Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
3<br />
如何管理 <strong>IPS</strong> 设置<br />
默认保护选项<br />
6 在“Whitelisted <strong>Network</strong>s(白名单网络)”部分,单击“New(新建)”,输入白名单网络。单击“Add(添加)”。单击“Cancel<br />
(取消)”,以删除最近添加的白名单网络。<br />
图 5-131 “New(新建)”/“Edit(编辑)”/“Delete(删除)”选项<br />
单击“Edit(编辑)”或“Delete(删除)”,以编辑或删除白名单网络。<br />
7 单击“Save(保存)”以保存配置。<br />
高级僵尸网络检测<br />
Bot 被定义为在已遭破坏的系统上运行的恶意软件,目的是入侵已遭破坏的计算机的集中管理网络(称为僵尸网络)。就<br />
目前所知,单个僵尸网络由超过一百万个已遭破坏的计算机组成,可以算是当前全球 Internet 所面临的最大威胁。<br />
僵尸牧人将从包含成千上万个傀儡的大规模僵尸网络转移到规模更小且更具针对性的网络。另外,适用于命令与控制<br />
(C&C) 的 IRC 协议逐步被淘汰,进而采用更隐匿的协议,如 HTTP、通过 433 端口的非 SSL 加密流量,等等。<br />
对类似 Bot 的行为的识别通常要经过几个阶段(每个阶段采用单独的攻击 ID 来识别)。通常攻击特征码可以检测单流中<br />
的攻击(除侦测攻击外)。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 可以通过为不同流之间的多个攻击建立关联来支持“高级僵尸网络<br />
检测”功能。通过在给定的时间段中观测主机,从而在攻击之间建立关联。<br />
成功建立关联后,高级僵尸网络检测可提供从不同攻击阶段检索到的详细信息。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 还可以将攻<br />
击信息转发至 NTBA Appliance,以便建立类似的关联。<br />
另请参阅<br />
在接口级别管理保护配置文件 第 297 页<br />
从“<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)”节点配置高级僵尸网络检测<br />
要从“<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)”节点配置高级僵尸网络检测,请执行以下操作:<br />
170 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册