Network Security Platform 7.0 IPS Administration Guide - McAfee

More documents

Recommendations

Info

3 如何管理 IPS 设置防火墙策略 • Recurring Time Period Group(循环时间段组):您最多可以将 10 个循环时间段分成一组,以形成“Recurring Time Period Group(循环时间段组)”规则对象。“Recurring Time Period Group(循环时间段组)”只适用于高级防火墙策略。您可以将“Finite Time Period(有限时间段)”规则对象与“Recurring Time Period(循环时间段)”规则对象和 “Recurring Time Period Group(循环时间段组)”规则对象结合使用。在此情况下,“Finite Time Period(有限时间段)” 优先。此外,为了使 Sensor 检查该访问规则,“Finite Time Period(有限时间段)”和至少一个“Recurring Time Period (循环时间段)”必须处于活动状态。 • Service(服务):要基于 IP 协议、ICMP 代码或 TCP/UDP 端口号限制流量,请使用“Service(服务)”规则对象。您可以创建“Service(服务)”规则对象或使用默认规则对象。系统预定义了标准 TCP 和 UDP 端口上的常见服务以及 ICMP 代码。例如,telnet 在端口 23 上预定义为 TCP。同样,系统也预定义了 ICMP 代码,如 ICMP Echo 回复和 ICMP 请求。当创建“Service(服务)”规则对象时,选项用于指定协议编号、TCP 端口或 UDP 端口。对于自定义 ICMP 代码,您需要在端口字段中指定 IP 协议编号和 ICMP 代码。对于每个规则对象,您只能定义一个 IP 协议规范。对于使用“Service(服务)”规则对象的访问规则,Sensor 会考虑已针对 IPS 配置的任何非标准端口。例如,如果已指定端口 2023 作为 FTP 非标准端口,则当您已在一个规则中使用 FTP 服务规则对象时,Sensor 会考虑端口 21 和端口 2023 上的 FTP。对于某些流量,您可以使用一种以上的规则对象。例如,对于 FTP 和 HTTP,您可以使用“Application(应用程序)” 规则对象或“Service(服务)”规则对象。如果您使用默认的“Service(服务)”规则对象来阻止 FTP,则 Sensor 只会阻止标准端口 21 上的 FTP。如果您使用默认的“Application Service Group(应用程序服务组)”来阻止 FTP,则 Sensor 会阻止任意端口上的 FTP。如果使用“Service(服务)”规则对象,则 Sensor 甚至会丢弃 SYN 数据包。如果使用“Application(应用程序)”规则对象,则 Sensor 只会在三方握手后丢弃流量。这是由于只有在握手后,Sensor 才能识别该应用程序, Sensor 按照由上至下的方式来处理一个策略的访问规则。因此,如果您想丢弃基于服务的流量,请将这些访问策略放在策略中最高的位置。如果使用经典防火墙策略,请注意以下事项: • 建议不要为动态协商端口的协议(如 FTP、TFTP 和 RPC 服务)设置允许规则。对于 RPC 服务,可以对整个 RPC 配置明确允许和拒绝的规则,但无法针对其中任何一部分配置,例如 statd 和 mountd。 • 多媒体协议(如 H.323)和服务(即时消息发送和对等通信)可能协商不同于控制通道的数据通道,或协商不符合标准的端口。但可以通过拒绝固定的控制端口将访问规则配置成拒绝这些动态协议。 • 要拒绝使用动态协商的协议,您可以选择将策略配置成丢弃在这些传输中检测到的攻击。Network Security Platform 可以检测 Yahoo Messenger、KaZaA 和 IRC 等程序的使用和攻击。 • Service Group(服务组):您可以将希望以相似方式处理的服务分为一组。这样,您可以轻松地管理防火墙策略。服务组只与高级防火墙策略关联。