Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
4<br />
在 Sensor 级别配置 <strong>IPS</strong> 策略<br />
如何为 <strong>IPS</strong> Sensor 配置防火墙日志记录<br />
9 重复执行第 2 步和第 3 步,以添加更多“Access Rules(访问规则)”。<br />
10 取消选中“Prompt for assignment after save(保存后提示分配)”。<br />
11 单击“Save(保存)”。<br />
12 转到“admin_domain(管理域)” | “<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)” | “Firewall Policies(防火墙策略)”。<br />
13 单击与要分配的策略对应的“Assignments(分配)”值。<br />
此时将显示“Assignments(分配)”窗口。此窗口会列出管理域的可用资源。要对可用资源列表进行过滤,请在<br />
“Search Resources(搜索资源)”文本框中输入要搜索的字符串。您还可以使用“Show device‑level resources(显示<br />
设备级别资源)”、“Show physical port pairs(显示物理端口对)”和“Show interfaces and sub‑interfaces(显示接口和<br />
子接口)”复选框。当您选中这些复选框时,相应管理域的 Sensor 资源会在“Available Resources(可用资源)”中列<br />
出。例如,如果管理域只拥有从父域分配的 Sensor 端口,而没有自带的 Sensor,那么列出的资源中将没有设备级<br />
别的资源。<br />
14<br />
在“Assignments(分配)”窗口中,从“Available Resources(可用资源)”中选择相应资源,然后单击 。<br />
15 单击“Save(保存)”。<br />
单击“Reset(重置)”以取消您在当前会话中执行的分配。<br />
16 进行 Sensor 配置更新以强制执行策略。<br />
与防火墙相关的容量值<br />
本节介绍了各种 M 系列 Sensor 型号的与防火墙相关的容量值。<br />
型号 有效访问规则 规则对象 DNS 规则对象 规则对象组(例如应用程序组和服务组) 自定义规则对象<br />
M‑8000 10000 70000 2500 500 1000<br />
M‑6050 5000 35000 1250 400 500<br />
M‑4050 3000 21000 1000 300 500<br />
M‑3050 3000 21000 1000 300 500<br />
M‑2750 2000 14000 750 200 250<br />
M‑2850/M‑2950 2000 14000 750 200 250<br />
M‑1250/M‑1450 1000 7000 500 100 150<br />
注意:<br />
• 如果超过上表的限制,则 Sensor 的配置更新会失败。<br />
• 在 Sensor 级别也限制了您能够在防火墙策略中参考的条目数量。对于给定的 Sensor 型号,这些限制与对有效访问<br />
规则的限制相同。这些限制应用于“Source(来源)”、“Destination(目标)”、“Service(服务)”和“Application(应用程<br />
序)”。因此,对于 M‑4050,防火墙策略可以为“Source(来源)”参考 3000 个对象,为“Destination(目标)”参考<br />
3000 个对象,为“Service(服务)”参考 3000 个对象,为“Application(应用程序)”参考 3000 个对象。<br />
• 即使您在所有规则中都参考相同的对象,每条参考都需计数。请考虑下面的示例规则:<br />
1 来源 10.1.1.10 | 目标 20.1.1.10 | 应用程序:cvs、dns、Gmail<br />
2 来源 10.1.1.10 | 目标 20.1.1.20 | 应用程序:cvs、dns、Gmail<br />
268 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册