Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
如何设置针对攻击的通知<br />
使用攻击检测、警报和 Sensor 响应等过程可以很有效地管理网络安全。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 还可以为管理员提<br />
供有关所选攻击的通知。通知是通过电子邮件、电子邮件寻呼机或脚本就被认为具有高优先级的攻击发送的消息。消息<br />
含有攻击名称、严重性、检测时间等相关信息。通知针对不同的攻击进行配置。可以在自定义利用漏洞、拒绝服务<br />
(DoS) 或侦测攻击时启用通知功能。本章介绍为利用漏洞或 DoS 攻击启用通知的方法。<br />
您也可以在通知类别中启用自动确认任意攻击。“Auto.Acknowledge(自动确认)”选项可以将警报标记为“Acknowledged<br />
(已确认)”,以用于查看警报和生成报告。有关警报确认的详细信息,请参阅“确认警报”。<br />
电子邮件、寻呼机、脚本列表以及消息内容按不同的管理域进行配置。对于电子邮件和寻呼机通知,您必须设置用于发<br />
送邮件的邮件服务器(请参阅“<strong>McAfee</strong> <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> Manager 管理手册”中的“指定通知邮件服务器”)。<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 如何计算严重性级别<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 为攻击数据库中的每个攻击分配一种默认的严重性(中、中或低)。严重性取决于攻击对目标<br />
系统的直接作用或影响。<br />
严重性编号方案<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 使用数字映射方案表示“Informational(信息)”、“Low(低)”、“Medium(中)”和“High(高)”严<br />
重性,以便获得更直观的显示效果。编号方案如下:<br />
INFORMATIONAL(信息) LOW(低) MEDIUM(中) HIGH(高)<br />
0 1‑3 4‑6 7‑9<br />
指定严重性级别的指导原则与许多开放式安全论坛中使用的原则很类似。可以根据所保护资产的价值自定义这些安全性<br />
级别,以符合系统的需要。某种攻击对于某个公司可能具有“高”严重性,但对另一个公司来说可能只具“低”严重性。<br />
攻击类别和严重性范围<br />
<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 将攻击划分为四个类别:“Reconnaissance(侦测)”、“Exploits(利用漏洞)”、“Volume DoS<br />
(大量 DoS)”和“Policy Violation(违反策略)”。下表说明了严重性级别与不同攻击类别的对应关系:<br />
类别 威胁类型 <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 中使用的级<br />
别<br />
Reconnaissance(侦测) Host Sweep(主机扫描) 4‑4<br />
Port Scan(端口扫描) 4‑4<br />
Brute Force(暴力攻击) 4‑6<br />
Service Sweep(服务扫描) 6‑6<br />
OS Fingerprinting(操作系统指纹识别) 6‑6<br />
Exploits(利用漏洞) Protocol Violation(违反协议) 3‑5<br />
Buffer Overflow(缓冲区溢出) 7‑9<br />
Shellcode Execution(Shellcode 执行) 7‑9<br />
Remote Access(远程访问) 5‑9<br />
Privileged Access(授权访问) 8‑9<br />
Probe(探查) 2‑2<br />
DoS 3‑5<br />
Evasion Attempt(规避企图) 7‑7<br />
理解 <strong>IPS</strong> 策略<br />
如何设置针对攻击的通知 2<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册 19
Change language