您最多可以在一个“Service Group(服务组)”规则对象中指定 10 个服务。防火墙策略的工作方式您可以在管理域级别创建防火墙策略。也可以使用以下两个预定义的防火墙规则: • Allow All Traffic But Bypass Scanning(跳过扫描,允许所有流量):这个预定义的高级策略可以允许任何流量,而无需检查是否存在攻击。 • Scan All Traffic(扫描所有流量):这个预定义的经典策略可以允许任何流量,但需要检查是否存在攻击。您可以预定义这些策略,对其进行复制和重新配置,也可以创建自己的策略。您不能删除默认的策略。要使防火墙策略生效,您需要将其分配到 Sensor 资源。以下是 Sensor 资源: • 预置设备:此资源是 Sensor 自身,分配到此资源的策略应用于到达 Sensor 的所有流量。此策略称为“Pre‑device(预置设备)”策略。实际上,此策略是 Sensor 实施的第一个防火墙策略。 • 每个物理端口的接口或子接口。 138 McAfee ® Network Security Platform 7.0 IPS 管理手册
• Sensor 的物理端口。 • 后置设备:此资源也是 Sensor。但是在将策略分配到其他 Sensor 资源后,它对到达 Sensor 的所有流量都实施 “Post‑device(后置设备)”策略。您可以对每个 Sensor 资源实施独一无二的防火墙策略。您可以使用处于 SPAN、Tap 或串联模式的监控端口来实施防火墙策略。但是,请在指定响应操作时考虑模式的因素。例如,丢弃流量并非 SPAN 或 Tap 模式中的相关响应。要了解与应用程序相关的高级防火墙策略如何工作,您必须回顾“应用程序标识”一节。以下简要介绍了实现防火墙功能时涉及到的步骤: 1 确保您已经按照要求部署了 Network Security Platform。有关详细信息,请参阅“McAfee Network Security Platform 入门手册”。 2 确保您已经将监控端口连接到要监控的网络。 3 除了防火墙以外,如果您要 Sensor 检查流量中是否存在攻击,请确保您已经配置了 IPS 或 IDS 功能,并且 Sensor 正在检测和报告攻击。 4 创建您计划在自己的访问规则中使用的规则对象。例如,识别主机 IPv4 地址和 IPv4 地址范围,并创建相应的规则对象。 5 如果使用“主机 DNS 名称”规则对象,请务必在 Manager 中配置 DNS 服务器详细信息。同时确保这些服务器可由 Sensor 的管理端口访问。如果这些 DNS 服务器无法访问,则会发出故障消息。 DNS 服务器详细信息应用于防火墙、与 GTI 文件信誉的集成以及 NTBA。如何管理 IPS 设置防火墙策略 3 6 如果您正在使用基于时间的规则对象,请确保已在 Manager 中配置了时区。预配置的时区为 GMT。 7 在相应的管理域中创建所需的防火墙策略。当创建防火墙规则时,您需要定义访问规则。因此,一个策略包含一组依序排列的访问规则,Sensor 以自上而下的方式处理这些访问规则。在创建防火墙策略后,您需要将其分配到一个 Sensor 资源。对于每个资源只能分配一个防火墙策略。以下称为 Sensor 资源: • 预置设备级别:分配到此资源的防火墙策略具有最高优先级。也就是说,Sensor 首先会针对此策略的访问规则来匹配流量。一般而言,您会分配将阻止网络中特定流量的策略。例如,您可能要在网络中永久阻止 p2p 流量。 • 接口或子接口级别:这些资源是 VLAN 或 CIDR 类型的监控端口。您可以根据配置监控端口的方式,将防火墙策略分配到接口或子接口。 Sensor 会先考虑分配到预置设备级别的策略,然后考虑接口和子接口上的策略。Sensor 只会对在相应接口或子接口看到的流量强制执行此策略。因此,通常您将对在来源和目标方面非常细致的策略进行分配。例如,可能为针对特定主机或网络的策略。 McAfee ® Network Security Platform 7.0 IPS 管理手册 139
Page 1 and 2:
IPS 管理手册修订版 A McAfee
Page 3 and 4:
目录前言 7 关于本手册 . .
