- Page 1 and 2:
IPS 管理手册 修订版 A McAfee
- Page 3 and 4:
目录 前言 7 关于本手册 . .
- Page 5 and 6:
如何为 IPS Sensor 配置防火
- Page 7 and 8:
前言 本手册将提供配置、
- Page 9 and 10:
1 计划 IPS 部署 IPS 部署可
- Page 11 and 12:
调整策略 提供默认 Network S
- Page 13 and 14:
如何阻止利用漏洞流量 •
- Page 15 and 16:
| “IP Settings(TCP 设置)”操
- Page 17 and 18:
2 理解 IPS 策略 安全策略或
- Page 19 and 20:
如何设置针对攻击的通知
- Page 21 and 22:
保护类别具有两个级别。
- Page 23 and 24:
3 如何管理 IPS 设置 “IPS Se
- Page 25 and 26:
“IPS Policies(IPS 策略)”选
- Page 27 and 28:
字段名 描述 “Rule Set(规则
- Page 29 and 30:
应用规则集 任务 • 添加
- Page 31 and 32:
在“Summary(摘要)”窗口中
- Page 33 and 34:
3 单击链接以查看该页面。
- Page 35 and 36:
影响类别 影响子类别 •
- Page 37 and 38:
表 3-2 (续) 类别 描述 Sensiti
- Page 39 and 40:
3 选择“Annotations of Parent Ad
- Page 41 and 42:
3 从“Annotations of Parent Admin
- Page 43 and 44:
3 单击“Clone(复制)”。 4
- Page 45 and 46:
3 单击“Bulk Edit(批量编辑)
- Page 47 and 48:
11 单击窗口底部的“OK(确
- Page 49 and 50:
任务 1 选择“IPS Settings(IPS
- Page 51 and 52:
弹出窗口显示攻击的详细
- Page 53 and 54:
12 在“Enter Comment(输入备注
- Page 55 and 56:
如何对侦测策略使用批量
- Page 57 and 58:
• “Delete(删除)”:删除该
- Page 59 and 60:
8 在搜索结果中,选择一个
- Page 61 and 62:
5 选择一个攻击,然后单击
- Page 63 and 64:
任务 1 在 Manager 中,选择“I
- Page 65 and 66:
在规则集中配置智能阻止
- Page 67 and 68:
任务 1 在 Manager 中,选择“/
- Page 69 and 70:
任务 1 选择“IPS Settings(IPS
- Page 71 and 72:
9 选择“Include(包含)”或“
- Page 73 and 74:
12 单击“Protocol(协议)”选
- Page 75 and 76:
14 单击“Application(应用程
- Page 77 and 78:
17 单击“SmartBlocking(智能阻
- Page 79 and 80:
3 单击“Delete(删除)”。 4
- Page 81 and 82:
默认串联 IPS 策略 • “Poli
- Page 83 and 84:
该表包括以下列: • “Proto
- Page 85 and 86:
• 在“Configure Attack Details(
- Page 87 and 88:
• “Signature Desc(特征码描
- Page 89 and 90:
选择是否要将“Attack Name Se
- Page 91 and 92:
• “软件第 2 版”:从下拉
- Page 93 and 94:
4 单击“Edit Attack Details for
- Page 95 and 96:
5 在“Notifications(通知)”区
- Page 97 and 98:
学习模式 阈值模式 在学习
- Page 99 and 100:
字段名 字段描述 “Sensor Re
- Page 101 and 102:
5 系统会自动选中“Transport
- Page 103 and 104:
任务 1 选择“IPS Settings(IPS
- Page 105 and 106:
6 双击“IGSetup.exe”。 图 3-
- Page 107 and 108:
10 双击“IG_setup.exe” 图 3-8
- Page 109 and 110:
任务 1 转到“开始” | “
- Page 111 and 112:
选择要导入的策略 导入和
- Page 113 and 114:
完成策略导入 在所有这三
- Page 115 and 116:
• Alert & Deny Excess Connections
- Page 117 and 118:
• Ping (ICMP echo Request)(Ping(I
- Page 119 and 120:
GTI 不支持 XFF IP,因此所有 G
- Page 121 and 122:
• Move Up(上移) • Move Down(
- Page 123 and 124:
• Alert Only(仅发出警报) •
- Page 125 and 126:
• SPAN 端口 • 连接限制规
- Page 127 and 128:
此时会显示“Add an Attack Fil
- Page 129 and 130:
7 对于来源和目标 IP 地址
- Page 131 and 132:
“Attack Filter Assignments(攻击
- Page 133 and 134:
“Filter Assignment: (过滤器分
