网络引擎

网络引擎

客户端/设备的网络引擎可以桥接模式或分接模式运行。以桥接模式运行时，活动数据包流会经过网络引擎。系统会维护状态表、应用防火墙规则并执行网络通信规范化，以便可以将入侵防御规则应用到有效载荷内容。以分接模式运行时，系统会克隆活动数据包流并从主数据流中转移。在分接模式下，不会修改活动数据包流，所有操作都将在克隆的数据流上执行。

事件

您可以设置每个日志文件的最大大小，以及最新文件的保留数目。系统会不断地在事件日志文件中写入数据，直到达到允许的最大大小，此后，将创建一个新的文件，并开始在其中写入数据，直到达到最大大小，以此类推。达到最大文件数目时，会先删除最旧的文件，然后创建新的文件。事件日志条目的平均大小通常约为 200 字节，因此一个 4 MB 的日志文件大约可保留 20,000 个日志条目。日志文件填满的速度取决于现有规则的数目。

• 事件日志文件的最大大小 (在客户端/设备上)：如果在一台或多台计算机上开始显示“磁盘空间不足”的警报，请调整这些设置。
• 要保留的事件日志文件数 (在客户端/设备上)：如果在一台或多台计算机上开始显示“磁盘空间不足”的警报，请调整这些设置。
  事件是单个事件的记录。计数器是单个事件发生次数的记录。事件可用于填充事件页面。计数器可用于填充“控制台”Widget（过去 7 天的防火墙事件数目等）和“报告”。例如，如果您使用 syslog 来收集事件，则您可能只想要收集计数器；事件可能占用大量的磁盘空间，因此您不会希望存储数据两次。
• 不记录以下源 IP 的事件：如果不希望 Vulnerability Protection 趋势科技服务器深度安全防护系统记录来自某些可信计算机的网络通信事件，可以使用此选项。
  使用以下三种设置可以微调事件聚合。为了节省磁盘空间，Vulnerability Protection 趋势科技服务器深度安全防护系统客户端/设备会提取多次出现的相同事件，然后将这些事件聚合到一个条目中，并附加“重复计数”、“首次出现”时间戳和“末次出现”时间戳。要聚合事件条目，Vulnerability Protection 趋势科技服务器深度安全防护系统客户端/设备需要在内存中缓存这些条目，同时在将其写入磁盘之前聚合它们。
• 缓存大小：确定在任何给定时间要跟踪的事件类型数。将该值设置为 10 意味着将跟踪 10 种类型的事件（使用重复计数、首次出现时间戳以及末次出现时间戳。）当出现新类型的事件时，最早聚合的 10 个事件将从缓存中刷新并写入磁盘。
• 缓存期限：确定在将记录刷新到磁盘之前要在缓存中保存该记录的时间。如果此值为 10 分钟，且没有其他内容导致刷新该记录，则保存达 10 分钟的任何记录都会 被刷新到磁盘中。
• 缓存失效时间：确定保存其重复计数最近未递增的记录的时间。如果缓存期限为 10 分钟，缓存失效时间为 2 分钟，则已经过 2 分钟且未递增的事件记录将被刷新并写入磁盘。
  不管上述设置如何，只要将事件发送给 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心，就会刷新缓存。

反规避设置

反规避设置能够控制网络引擎对可能会尝试规避分析的异常数据包所做的处理。

状态：“状态”设置有三个选项。此设置可从父策略继承：

• 正常：这是缺省设置。它会阻止规避 IPS 规则，不会误报。
• 严格：严格模式比“正常”模式执行更严格的检查，但可能会出现一些误报结果。严格模式对于渗透测试非常有用，但在正常情况下不应启用。
• 定制：如果您选择定制，可以使用其他设置来指定趋势科技服务器深度安全防护系统如何处理数据包问题。对于这些设置（TCP 时间戳 PAWS 时段除外），选项有忽略（趋势科技服务器深度安全防护系统将数据包发送到系统）、忽略并记录（与“忽略”的行为相同，但会记录事件）、拒绝（趋势科技服务器深度安全防护系统会丢弃数据包并记录事件）或静默拒绝（与“拒绝”的行为相同，但不记录事件）：
  • TCP 时间戳无效：TCP 时间戳过旧时执行的操作。
  • TCP 时间戳 PAWS 时段：数据包可以包含时间戳。如果某个时间戳早于在它之前出现的时间戳，那么这个时间戳比较可疑。时间戳容差取决于操作系统。对于 Windows 系统，选择 0（系统将仅接受时间戳比前一个数据包更晚或与之相等的数据包）。对于 Linux 系统，选择 1（系统将接受时间戳比前一个数据包最多早一秒的数据包）。
  • 允许时间戳 PAWS 为零：当 TCP 时间戳为零时执行的操作。
  • 片段化数据包：数据包片段化时执行的操作。
  • TCP 零标志：当数据包设置了零标志时执行的操作。
  • TCP 堵塞标志：当数据包设置了堵塞标志时执行的操作。
  • TCP 紧急标志： 当数据包设置了紧急标志时执行的操作。
  • TCP Syn Fin 标志： 当数据包同时设置了 SYN 和 FIN 标志时执行的操作。
  • TCP Syn Rst 标志： 当数据包同时设置了 SYN 和 RST 标志时执行的操作。
  • TCP Rst Fin 标志： 当数据包同时设置了 RST 和 FIN 标志时执行的操作。
  • 数据的 TCP Syn： 当数据包设置了 SYN 标志同时又包含数据时执行的操作。
  • TCP 分离握手攻击： 收到 SYN 而非 SYNACK 作为对 SYN 的回复时执行的操作。
  • RST 数据包连接断开： 在无已知连接的情况下针对 RST 数据包执行的操作。
  • FIN 数据包连接断开： 在无已知连接的情况下针对 FIN 数据包执行的操作。
  • OUT 数据包连接断开： 在无已知连接的情况下针对传出数据包执行的操作。
  • 规避重新传送量： 对包含重复或重叠数据的数据包执行的操作。
  • TCP 校验和： 对包含无效校验和的数据包执行的操作。