Page 5 and 6:
如何为 IPS Sensor 配置防火
Page 7 and 8:
前言本手册将提供配置、
Page 9 and 10:
1 计划 IPS 部署 IPS 部署可
Page 11 and 12:
调整策略提供默认 Network S
Page 13 and 14:
如何阻止利用漏洞流量 •
Page 15 and 16:
| “IP Settings(TCP 设置)”操
Page 17 and 18:
2 理解 IPS 策略安全策略或
Page 19 and 20:
如何设置针对攻击的通知
Page 21 and 22:
保护类别具有两个级别。
Page 23 and 24:
3 如何管理 IPS 设置 “IPS Se
Page 25 and 26:
“IPS Policies(IPS 策略)”选
Page 27 and 28:
字段名描述 “Rule Set(规则
Page 29 and 30:
应用规则集任务 • 添加
Page 31 and 32:
在“Summary(摘要)”窗口中
Page 33 and 34:
3 单击链接以查看该页面。
Page 35 and 36:
影响类别影响子类别 •
Page 37 and 38:
表 3-2 (续) 类别描述 Sensiti
Page 39 and 40:
3 选择“Annotations of Parent Ad
Page 41 and 42:
3 从“Annotations of Parent Admin
Page 43 and 44:
3 单击“Clone(复制)”。 4
Page 45 and 46:
3 单击“Bulk Edit(批量编辑)
Page 47 and 48:
11 单击窗口底部的“OK(确
Page 49 and 50:
任务 1 选择“IPS Settings(IPS
Page 51 and 52:
弹出窗口显示攻击的详细
Page 53 and 54:
12 在“Enter Comment(输入备注
Page 55 and 56:
如何对侦测策略使用批量
Page 57 and 58:
• “Delete(删除)”:删除该
Page 59 and 60:
8 在搜索结果中,选择一个
Page 61 and 62:
5 选择一个攻击,然后单击
Page 63 and 64:
任务 1 在 Manager 中,选择“I
Page 65 and 66:
在规则集中配置智能阻止
Page 67 and 68:
任务 1 在 Manager 中,选择“/
Page 69 and 70:
Page 71 and 72:
9 选择“Include(包含)”或“
Page 73 and 74:
12 单击“Protocol(协议)”选
Page 75 and 76:
14 单击“Application(应用程
Page 77 and 78:
17 单击“SmartBlocking(智能阻
Page 79 and 80:
3 单击“Delete(删除)”。 4
Page 81 and 82:
默认串联 IPS 策略 • “Poli
Page 83 and 84:
该表包括以下列: • “Proto
Page 85 and 86:
• 在“Configure Attack Details(
Page 87 and 88: • “Signature Desc(特征码描
Page 89 and 90: 选择是否要将“Attack Name Se
Page 91 and 92: • “软件第 2 版”:从下拉
Page 93 and 94: 4 单击“Edit Attack Details for
Page 95 and 96: 5 在“Notifications(通知)”区
Page 97 and 98: 学习模式阈值模式在学习
Page 99 and 100: 字段名字段描述 “Sensor Re
Page 101 and 102: 5 系统会自动选中“Transport
Page 103 and 104: 任务 1 选择“IPS Settings(IPS
Page 105 and 106: 6 双击“IGSetup.exe”。图 3-
Page 107 and 108: 10 双击“IG_setup.exe” 图 3-8
Page 109 and 110: 任务 1 转到“开始” | “
Page 111 and 112: 选择要导入的策略导入和
Page 113 and 114: 完成策略导入在所有这三
Page 115 and 116: • Alert & Deny Excess Connections
Page 117 and 118: • Ping (ICMP echo Request)(Ping(I
Page 119 and 120: GTI 不支持 XFF IP,因此所有 G
Page 121 and 122: • Move Up(上移) • Move Down(
Page 123 and 124: • Alert Only(仅发出警报) •
Page 125 and 126: • SPAN 端口 • 连接限制规
Page 127 and 128: 此时会显示“Add an Attack Fil
Page 129 and 130: 7 对于来源和目标 IP 地址
Page 131 and 132: “Attack Filter Assignments(攻击
Page 133 and 134: “Filter Assignment: (过滤器分
Page 135 and 136: 防火墙策略 4 选择要导入
Page 137: 如何管理 IPS 设置防火墙
Page 141 and 142: 这些应用程序特征码捆绑
