Network Security Platform 7.0 IPS Administration Guide - McAfee

3
如何管理 IPS 设置
如何配置和管理策略
如何管理规则集
“Rule Sets(规则集)”操作可通过强大的工具精确定义要保护的环境资源。规则集由网络环境所特定的攻击组成,例如
使用的操作系统、安装的应用程序(电子邮件、聊天等程序)和用于传输数据的传输和应用协议(HTTP、FTP 等)。协
议字段包括按攻击名称、严重性和特征码触发误报几率选项确定的 Network Security Platform 检测到的所有攻击。配置
的每一条规则都缩小了 Sensor 接口(接口是策略应用主体)的检测范围,以提供最高的检测精确性和最强大的性能。
“Rule Sets(规则集)”选项卡提供以下功能:
• 查看规则集 • 编辑规则集
• 添加规则集 • 删除规则集
• 复制规则集
查看规则集
要查看预先配置或自定义的规则集,请执行以下操作:
任务
1 单击“IPS Settings(IPS 设置)” | “IPS & Recon(IPS 和侦测)” | “Rule Sets(规则集)”。
2 选择一个规则集行,然后单击“View/Edit(查看/编辑)”。
随即将显示规则集。
规则集信息的加载和显示需要数秒的时间。
在“Rule Sets(规则集)”选项卡中,可以通过选中“View Selected Attacks(查看选定的攻击)”选项来从规则集行中查
看选定的攻击。
添加规则集
使用“Rule Sets(规则集)”可以创建规则集,从而指定在检测过程中必须检测(包含)或忽略(排除)的攻击。Sensor 按
先后顺序依次应用“Include(包含)”和“Exclude(排除)”规则检查每一传输;因此,数据与规则集内的每条规则进行比较
后,会被允许通过或者被标记为恶意。
对于 5.1 Sensor,在将新规则集添加到策略,并且有两个与“Recommended For Blocking(建议阻止 (RFB))”的攻击相
关的选项可用时,请注意以下几点。可以对新规则集使用一个选项或两个选项。
• 新规则集可以只显示“Recommended For Blocking(建议阻止 (RFB))”的攻击。
• 新规则集可以自动阻止“Recommended for SmartBlocking(建议智能阻止 (RFSB))”的攻击。
自 6.0 版本以来,Sensor 同时支持正常阻止和智能阻止两种功能。McAfee 建议对某些攻击进行智能阻止,这些攻击称
为“Recommended for SmartBlocking(建议智能阻止 (RFSB))”的攻击。
智能阻止功能根据触发攻击的攻击特征码的良性触发几率 (BTP) 值对攻击进行阻止。
使用“Rule Sets(规则集)”时,创建或修改设置的任务最多打开四个独立的 Java 窗口。每个窗口都带有一个“OK(确定)”
按钮或 “Cancel(取消)”按钮。单击“OK(确定)”将保存信息并且关闭窗口。单击“Cancel(取消)”则中止任何操作并关闭
窗口。如果要继续创建或修改策略,则在您完成所有可用的选项卡、步骤或操作之前,不要选择“OK(确定)”。
要创建规则集,请执行以下操作:
68 McAfee ® Network Security Platform 7.0 IPS 管理手册