Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
默认串联 <strong>IPS</strong> 策略<br />
• “Policy Violation(违反策略)”:底层流量内容本身可能并无恶意,但却明确违反了管理域使用策略的所有活动。它<br />
包括违反一般使用方式的应用协议行为。<br />
• “Reconnaissance(侦测)”:所有活动的目的是收集情报,为进一步攻击做准备,例如通过扫描或探查端口枚举或确<br />
定服务和潜在漏洞。<br />
所有提供的策略(除两个 All‑Inclusive(综合策略)策略)都允许最低严重性为 2(低)和最高良性触发几率为 4(中)的<br />
攻击。严重性和良性触发几率设置可排除已知的干扰特征码,以限制虚假警报。<br />
规则集 防御目标:<br />
Default IDS(默认 IDS) 所有攻击。<br />
Default Inline <strong>IPS</strong>(默认串联<br />
<strong>IPS</strong>)<br />
所有攻击和 <strong>McAfee</strong> 建议阻止的所选攻击<br />
Outside Firewall(防火墙外部) 除“Reconnaissance(侦测)”类别之外的所有攻击。<br />
DMZ 所有攻击类型,使用 TFTP、Telnet、RIP、NETBIOS、NFS 和 WINS 的利用漏洞攻<br />
击除外。<br />
Inside Firewall(防火墙内部) 所有攻击类型,使用 TFTP、Telnet 和 RIP 的利用漏洞攻击除外。<br />
Internal Segment(内部网段) 所有攻击,使用 RIP 和路由协议的利用漏洞攻击除外。<br />
Web Server(Web 服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、HTTP 和 FTP 协议的利用漏<br />
洞攻击。<br />
Mail Server(邮件服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、SMTP、POP3 和 IMAP 协议<br />
的利用漏洞攻击。<br />
DNS Server(DNS 服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS 协议的利用漏洞攻击。<br />
File Server(文件服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、NFS/RPC 和 NETBIOS/<br />
SMB 协议的利用漏洞攻击。<br />
Windows Server(Windows 服务<br />
器)<br />
受影响的操作系统包括 Windows 的所有攻击。<br />
Solaris Server(Solaris 服务器) 受影响的操作系统包括 Solaris 的所有攻击。<br />
UNIX Server(UNIX 服务器) 受影响的操作系统包括 UNIX 的所有攻击。<br />
Linux Server(Linux 服务器) 受影响的操作系统包括 Linux 的所有攻击。<br />
Windows and UNIX Server<br />
(Windows 和 UNIX 服务器)<br />
Windows and Solaris Server<br />
(Windows 和 Solaris 服务器)<br />
Windows, Linux, and Solaris<br />
Server(Windows、Linux 和<br />
Solaris 服务器)<br />
All‑Inclusive without Audit(综合<br />
策略,不含审核)<br />
All‑Inclusive with Audit(综合策<br />
略,包含审核)<br />
受影响的操作系统包括 Windows 或 UNIX 的所有攻击。<br />
受影响的操作系统包括 Windows 或 Solaris 的所有攻击。<br />
受影响的操作系统包括 Windows、Linux 或 Solaris 的所有攻击。<br />
所有攻击,包括带有已知干扰特征码的攻击,但不含严重性为“Informational(信息)”<br />
级别的攻击。此策略与“Default(默认)”策略的不同之处在于它会对 <strong>Network</strong><br />
<strong>Security</strong> <strong>Platform</strong> 数据库中的所有攻击(包括那些带有干扰特征码的攻击)发出警报。<br />
这样有利于安全专家对网络流量进行全面分析。未启用信息“攻击”。<br />
与上一个类似,但包含“Informational(信息)”级别的警报。<br />
如何管理 <strong>IPS</strong> 设置<br />
如何配置和管理策略 3<br />
Null(无) 默认禁用所有特征码。此策略用于 <strong>IPS</strong> 需要忽略某一流量支流的情况。<br />
当 <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 初始化时,<strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> 在默认情况下使用“Default Inline <strong>IPS</strong>(默认串联<br />
<strong>IPS</strong>)”策略。此策略会自动拦截可以按照 <strong>McAfee</strong> 确定的高可信度检测到的最严重的攻击。要防御无处不在的攻击,<br />
<strong>McAfee</strong> 在确定是否应将某些攻击包含在“Default Inline <strong>IPS</strong>(默认串联 <strong>IPS</strong>)”中时,还考虑这些攻击的流行程度。<br />
<strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册 81
Change language