Page 143 and 144: 假设用户尝试访问已知的 G
Page 145 and 146: • 在“Show(显示)”列表中
Page 147 and 148: 添加应用程序组任务 1 开
Page 149 and 150: 添加网络组任务 1 输入有
Page 151 and 152: 添加服务组任务 1 选择“I
Page 153 and 154: 3 输入 DNS 后缀。您可以输
Page 155 and 156: 添加访问规则查看防火墙
Page 157 and 158: i 单击“OK(确定)”。 j 要
Page 159 and 160: 4 单击“Save(保存)”。 5 进
Page 161 and 162: 5 单击“Save(保存)”。如
Page 163 and 164: 8 在“Application(应用程序)
Page 165 and 166: 限制 • 只有在“TCP flow vio
Page 167 and 168: 9 单击“Save(保存)”。单
Page 169 and 170: 任务 1 在 Manager 中,选择“I
Page 171 and 172: 任务 1 转到“IPS Settings(IPS
Page 173 and 174: 对于子接口,您只能从其所
Page 175 and 176: 当创建接口时,启发式 Web
Page 177 and 178: 4 单击“Save(保存)”以保存
Page 179 and 180: 当 Sensor 检测到了自定义的
Page 181 and 182: 2 在“GTI”部分下方,您可
Page 183 and 184: 6 单击“Manage File Types(管理
Page 185 and 186: 如何启用安全套接字层 (SSL
Page 187 and 188: 任务 1 选择“IPS Settings(IPS
Page 189 and 190:
下面是在 Manager 中进行 IPS
Page 191 and 192:
9 要对由于此攻击而隔离的
Page 193 and 194:
5 选择所需的攻击数目(例
Page 195 and 196:
请查看以下内容了解 IPS 隔
Page 197 and 198:
4 如果需要将配置继承到子
Page 199 and 200:
• “Description(描述)”:规
Page 201 and 202:
任务 1 从资源树中,选择“I
Page 203 and 204:
3 选择“Next(下一步)”。
Page 205 and 206:
您可以针对“Quarantine Durati
Page 207 and 208:
表 3-6 (续) 字段名描述 Host
Page 209 and 210:
对警报和数据包日志进行
Page 211 and 212:
如果选择“Weekly(每周)”,
Page 213 and 214:
2 执行以下任一操作: a 单
Page 215 and 216:
4 通过以下两种方式指定要
Page 217 and 218:
容量规划 Manager 中的“Capac
Page 219 and 220:
数据库大小要求我们根据
Page 221 and 222:
d 单击“Calculate(计算)”。
Page 223 and 224:
“Manager Cache(Manager 缓存)”
Page 225 and 226:
3 单击“New(新建)”。 “SNM
Page 227 and 228:
修改或删除 SNMP 服务器设
Page 229 and 230:
表 3-8 Syslog ‑ 配置选项字
Page 231 and 232:
• 单击“Save(保存)”,返回
Page 233 and 234:
单击“Save(保存)”返回到
Page 235 and 236:
更新设备配置 “Configuration
Page 237 and 238:
4 在 Sensor 级别配置 IPS 策
Page 239 and 240:
6 单击“Save(保存)”。弹
Page 241 and 242:
“Filter Assignment: (过滤器分
Page 243 and 244:
任务 1 单击“IPS Settings(IPS
Page 245 and 246:
如果网络流量随时间自然
Page 247 and 248:
任务 • 选择“IPS Settings(IP
Page 249 and 250:
配置 TCP 设置此操作只能
Page 251 and 252:
TCP 参数描述 SYN Cookie SYN Co
Page 253 and 254:
要编辑参数,请指定新的参
Page 255 and 256:
另请参阅 Jumbo Frame 解析第
Page 257 and 258:
2 在“Common IP Parameters(常见
Page 259 and 260:
2 在“OS Finger Printing(操作
Page 261 and 262:
Page 263 and 264:
Network Security Platform 支持使
Page 265 and 266:
您可以右键单击“Host(主机
Page 267 and 268:
5 在“Type(类型)”中选择“
Page 269 and 270:
虽然两个规则中的来源是
Page 271 and 272:
任务 1 转到“IPS Settings(IPS
Page 273 and 274:
已用 CIDR 地址分配方式细
Page 275 and 276:
速率限制用于控制通过网
Page 277 and 278:
队列计数队列计数是指为
Page 279 and 280:
6 为新的流量管理队列输入
Page 281 and 282:
任务 1 从资源树中,选择“I
Page 283 and 284:
表 4-2 Sensor 受限端口 I‑401
Page 285 and 286:
如何启用 SSL 解密适用于 D
Page 287 and 288:
6 输入“SSL Cache Timer(SSL 缓
Page 289 and 290:
6 单击“Apply(应用)”。弹
Page 291 and 292:
在 Manager 中,要在 Sensor 端
Page 293 and 294:
NTBA 选项卡中的第 7 层数据
Page 295 and 296:
5 在接口和子接口级别配置
Page 297 and 298:
接口节点可通过导航到“IP
Page 299 and 300:
另请参阅自定义本地 IPS
Page 301 and 302:
5 通过启用以下“Edit(编辑)
Page 303 and 304:
10 选择“Reset(重置)”并单
Page 305 and 306:
在接口级别分配连接限制
Page 307 and 308:
4 单击“Save(保存)”。 5 验
Page 309 and 310:
此时会打开“Advanced Botnet D
Page 311 and 312:
所提供选项如下所示: • Re
Page 313 and 314:
3 单击“File Reputation ‑ GTI
Page 315 and 316:
3 即会打开“Configure Policy(
Page 317 and 318:
对于子接口,您只能从其所
Page 319 and 320:
4 单击“Save(保存)”以保存
Page 321 and 322:
当 Sensor 检测到了自定义的
Page 323 and 324:
步骤: a 转到“IPS Settings(IPS
Page 325 and 326:
Page 327 and 328:
Page 329 and 330:
检查 X-Forwarder-For 报头信息
Page 331 and 332:
查看接口详细信息要查看
Page 333 and 334:
3 在新的“VLAN”或“CIDR”
Page 335 and 336:
创建子接口如果有 VLAN、
Page 337 and 338:
查看接口上应用的 DoS 策略
Page 339 and 340:
分配 ACL 规则可以在接口
Page 341 and 342:
• Assigned Policy(分配的策略
Page 343 and 344:
创建子接口时,您可以指定
Page 345 and 346:
6 使用 IPS 检测带有双重 VLA
Page 347 and 348:
McAfee ® Network Security Platform
Page 349 and 350:
7 拒绝服务 7 拒绝服务 (DoS)
Page 351 and 352:
DDoS 攻击工具 DDoS 攻击可通
Page 353 and 354:
基于阈值的模式在阈值模
Page 355 and 356:
警报解决利用 DDoS 攻击工
Page 357 and 358:
了解策略编辑选项 “Edit IP
Page 359 and 360:
创建 DoS 策略时,必须注意
Page 361 and 362:
VLAN 假定端口 1A 的流量为 V
Page 363 and 364:
3 在“IP Address(IP 地址)”字
Page 365 and 366:
请注意,在提交所做的更改
Page 367 and 368:
IPS 设置级别的选项在 Manag
Page 369 and 370:
3 单击“DoS Attacks(DoS 攻击)
Page 371 and 372:
7 在“Sensor Response(Sensor 响
Page 373 and 374:
• “DoS Profile Upload and Resto
Page 375 and 376:
以下信息可帮助您理解该
Page 377 and 378:
任务 1 单击“Admin_Domain_Name
Page 379 and 380:
TCP 参数描述 “Outbound Thres
Page 381 and 382:
队列计数 “Queue Count(队列
Page 383 and 384:
字段描述 “UDP Port(UDP 端
Page 385 and 386:
3 选择想要自定义的攻击,
Page 387 and 388:
单击“View(查看)”以查看
Page 389 and 390:
2 即会显示所选警报的警报
Page 391 and 392:
• “Threshold Duration(阈值持
Page 393 and 394:
任务 1 右键单击攻击实例,
Page 395 and 396:
4 使用以下 CLI 命令,在 Senso
Page 397 and 398:
配置 ACL • stRate ‑‑ short
Page 399 and 400:
以下含义和先决条件应用
Page 401 and 402:
索引 A ACL ACL Syslog 转发程
Page 403:
700-3578A11
show all

Network Security Platform 7.0 IPS Administration Guide - McAfee

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?