Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
任务<br />
1 转到“<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)” | “Default Protection Options(默认保护选项)” | “Advanced Botnet Detection(高级<br />
僵尸网络检测)”。<br />
图 5-132 “Advanced Botnet Detection(高级僵尸网络检测)”选项卡<br />
2 从“Heuristic Detection(启发式检测)”字段下的下拉列表中选择“Low(低)”/“Medium(中)”/“High(高)”敏感度级别。<br />
启发式检测将不同的 Bot 活动关联起来,并在满足特定条件时发出警报。<br />
敏感度级别确定了启发式引擎进行分析所必需的的可信度。例如,当选择了低敏感度级别时,引擎在发出警报前,<br />
其检测到 Bot 这一点必须具有高信心度。<br />
默认情况下会选中“Low(低)”敏感度。<br />
3 单击“Save(保存)”以保存配置。<br />
保护 Web 应用程序服务器<br />
确保 Web 服务器的安全是网络安全专业人员所面临的一大挑战。因为 Web 服务器在网络中的位置及其所托管的应用程<br />
序的性质,企业 Web 服务器通常最易受到攻击并且最容易成为攻击目标。攻击 Web 服务器的攻击的动机可能是为了获<br />
得经济利益、获取机密数据、进入阻止网络或仅仅为了造成尴尬或不便。<br />
Web 应用程序的一个关键组件是数据库。Web 应用程序使用 SQL 来与数据库交互,以检索和存储数据。在交互期间,<br />
Web 应用程序服务器将 SQL 查询与用户提供的数据一同发送到自己的数据库中。这使得 Web 应用程序和数据库容易<br />
遭受 SQL 注入攻击的侵害,在这种攻击中,攻击者会尝试针对 Web 应用程序数据库执行任意 SQL 命令和查询。当用<br />
户提供的数据没有适当验证,或由于服务器应用程序存在漏洞时,这些攻击可能会成功。<br />
在 <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> 版之前,SQL 注入防护功能是基于特征码的。从 <strong>7.0</strong> 版开始,也有基于启发式分析<br />
的 SQL 注入防护机制。这一功能称为启发式 Web 应用程序服务器保护。本节详细介绍了启发式 Web 应用程序服务器<br />
保护功能的实现和配置。<br />
“启发式 Web 应用程序服务器保护”的工作方式<br />
如何管理 <strong>IPS</strong> 设置<br />
默认保护选项 3<br />
启发式 Web 应用程序服务器保护是 <strong>McAfee</strong> 正在进行的广泛研究的成果。您可以在接口和子接口级别启用此功能。如<br />
果启用了此功能,Sensor 会检查相应接口与子接口上的 HTTP 和 HTTPS 流量是否存在 SQL 注入。对于 HTTPS 流量,<br />
您必须已经启用解密并与 Sensor 共享服务器密钥。<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册 171