Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
4 单击“Save(保存)”。<br />
5 验证入站和出站“Effective Firewall Rules(有效防火墙策略)”。<br />
6 进行 Sensor 配置更新,以强制执行策略。<br />
另请参阅<br />
在接口级别管理保护配置文件 第 297 页<br />
接口级别的保护选项<br />
使用此页以在接口级别配置保护选项。您可以在这里启用入站和出站流量选项。<br />
入站流量是在串联或 Tap 模式中指定为“Outside(外部)”的端口所收到(即来自网络外部)的流量。通常入站流量都发往<br />
受保护网络,如企业内部网。出站指源自内部网络的流量。<br />
出站流量是从企业内部网的系统发出、在串联或 Tap 模式中指定为“Inside(内部)”的端口上所观察到(即来自网络内部)<br />
的流量。<br />
如果启用了 GTI,则 IP 信誉将适用于所有连接,但会以不同的方式用于入站和出站连接:<br />
• 对于出站连接 ‑ 如果 GTI 报告目标主机有恶意目的,则会引发“GTI:High Risk External IP Detected(GTI: 检测到高<br />
风险外部 IP)”攻击。可以将此攻击配置为进行阻止。随后,系统会缓存外部恶意主机信誉,并阻止到该主机的所有<br />
连接。<br />
• 对于入站连接 ‑ 当启用 GTI 并配置连接限制规则时,您便可以阻止入站连接上接收到的恶意流量。例如,您可以将<br />
Sensor 部署在 Web 服务器的前面,并启用 GTI 和连接限制规则,以限制对服务器的访问并阻止 DoS 攻击。<br />
高级僵尸网络检测<br />
选择“Enable Inbound?(是否启用入站?)”或“Enable Outbound?(是否启用出站?)”选项,以启用所选的流量。<br />
Bot 被定义为在已遭破坏的系统上运行的恶意软件,目的是入侵已遭破坏的计算机的集中管理网络(称为僵尸网络)。就<br />
目前所知,单个僵尸网络由超过一百万个已遭破坏的计算机组成,可以算是当前全球 Internet 所面临的最大威胁。<br />
僵尸牧人将从包含成千上万个傀儡的大规模僵尸网络转移到规模更小且更具针对性的网络。另外,适用于命令与控制<br />
(C&C) 的 IRC 协议逐步被淘汰,进而采用更隐匿的协议,如 HTTP、通过 433 端口的非 SSL 加密流量,等等。<br />
对类似 Bot 的行为的识别通常要经过几个阶段(每个阶段采用单独的攻击 ID 来识别)。通常攻击特征码可以检测单流中<br />
的攻击(除侦测攻击外)。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 可以通过为不同流之间的多个攻击建立关联来支持“高级僵尸网络<br />
检测”功能。通过在给定的时间段中观测主机,从而在攻击之间建立关联。<br />
成功建立关联后,高级僵尸网络检测可提供从不同攻击阶段检索到的详细信息。<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 还可以将攻<br />
击信息转发至 NTBA Appliance,以便建立类似的关联。<br />
另请参阅<br />
在接口级别管理保护配置文件 第 297 页<br />
在接口和子接口级别配置策略<br />
<strong>IPS</strong> Sensor 接口节点 5<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册 307