- Page 135 and 136:
防火墙策略 4 选择要导入
- Page 137 and 138:
如何管理 IPS 设置 防火墙
- Page 139 and 140:
• Sensor 的物理端口。 •
- Page 141 and 142:
这些应用程序特征码捆绑
- Page 143 and 144:
假设用户尝试访问已知的 G
- Page 145 and 146:
• 在“Show(显示)”列表中
- Page 147 and 148:
添加应用程序组 任务 1 开
- Page 149 and 150:
添加网络组 任务 1 输入有
- Page 151 and 152:
添加服务组 任务 1 选择“I
- Page 153 and 154:
3 输入 DNS 后缀。 您可以输
- Page 155 and 156:
添加访问规则 查看防火墙
- Page 157 and 158:
i 单击“OK(确定)”。 j 要
- Page 159 and 160:
4 单击“Save(保存)”。 5 进
- Page 161 and 162:
5 单击“Save(保存)”。 如
- Page 163 and 164:
8 在“Application(应用程序)
- Page 165 and 166:
限制 • 只有在“TCP flow vio
- Page 167 and 168:
9 单击“Save(保存)”。 单
- Page 169 and 170:
任务 1 在 Manager 中,选择“I
- Page 171 and 172:
任务 1 转到“IPS Settings(IPS
- Page 173 and 174:
对于子接口,您只能从其所
- Page 175 and 176:
当创建接口时,启发式 Web
- Page 177 and 178:
4 单击“Save(保存)”以保存
- Page 179 and 180:
当 Sensor 检测到了自定义的
- Page 181 and 182:
2 在“GTI”部分下方,您可
- Page 183 and 184:
6 单击“Manage File Types(管理
- Page 185 and 186:
如何启用安全套接字层 (SSL
- Page 187 and 188:
任务 1 选择“IPS Settings(IPS
- Page 189 and 190:
下面是在 Manager 中进行 IPS
- Page 191 and 192:
9 要对由于此攻击而隔离的
- Page 193 and 194:
5 选择所需的攻击数目(例
- Page 195 and 196:
请查看以下内容了解 IPS 隔
- Page 197 and 198:
4 如果需要将配置继承到子
- Page 199 and 200:
• “Description(描述)”:规
- Page 201 and 202:
任务 1 从资源树中,选择“I
- Page 203 and 204:
3 选择“Next(下一步)”。
- Page 205 and 206:
您可以针对“Quarantine Durati
- Page 207 and 208:
表 3-6 (续) 字段名 描述 Host
- Page 209 and 210:
对警报和数据包日志进行
- Page 211 and 212:
如果选择“Weekly(每周)”,
- Page 213 and 214:
2 执行以下任一操作: a 单
- Page 215 and 216:
4 通过以下两种方式指定要
- Page 217 and 218:
容量规划 Manager 中的“Capac
- Page 219 and 220:
数据库大小要求 我们根据
- Page 221 and 222:
d 单击“Calculate(计算)”。
- Page 223 and 224:
“Manager Cache(Manager 缓存)”
- Page 225 and 226:
3 单击“New(新建)”。 “SNM
- Page 227 and 228:
修改或删除 SNMP 服务器设
- Page 229 and 230:
表 3-8 Syslog ‑ 配置选项 字
- Page 231 and 232:
• 单击“Save(保存)”,返回
- Page 233 and 234:
单击“Save(保存)”返回到
- Page 235 and 236:
更新设备配置 “Configuration
- Page 237 and 238:
4 在 Sensor 级别配置 IPS 策
- Page 239 and 240:
6 单击“Save(保存)”。 弹
- Page 241 and 242:
“Filter Assignment: (过滤器分
- Page 243 and 244:
任务 1 单击“IPS Settings(IPS
- Page 245 and 246:
如果网络流量随时间自然
- Page 247 and 248:
任务 • 选择“IPS Settings(IP
- Page 249 and 250:
配置 TCP 设置 此操作只能
- Page 251 and 252:
TCP 参数 描述 SYN Cookie SYN Co
- Page 253 and 254:
要编辑参数,请指定新的参
- Page 255 and 256:
另请参阅 Jumbo Frame 解析第
- Page 257 and 258:
2 在“Common IP Parameters(常见
- Page 259 and 260:
2 在“OS Finger Printing(操作
- Page 261 and 262:
任务 1 选择“IPS Settings(IPS
- Page 263 and 264:
Network Security Platform 支持使
- Page 265 and 266:
您可以右键单击“Host(主机
- Page 267 and 268:
5 在“Type(类型)”中选择“
- Page 269 and 270:
虽然两个规则中的来源是
- Page 271 and 272:
任务 1 转到“IPS Settings(IPS
- Page 273 and 274:
已用 CIDR 地址分配方式细
- Page 275 and 276:
速率限制用于控制通过网
- Page 277 and 278:
队列计数 队列计数是指为
- Page 279 and 280:
6 为新的流量管理队列输入
- Page 281 and 282:
任务 1 从资源树中,选择“I
- Page 283 and 284:
表 4-2 Sensor 受限端口 I‑401
- Page 285 and 286:
如何启用 SSL 解密 适用于 D
- Page 287 and 288:
6 输入“SSL Cache Timer(SSL 缓
- Page 289 and 290:
6 单击“Apply(应用)”。 弹
- Page 291 and 292:
在 Manager 中,要在 Sensor 端
- Page 293 and 294:
NTBA 选项卡中的第 7 层数据
- Page 295 and 296:
5 在接口和子接口级别配置
- Page 297 and 298:
接口节点可通过导航到“IP
- Page 299 and 300:
另请参阅 自定义本地 IPS
- Page 301 and 302:
5 通过启用以下“Edit(编辑)
- Page 303 and 304:
10 选择“Reset(重置)”并单
- Page 305 and 306:
在接口级别分配连接限制
- Page 307 and 308:
4 单击“Save(保存)”。 5 验
- Page 309 and 310:
此时会打开“Advanced Botnet D
- Page 311 and 312:
所提供选项如下所示: • Re
- Page 313 and 314:
3 单击“File Reputation ‑ GTI
- Page 315 and 316:
3 即会打开“Configure Policy(
- Page 317 and 318:
对于子接口,您只能从其所
- Page 319 and 320:
4 单击“Save(保存)”以保存
- Page 321 and 322:
当 Sensor 检测到了自定义的
- Page 323 and 324:
步骤: a 转到“IPS Settings(IPS
- Page 325 and 326:
任务 1 转到“IPS Settings(IPS
- Page 327 and 328:
任务 1 转到“IPS Settings(IPS
- Page 329 and 330:
检查 X-Forwarder-For 报头信息
- Page 331 and 332:
查看接口详细信息 要查看
- Page 333 and 334:
3 在新的“VLAN”或“CIDR”
- Page 335 and 336: 创建子接口 如果有 VLAN、
- Page 337 and 338: 查看接口上应用的 DoS 策略
- Page 339 and 340: 分配 ACL 规则 可以在接口
- Page 341 and 342: • Assigned Policy(分配的策略
- Page 343 and 344: 创建子接口时,您可以指定
- Page 345 and 346: 6 使用 IPS 检测带有双重 VLA
- Page 347 and 348: McAfee ® Network Security Platform
- Page 349 and 350: 7 拒绝服务 7 拒绝服务 (DoS)
- Page 351 and 352: DDoS 攻击工具 DDoS 攻击可通
- Page 353 and 354: 基于阈值的模式 在阈值模
- Page 355 and 356: 警报 解决利用 DDoS 攻击工
- Page 357 and 358: 了解策略编辑选项 “Edit IP
- Page 359 and 360: 创建 DoS 策略时,必须注意
- Page 361 and 362: VLAN 假定端口 1A 的流量为 V
- Page 363 and 364: 3 在“IP Address(IP 地址)”字
- Page 365 and 366: 请注意,在提交所做的更改
- Page 367 and 368: IPS 设置级别的选项 在 Manag
- Page 369 and 370: 3 单击“DoS Attacks(DoS 攻击)
- Page 371 and 372: 7 在“Sensor Response(Sensor 响
- Page 373 and 374: • “DoS Profile Upload and Resto
- Page 375 and 376: 以下信息可帮助您理解该
- Page 377 and 378: 任务 1 单击“Admin_Domain_Name
- Page 379 and 380: TCP 参数 描述 “Outbound Thres
- Page 381 and 382: 队列计数 “Queue Count(队列
- Page 383 and 384: 字段 描述 “UDP Port(UDP 端
- Page 385: 3 选择想要自定义的攻击,
- Page 389 and 390: 2 即会显示所选警报的警报
- Page 391 and 392: • “Threshold Duration(阈值持
- Page 393 and 394: 任务 1 右键单击攻击实例,
- Page 395 and 396: 4 使用以下 CLI 命令,在 Senso
- Page 397 and 398: 配置 ACL • stRate ‑‑ short
- Page 399 and 400: 以下含义和先决条件应用
- Page 401 and 402: 索引 A ACL ACL Syslog 转发程
- Page 403: 700-3578A11