Network Security Platform 7.0 IPS Administration Guide - McAfee
18.07.2013 Views
Share Embed Flag

Network Security Platform 7.0 IPS Administration Guide - McAfee

Network Security Platform 7.0 IPS Administration Guide - McAfee

Network Security Platform 7.0 IPS Administration Guide - McAfee

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
kc.mcafee.com

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

4<br />

在 Sensor 级别配置 <strong>IPS</strong> 策略<br />

如何为 <strong>IPS</strong> Sensor 配置防火墙日志记录<br />

在 Sensor 级别,可以为整个 Sensor 以及 Sensor 的特定端口/端口对分配防火墙策略。在 Sensor 级别为特定端口/端口<br />

对分配的策略会由所有的端口/接口/子接口继承,而分配的策略将由对应的接口和子接口(如果适用)继承。对于防火墙<br />

策略,接口是其对应端口或端口对的子集。也就是说,在 Sensor 级别为端口/端口对配置的访问规则会由对应的接口和<br />

任何子接口继承。但在接口级别创建的规则不会由对应的子接口继承,因为以下策略应用规则会将接口通信流与子接口<br />

通信流分开:<br />

如果配置多个访问规则,请注意其排列顺序,因为访问规则将按从上到下的顺序执行:从列表顶部的第一条规则开始,<br />

依序检查到底部的最后一条规则。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 采用第一个匹配过程,即实施序列中第一个匹配的规则。<br />

如果您在子接口上应用的不是继承的策略,那么特定于子接口的流量将不受在接口级别执行的策略的保护。因此,对于<br />

访问规则,继承规则要求在 Sensor 级别或物理端口/端口对级别创建全局规则:接口规则只适用于接口,子接口规则也<br />

只适用于子接口。<br />

在 Sensor 级别应用的访问规则将由 Sensor 有接口和子接口继承。可以在接口和子接口级别添加多个规则;但不能在子<br />

级别删除继承的规则。即使 Sensor 级别上没有分配任何规则,仍然可以在接口和子接口级别分配规则。<br />

在以下情况下,当在 Sensor、接口和子接口级别分配防火墙策略时,可能会在零碎流量中遇到某种干扰:<br />

• 在 Manager 和 Sensor 中启用了“SYN Cookie”<br />

• “Response Action(响应操作)”设置为“Permit(允许)”<br />

• “Enable Intrusion Prevention for traffic matching this rule(对符合此规则的流量启用入侵检测)”设置为“No(否)”。<br />

对于在以下情况下创建而且分配给 Sensor 的零碎 TCP 访问规则,可能会在零碎 TCP 流量中遇到某种干扰:<br />

• “Response Action(响应操作)”设置为“Permit(允许)”<br />

• “Enable Intrusion Prevention for traffic matching this rule(对符合此规则的流量启用入侵检测)”设置为“No(否)”。<br />

• “Advanced Scanning(高级扫描)”> “TCP Settings(TCP 设置)”> “ TCP Flow Violation(TCP 流违规)”设置为<br />

“Permit‑out‑of‑order(允许乱序)”以外的任何值<br />

在防火墙策略中,可以分别为“Inbound(入站)”和“Outbound(出站)”流量创建单独的访问规则。入站指源自外部并以内<br />

部网络为目的地的流量。出站指源自内部网络的流量。<br />

您可以通过“Protection Profile(保护配置文件)”页面为 Sensor/端口/VIDS 分配规则,并在相应的“Protection Profile(保<br />

护配置文件)”页面上,通过单击“Effective Firewall rules(有效防火墙规则)”字段中的“Inbound Rules(入站规则)”或<br />

“Outbound Rules(出站规则)”来查看端口或 VIDS 上的规则顺序。<br />

对于 Sensor、端口和 VIDS,您可以选择在管理域中创建的规则,并将其应用到实体上。<br />

另请参阅<br />

在 <strong>IPS</strong> Sensor 中管理防火墙策略第 266 页<br />

查看有效防火墙规则第 269 页<br />

在 <strong>IPS</strong> Sensor 中管理防火墙策略<br />

您可以在 <strong>IPS</strong> 设置级别创建防火墙策略,并将其应用到 <strong>IPS</strong> Sensor (预置设备或后置设备)或其他资源(如端口、接口<br />

和子接口)中。<br />

任务<br />

1 转到“admin_domain(管理域)” | “<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)” | “Policies(策略)” | “Firewall Policies(防火墙策略)”。<br />

2 单击“New(新建)”。<br />

3 在“Properties(属性)”选项卡中,输入策略的“Name(名称)”和“Description(描述)”。<br />

“Owner(所有者)”字段对应您选定的管理用户。<br />

4 默认情况下,“Visible to Child Admin Domains(对子管理域可见)”处于选中状态。如有必要,清除所做的选择。<br />

266 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!