高级网络引擎设置

当客户端配置数据包超过最大大小时生成警报：“是”或“否”。缺省值为“是”。

如果取消选择缺省复选框，可以定制以下设置：

• CLOSED 超时：用于网关。当网关传递“强制关闭”(RST) 时，网关上收到 RST 的一端会在这段时间内将连接保持在可用状态，然后才会关闭连接。
• SYN_SENT 超时：关闭连接之前保持 SYN-SENT 状态的时间。
• SYN_RCVD 超时：关闭连接之前保持 SYN-RCVD 状态的时间。
• FIN_WAIT1 超时： 关闭连接之前保持 FIN-WAIT1 状态的时间。
• ESTABLISHED 超时：关闭连接之前保持 ESTABLISHED 状态的时间。
• ERROR 超时：使连接保持错误状态的持续时间。（对于 UDP 连接，错误可能是由任何一种 UDP 问题造成的。对于 TCP 连接，错误可能是由于防火墙丢弃数据包而造成的。）
• DISCONNECT 超时： 连接在断开前保持空闲的时间。
• CLOSE_WAIT 超时：关闭连接之前保持 CLOSE-WAIT 状态的时间。
• CLOSING 超时：关闭连接之前保持 CLOSING 状态的时间。
• LAST_ACK 超时：关闭连接之前保持 LAST-ACK 状态的时间。
• ACK 风暴超时：在 ACK 风暴中两次重新传送 ACK 之间的最长时间段。换而言之，如果以较低频率重新传送 ACK 时超时，则不会将其视为 ACK 风暴的一部分。
• 引导启动超时：用于网关。当网关引导时，可能已经建立了通过网关的连接。此超时定义允许非 SYN 数据包的时间长短，此数据包可能是网关引导关闭前已建立的连接的一部分。
• 冷启动超时：允许非 SYN 数据包的时间长短，此数据包可能属于在状态机制启动前已建立的连接。
• UDP 超时：UDP 连接的最长持续时间。
• ICMP 超时：ICMP 连接的最长持续时间。
• 允许空 IP：允许或阻止没有源和/或目标 IP 地址的数据包。
• 在版本 8 及较早版本的客户端和设备上阻止 IPv6：在较早版本 8.0 的客户端和设备上阻止或允许 IPv6 数据包。
  趋势科技服务器深度安全防护系统客户端和设备版本 8.0 及较早版本无法将防火墙或 DPI 规则应用到 IPv6 网络流量，因此这些较早版本的缺省设置是阻止 IPv6 网络通信。
• 在版本 9 及更高版本的客户端和设备上阻止 IPv6：在版本 9 或更高版本的客户端和设备上阻止或允许 IPv6 数据包。
• 连接清理超时： 清理已关闭连接的间隔时间（参阅下一个设置）。
• 每次清理的最大连接数：每次定期连接清理所要清理的最大已关闭连接数（请参阅上一个设置）。
• 阻止相同的源-目标 IP 地址：阻止或允许具有相同的源 IP 地址和目标 IP 地址的数据包。（不适用于回环接口。）
• 最大 TCP 连接数： 最大同时 TCP 连接数。
• 最大 UDP 连接数： 最大同时 UDP 连接数。
• 最大 ICMP 连接数： 最大同时 ICMP 连接数。
• 每秒最大事件数：每秒可写入的最大事件数。
• TCP MSS 限制：MSS 是 TCP 数据包中可以发送且不会被片段化的最大段大小（或最大数据量）。该限制通常在两台计算机建立通信时建立。但在某些情况下，网络通信会通过 MSS 较小的路由器或交换机。在这种情况下，MSS 可以更改。这将造成数据包的重新传送，客户端/设备会将这些数据包记录为“丢弃的重新传送量”。当存在大量丢弃的重新传送量事件条目时，您可能希望降低此限制，并查看卷是否减少。
• 事件节点数：驱动程序将用于存储日志/事件信息以供随时进行折叠的最大内核内存量。
  当多个相同类型事件连续发生时，事件发生折叠。在这种情况下，客户端/设备会将所有事件“折叠”为一个事件。
• 忽略状态代码：使用此选项可忽略某些类型的事件。例如，如果您获取大量“标志无效”，则只需忽略该事件的所有实例。
• 忽略状态代码：同上。
• 忽略状态代码：同上。
• 高级日志记录策略：
  • 放行： 不执行事件过滤。覆盖“忽略状态代码”设置（如上所述）及其他高级设置，但不覆盖 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心中定义的日志记录设置。例如，在 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心中通过“防火墙状态配置属性”窗口设置的“防火墙状态配置”日志记录选项将不会受到影响。
