90: 选择是否要将“Attack Name Se
Page 91 and 92: • “软件第 2 版”:从下拉
Page 93 and 94: 4 单击“Edit Attack Details for
Page 95 and 96: 5 在“Notifications(通知)”区
Page 97 and 98: 学习模式阈值模式在学习
Page 99 and 100: 字段名字段描述 “Sensor Re
Page 101 and 102: 5 系统会自动选中“Transport
Page 103 and 104: 任务 1 选择“IPS Settings(IPS
Page 105 and 106: 6 双击“IGSetup.exe”。图 3-
Page 107 and 108: 10 双击“IG_setup.exe” 图 3-8
Page 109 and 110: 任务 1 转到“开始” | “
Page 111 and 112: 选择要导入的策略导入和
Page 113 and 114: 完成策略导入在所有这三
Page 115 and 116: • Alert & Deny Excess Connections
Page 117 and 118: • Ping (ICMP echo Request)(Ping(I
Page 119 and 120: GTI 不支持 XFF IP,因此所有 G
Page 121 and 122: • Move Up(上移) • Move Down(
Page 123 and 124: • Alert Only(仅发出警报) •
Page 125 and 126: • SPAN 端口 • 连接限制规
Page 127 and 128: 此时会显示“Add an Attack Fil
Page 129 and 130: 7 对于来源和目标 IP 地址
Page 131 and 132: “Attack Filter Assignments(攻击
Page 133 and 134: “Filter Assignment: (过滤器分
Page 135: 防火墙策略 4 选择要导入
Page 139 and 140: • Sensor 的物理端口。 •
Page 141 and 142: 这些应用程序特征码捆绑
Page 143 and 144: 假设用户尝试访问已知的 G
Page 145 and 146: • 在“Show(显示)”列表中
Page 147 and 148: 添加应用程序组任务 1 开
Page 149 and 150: 添加网络组任务 1 输入有
Page 151 and 152: 添加服务组任务 1 选择“I
Page 153 and 154: 3 输入 DNS 后缀。您可以输
Page 155 and 156: 添加访问规则查看防火墙
Page 157 and 158: i 单击“OK(确定)”。 j 要
Page 159 and 160: 4 单击“Save(保存)”。 5 进
Page 161 and 162: 5 单击“Save(保存)”。如
Page 163 and 164: 8 在“Application(应用程序)
Page 165 and 166: 限制 • 只有在“TCP flow vio
Page 167 and 168: 9 单击“Save(保存)”。单
Page 169 and 170: 任务 1 在 Manager 中,选择“I
Page 171 and 172: 任务 1 转到“IPS Settings(IPS
Page 173 and 174: 对于子接口,您只能从其所
Page 175 and 176: 当创建接口时,启发式 Web
Page 177 and 178: 4 单击“Save(保存)”以保存
Page 179 and 180: 当 Sensor 检测到了自定义的
Page 181 and 182: 2 在“GTI”部分下方,您可
Page 183 and 184: 6 单击“Manage File Types(管理
Page 185 and 186: 如何启用安全套接字层 (SSL
Page 187 and 188:
Page 189 and 190:
下面是在 Manager 中进行 IPS
Page 191 and 192:
9 要对由于此攻击而隔离的
Page 193 and 194:
5 选择所需的攻击数目(例
Page 195 and 196:
请查看以下内容了解 IPS 隔
Page 197 and 198:
4 如果需要将配置继承到子
Page 199 and 200:
• “Description(描述)”:规
Page 201 and 202:
任务 1 从资源树中,选择“I
Page 203 and 204:
3 选择“Next(下一步)”。
Page 205 and 206:
您可以针对“Quarantine Durati
Page 207 and 208:
表 3-6 (续) 字段名描述 Host
Page 209 and 210:
对警报和数据包日志进行
Page 211 and 212:
如果选择“Weekly(每周)”,
Page 213 and 214:
2 执行以下任一操作: a 单
Page 215 and 216:
4 通过以下两种方式指定要
Page 217 and 218:
容量规划 Manager 中的“Capac
Page 219 and 220:
数据库大小要求我们根据
Page 221 and 222:
d 单击“Calculate(计算)”。
Page 223 and 224:
“Manager Cache(Manager 缓存)”
Page 225 and 226:
3 单击“New(新建)”。 “SNM
Page 227 and 228:
修改或删除 SNMP 服务器设
Page 229 and 230:
表 3-8 Syslog ‑ 配置选项字
Page 231 and 232:
• 单击“Save(保存)”,返回
Page 233 and 234:
单击“Save(保存)”返回到
Page 235 and 236:
更新设备配置 “Configuration
Page 237 and 238:
4 在 Sensor 级别配置 IPS 策
Page 239 and 240:
6 单击“Save(保存)”。弹
Page 241 and 242:
“Filter Assignment: (过滤器分
Page 243 and 244:
任务 1 单击“IPS Settings(IPS
Page 245 and 246:
如果网络流量随时间自然
Page 247 and 248:
任务 • 选择“IPS Settings(IP
Page 249 and 250:
配置 TCP 设置此操作只能
Page 251 and 252:
TCP 参数描述 SYN Cookie SYN Co
Page 253 and 254:
要编辑参数,请指定新的参
Page 255 and 256:
另请参阅 Jumbo Frame 解析第
Page 257 and 258:
2 在“Common IP Parameters(常见
Page 259 and 260:
2 在“OS Finger Printing(操作
Page 261 and 262:
Page 263 and 264:
Network Security Platform 支持使
Page 265 and 266:
您可以右键单击“Host(主机
Page 267 and 268:
5 在“Type(类型)”中选择“
Page 269 and 270:
虽然两个规则中的来源是
Page 271 and 272:
任务 1 转到“IPS Settings(IPS
Page 273 and 274:
已用 CIDR 地址分配方式细
Page 275 and 276:
速率限制用于控制通过网
Page 277 and 278:
队列计数队列计数是指为
Page 279 and 280:
6 为新的流量管理队列输入
Page 281 and 282:
任务 1 从资源树中,选择“I
Page 283 and 284:
表 4-2 Sensor 受限端口 I‑401
Page 285 and 286:
如何启用 SSL 解密适用于 D
Page 287 and 288:
6 输入“SSL Cache Timer(SSL 缓
Page 289 and 290:
6 单击“Apply(应用)”。弹
Page 291 and 292:
在 Manager 中,要在 Sensor 端
Page 293 and 294:
NTBA 选项卡中的第 7 层数据
Page 295 and 296:
5 在接口和子接口级别配置
Page 297 and 298:
接口节点可通过导航到“IP
Page 299 and 300:
另请参阅自定义本地 IPS
Page 301 and 302:
5 通过启用以下“Edit(编辑)
Page 303 and 304:
10 选择“Reset(重置)”并单
Page 305 and 306:
在接口级别分配连接限制
Page 307 and 308:
4 单击“Save(保存)”。 5 验
Page 309 and 310:
此时会打开“Advanced Botnet D
Page 311 and 312:
所提供选项如下所示: • Re
Page 313 and 314:
3 单击“File Reputation ‑ GTI
Page 315 and 316:
3 即会打开“Configure Policy(
Page 317 and 318:
对于子接口,您只能从其所
Page 319 and 320:
4 单击“Save(保存)”以保存
Page 321 and 322:
当 Sensor 检测到了自定义的
Page 323 and 324:
步骤: a 转到“IPS Settings(IPS
Page 325 and 326:
Page 327 and 328:
Page 329 and 330:
检查 X-Forwarder-For 报头信息
Page 331 and 332:
查看接口详细信息要查看
Page 333 and 334:
3 在新的“VLAN”或“CIDR”
Page 335 and 336:
创建子接口如果有 VLAN、
Page 337 and 338:
查看接口上应用的 DoS 策略
Page 339 and 340:
分配 ACL 规则可以在接口
Page 341 and 342:
• Assigned Policy(分配的策略
Page 343 and 344:
创建子接口时,您可以指定
Page 345 and 346:
6 使用 IPS 检测带有双重 VLA
Page 347 and 348:
McAfee ® Network Security Platform
Page 349 and 350:
7 拒绝服务 7 拒绝服务 (DoS)
Page 351 and 352:
DDoS 攻击工具 DDoS 攻击可通
Page 353 and 354:
基于阈值的模式在阈值模
Page 355 and 356:
警报解决利用 DDoS 攻击工
Page 357 and 358:
了解策略编辑选项 “Edit IP
Page 359 and 360:
创建 DoS 策略时,必须注意
Page 361 and 362:
VLAN 假定端口 1A 的流量为 V
Page 363 and 364:
3 在“IP Address(IP 地址)”字
Page 365 and 366:
请注意,在提交所做的更改
Page 367 and 368:
IPS 设置级别的选项在 Manag
Page 369 and 370:
3 单击“DoS Attacks(DoS 攻击)
Page 371 and 372:
7 在“Sensor Response(Sensor 响
Page 373 and 374:
• “DoS Profile Upload and Resto
Page 375 and 376:
以下信息可帮助您理解该
Page 377 and 378:
任务 1 单击“Admin_Domain_Name
Page 379 and 380:
TCP 参数描述 “Outbound Thres
Page 381 and 382:
队列计数 “Queue Count(队列
Page 383 and 384:
字段描述 “UDP Port(UDP 端
Page 385 and 386:
3 选择想要自定义的攻击,
Page 387 and 388:
单击“View(查看)”以查看
Page 389 and 390:
2 即会显示所选警报的警报
Page 391 and 392:
• “Threshold Duration(阈值持
Page 393 and 394:
任务 1 右键单击攻击实例,
Page 395 and 396:
4 使用以下 CLI 命令,在 Senso
Page 397 and 398:
配置 ACL • stRate ‑‑ short
Page 399 and 400:
以下含义和先决条件应用
Page 401 and 402:
索引 A ACL ACL Syslog 转发程
Page 403:
700-3578A11
show all

Network Security Platform 7.0 IPS Administration Guide - McAfee

Create successful ePaper yourself

Delete template?

Save as template?