Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
分配 ACL 规则<br />
可以在接口级别分配 ACL。<br />
<strong>IPS</strong> Sensor 子接口节点<br />
如果要为某个接口分配对于子域不可见的 ACL 规则,那么,当您尝试将该接口委托给子域时,会显示一条错误消息。<br />
如果要在配置了 ACL 的情况下,从子域调用已经接受父域委托的接口,则会显示一条错误消息。您将必须首先删除该<br />
ACL 才能收回该接口。<br />
“Sub‑interface‑x(子接口 x)”资源是表示接口分段的节点,接口分段的目的在于更精细地划分监控和保护范围。因为您<br />
需要使用某个策略为指定主机或网络上的特别流量提供最安全的保护,所以通常都会创建子接口。可以在创建子接口的<br />
过程中应用不同于接口上策略的策略。这样就可以在一个接口上灵活地实施多个策略。<br />
位于网络汇集位置的 Sensor 具备足够的智能特性,可以检查流量内容并分离上行链路中指定的 VLAN 或 CIDR ID。企<br />
业通常将以上流量类型分别用于组织内的单个主机或组内的分段数据上。<br />
图 5-46 子接口示例<br />
在接口和子接口级别配置策略<br />
<strong>IPS</strong> Sensor 子接口节点 5<br />
“子接口示例”一图说明了部署子接口保护子通信流的方案。在此示例中,<strong>Network</strong> <strong>Security</strong> Sensor 使用 Tap 模式监视路<br />
由器和交换机之间的上行链路。交换机背后是三个 Solaris 服务器和五个 Windows 工作站组成的网络。这三台服务器<br />
(A、B 或 C)需要使用独立于上行链路上其他通信量的策略。该网络地址为 192.168.0.0/24,服务器地址如下所示:A<br />
为 192.168.0.1/32、B 为 192.168.0.2/32、C 为 192.168.0.3/32。您可将接口流量类型设为 CIDR,并添加服务器 A、<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册 339