Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
5<br />
在接口和子接口级别配置策略<br />
<strong>IPS</strong> Sensor 接口节点<br />
高级流量检查<br />
近期,网络协议(向终端应用程序发送数据并从终端应用程序接收数据的机制)暴露出一些漏洞,这些漏洞使得数据绕开<br />
信息安全设备,导致针对目标网络的漏洞利用或攻击。网络流量使用编码或加密技术来规避检测。<strong>Network</strong> <strong>Security</strong><br />
<strong>Platform</strong> 提供了一种针对此类流量执行高级检查的机制。利用Advanced Traffic Inspection(高级流量检查),可以对以<br />
下流量区段进行解码/重组:<br />
• SMTP 协议规范不处理二进制数据的传输,因此要对二进制数据进行编码。目前可以对 SMTP 流量中的编码数据进<br />
行解码,以检测威胁或异常。<br />
• HTTP 响应流量可能包含分块负载。可以对这些负载分块进行重组,便于检测各种威胁或异常。<br />
• HTTP 响应流量可能包含编码数据文件(HTML、PDF 等)可以对 HTTP 响应流量中的这些编码文件进行解码,便于<br />
检测各种威胁或异常。<br />
• 可以对 MS RPC/SMB 流量执行分片或分段操作,或同时执行这两种操作时。可以对这些数据进行重组,以检测各种<br />
威胁或异常。<br />
在包含 90% 正常流量和 10% 利用规避的流量的部署中,如果启用“高级流量检查”功能,Sensor 吞吐量将会降低约 5%。<br />
另请参阅<br />
在接口级别管理保护配置文件 第 297 页<br />
在接口级别配置高级流量检查<br />
要在接口级别配置高级流量检查,请执行以下操作:<br />
任务<br />
1 转到“<strong>IPS</strong> Settings(<strong>IPS</strong> 设置)” | “Sensor_Name(Sensor 名称)” | “Interface‑x(接口 x)” | “<strong>IPS</strong> Interface(<strong>IPS</strong> 接<br />
口)” | “Protection Profile(保护配置文件)”。<br />
2 对入站流量和/或出站流量启用“Advanced Traffic Inspection(高级流量检查)”(对于入站流量选择“Enable Inbound?<br />
(是否启用入站?)”,对于出站流量选择“Enable Outbound?(是否启用出站?)”)。<br />
3 单击“Save(保存)”。<br />
4 单击“Advanced Traffic Inspection(高级流量检查)”。根据需要选择选项和方向(入站/出站)。<br />
图 5-21 配置“Advanced Traffic Inspection(高级流量检查)”<br />
310 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册