Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
保护类别具有两个级别。第一级分类更为宽泛,它可以指示攻击是否为恶意软件或者攻击是否对准客户端或服务器。每<br />
一个类别都具有指示攻击详情的子类别。请参阅下图中的示例。<br />
图 2-1 保护类别和保护子类别的示例<br />
对于 <strong>McAfee</strong> 定义的攻击,<strong>McAfee</strong> ® Labs 将这些攻击归到一个或多个保护类别中。对于 <strong>McAfee</strong> 自定义攻击,您可以为<br />
每个攻击定义指定一个相关的保护类别。<br />
保护类别能帮助您更好地关联攻击。例如,与将一个攻击仅归为利用漏洞攻击相比,将该攻击分类为对准客户端操作系<br />
统的利用漏洞攻击能够提供更多信息。您还可以查看与策略中的特定类别相关的攻击定义。例如,您可以检查策略中含<br />
有哪些用来保护 DNS 服务器的攻击定义。因此,您可以将攻击定义映射到您要保护的网络资源。<br />
在 Threat Analyzer 中,保护类别功能有助于进行更为细致的分析。例如,您可以分析受到攻击的是客户端还是服务器。<br />
同样地,您可以根据保护类别生成报告。<br />
注意:<br />
理解 <strong>IPS</strong> 策略<br />
何谓保护类别 2<br />
• 目前,当您查看利用漏洞攻击定义时,您只能根据保护类别进行过滤。此显示过滤器只在“<strong>IPS</strong> Policies(<strong>IPS</strong> 策略)”<br />
页中提供,而不在“Default <strong>IPS</strong> Attack Settings(默认 <strong>IPS</strong> 攻击设置)”(以前称为“Global Attack Response Editor(全<br />
球攻击响应编辑器)”,简称 GARE)页中提供。<br />
• 在“Recon Policy Editor(侦测策略编辑器)”中,您不能根据保护类别过滤攻击定义。但是,在 Threat Analyzer 中也<br />
会显示侦测攻击的保护类别详细信息。<br />
• 在“Custom Attack Editor(自定义攻击编辑器)”中,当您创建利用漏洞或 <strong>McAfee</strong> 自定义侦测攻击时,您可以指定保<br />
护类别。这与 Snort 自定义攻击无关。<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册 21