Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
3<br />
如何管理 <strong>IPS</strong> 设置<br />
防火墙策略<br />
应用程序功能会在“Rule Objects(规则对象)”窗口中跟其他应用程序一起列出。<br />
图 3-116 应用程序和应用程序功能列表<br />
风险<br />
为了让您了解应用程序和应用程序功能对网络造成的影响,<strong>McAfee</strong> Labs 将应用程序和应用程序功能的风险分为高、<br />
中、低三个等级。风险计算基于以下因素:<br />
• 应用程序或应用程序功能的易受攻击性。<br />
• 应用程序或应用程序功能传播恶意软件的概率。<br />
“应用程序识别”的工作方式<br />
与攻击检测类似,Application Identification(应用程序识别)是 Sensor 的一项功能。Sensor 可以在 SPAN、Tap 和串联<br />
模式下识别应用程序。默认情况下,应用程序识别功能处于禁用状态。以下功能可以打开 Sensor 的应用程序识别功能:<br />
• 基于应用程序、自定义端口上的应用程序或应用程序组的防火墙访问规则。<br />
• 针对“Top Applications Summary(前几位应用程序摘要)”监视器启用的应用程序识别功能。<br />
识别应用程序这一过程会消耗较多资源。如果 Sensor 在整个流量上进行应用程序识别,则 Sensor 吞吐量可能会降低<br />
10% 左右。根据流量类型不同,实际吞吐量的下降量会有差异。<br />
从防火墙的角度来看,您需要理解防火墙访问规则如何在规则之间导致依赖性因子。对于防火墙,您可以指定四种响应<br />
操作:<br />
• Inspect(检查):Sensor 允许与防火墙访问规则相匹配的流量,但是会检查其中是否存在攻击。<br />
• Drop(丢弃):Sensor 丢弃此流量。<br />
• Deny(拒绝):Sensor 丢弃流量并执行 TCP 重置。<br />
• Ignore(忽略):Sensor 允许流量而不进一步检查。<br />
下面介绍的依赖性因子只应用于一些规则,您将 Sensor 对这些规则的响应操作设置为“Inspect(检查)”或“Ignore(忽<br />
略)”。<br />
依赖性因子:如果您创建的规则允许某个应用程序,则在默认情况下,也允许与之相关的所有应用程序和服务。例如,<br />
如果允许 Facebook,则在默认情况下也允许 HTTP。由此,也会允许所有未知的 HTTP 应用程序,即没有特征码的<br />
HTTP 应用程序。例如,假设您要允许 Facebook 但阻止所有其他的 HTTP 流量,则您需要按照相同顺序为以下条件创<br />
建访问规则:<br />
• 检查 Facebook<br />
• 拒绝 HTTP<br />
142 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册