Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
4<br />
在 Sensor 级别配置 <strong>IPS</strong> 策略<br />
配置高级扫描<br />
9 单击“Save(保存)”。<br />
10 通过执行“更新一个 Sensor 的配置”中的步骤,将所做的更改下载到您的 Sensor。<br />
DoS 数据管理<br />
“DoS Data Management(DoS 数据管理)”操作可配置 DoS 学习模式配置文件,以重新启动配置文件或者加载先前的配<br />
置文件。拒绝服务 (DoS) 攻击通过将大量虚假流量发送给目标系统或主机,使系统缓冲区溢出以至于必须脱机修复,从<br />
而中断其网络服务。<br />
由于 DoS 配置文件可在学习模式和阈值模式中配置,Sensor 将记录两种模式的数据。在“Learning Mode(学习模式)”<br />
中,Sensor 监控网络流量,收集一段时间的各种流量测量的统计数据,创建一份“正常”的基准配置文件,称为长期配置<br />
文件。为了创建配置文件,通常需要两天的初始学习时间。之后系统会经常更新该配置文件,并将其存放在 Sensor 的<br />
内部闪存中,以便了解网络的最新状况。另外,Sensor 也会实时创建短期配置文件,该文件类似于网络流量的即时快<br />
照。Sensor 会比较短期配置文件与长期配置文件,只要短期配置文件的统计数据表现出与长期配置文件差异过大的流量<br />
异常情况,就会发出警报。<br />
在“Threshold Mode(阈值模式)”中,Sensor 会跟踪对特定攻击启用的阈值限制。这两种模式创建的配置文件保存在<br />
Sensor 的闪存中,并可上载到 Manager 中以备将来重用。经过一段时间之后,如果您认为原来创建的基准比当前的配<br />
置文件更为有效,可以上载保存的配置文件。<br />
在 M 系列和 N‑450 Sensor上不支持 DoS 复制功能。<br />
要管理 Sensor 上的 DoS 学习模式策略,请执行以下操作:<br />
任务<br />
1 单击“<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)” | “Sensor_Name(Sensor 名称)” | “Advanced Scanning(高级扫描)” | “DoS Data<br />
Management(DoS 数据管理)”(对于故障转移对 Sensor,则单击“<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)” | “Failover Pair Node<br />
(故障转移对节点)” | “Sensor_Name(Sensor 名称)” | “<strong>IPS</strong> Failover Pair Sensor(<strong>IPS</strong> 故障转移对 Sensor)” |<br />
“DoS Data Management(DoS 数据管理)”)。<br />
从 Sensor 上载到 Manager 的最新 DoS 配置文件列在“DoS Profiles on Manager(Manager 上的 DoS 配置文件)”。<br />
2 从以下标题中选择一个操作:<br />
“DoS Profile Learning(DoS 配置文件学习)”<br />
• “Rebuild the DoS Profiles(重建 DoS 配置文件)”:从头启动学习过程。这将删除最近学习的配置文件,并创建<br />
新的配置文件。要开始学习过程,请选择该选项并单击“Update(更新)”。<br />
• “Force the <strong>IPS</strong> Sensor into Detection Mode(强制 <strong>IPS</strong> Sensor 进入检测模式)”:激活 Sensor 的学习模式检测,<br />
而无需先进行 48 小时的学习。<br />
在建立了接口或子接口的配置文件之后或是在初始学习的过程中,如果网络或配置发生变更(前者如果将 Sensor<br />
从实验环境移动到生产环境,后者如果更改了子接口的 CIDR 块),并引起接口或子接口流量发生重大变化,则<br />
<strong>McAfee</strong> 建议重新学习配置文件。否则,Sensor 可能会在适应新的网络流量情况期间,发出错误警报或遗漏攻击。<br />
244 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册