  • 缺省：如果引擎处于分接模式，将切换至“分接模式”（下方）；如果引擎处于桥接模式，将切换至“正常”（上方）。正常： 除了丢弃的重新传送量，将记录所有事件。
  • 向后兼容性模式：仅供支持人员使用。
  • 详细模式： 除了包括丢弃的重新传送量，均与“正常”相同。
  • 状态和规范化抑制：忽略丢弃的重新传送量、连接断开、标志无效、序列无效、ACK 无效、未经请求的 UDP、未经请求的 ICMP 以及不允许的策略。
  • 状态、规范化和片段抑制： 忽略“状态和规范化抑制”忽略的一切内容，以及与片段化相关的事件。
  • 状态、片段和验证程序抑制： 忽略“状态、规范化和片段抑制”忽略的一切内容，以及与验证程序相关的事件。
  • 分接模式：忽略丢弃的重新传送量、连接断开、标志无效、序列无效、ACK 无效、最大的 ACK 重新传送量和已关闭连接中的数据包。
  有关在状态和规范化抑制；状态、规范化和片段抑制；状态、片段和验证程序抑制以及分接模式下忽略了哪些事件的更完整列表，请参阅参考部分中的高级日志记录策略模式。
• 静默 TCP 连接丢弃： 当启用“静默 TCP 连接丢弃”时，RST 数据包将仅发送至本地堆栈。未在线发送任何 RST 数据包。这将减少发送回潜在攻击者的信息量。
  如果启用“静默 TCP 连接断开”，还必须调整“DISCONNECT 超时”。“DISCONNECT 超时”的可能值范围为 0 秒至 10 分钟。该超时值必须设置得足够高，以便连接在被 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端/设备关闭之前先由应用程序关闭。影响 DISCONNECT 超时值的因素包括操作系统、创建这些连接的应用程序以及网络拓补。
• 启用调试模式：在调试模式下，客户端/设备会捕获一定数量的数据包（由以下设置指定：要在调试模式下保留的数据包数）。如果触发某个规则且调试模式处于打开状态，客户端/设备将保留触发该规则之前传递的最后 X 个数据包的记录。它会将这些数据包作为调试事件返回给管理中心。
  调试模式极易生成大量日志，且只有在客户端服务部门的监督下才能使用。
• 要在调试模式下保留的数据包数量：当调试模式开启时要保留和记录的数据包数量。
• 记录所有数据包数据：记录与特定防火墙规则或入侵防御规则无关的事件的数据包数据。也就是说，记录诸如“丢弃的重新传送量”或“ACK 无效”等事件的数据包数据。
  由于事件发生折叠而聚合的事件无法保存其数据包数据。
• 在期间内仅记录一个数据包：如果已启用此选项且未启用记录所有数据包数据，则大多数日志将仅包含标头数据。将定期附加完整数据包，如在期间内仅记录一个数据包的期间设置所指定。
• 在期间内仅记录一个数据包的期间：启用在期间内仅记录一个数据包后，此设置会指定日志包含完整数据包数据的频率。
• 捕获数据包数据时存储的最大数据大小：要添加到日志的标头数据或数据包数据的最大大小。
• 生成 TCP 连接事件：每次建立 TCP 连接时都会生成防火墙事件。
• 生成 ICMP 连接事件：每次建立 ICMP 连接时都会生成防火墙事件。
• 生成 UDP 连接事件：每次建立 UDP 连接时都会生成防火墙事件。
• 绕开 Cisco WAAS 连接：对于使用选定的专有 CISCO WAAS TCP 选项启动的连接，此模式会绕开对 TCP 序列号的状态分析。此协议会在无效的 TCP 序列号和 ACK 编号中包含额外信息，这会影响防火墙状态检查。仅当使用 CISCO WAAS 且在防火墙日志中显示与无效的 SEQ 或 ACK 的连接时，启用此选项。选择此选项后，对于未启用 WAAS 的连接，将仍执行 TCP 序列号状态检查。
• 丢弃规避重新传送量：将丢弃包含已经过处理的数据的传入数据包，以避免可能的不明确重新传送攻击技术。
• 验证 TCP 校验和：片段的校验和文本框数据将用于评估该片段的完整性。
• 最小片段偏移量：定义可接受的最小 IP 片段偏移量。其偏移量小于此值的数据包将被丢弃，原因是“IP 片段偏移量太小”。如果将其设置为 0，则无任何限制。（缺省值为 60）
• 最小片段大小：定义可接受的最小 IP 片段大小。大小小于此值的片段化数据包将被丢弃，原因是“第一个片段太小”，可能包含恶意内容。（缺省值为 120）
• SSL 会话大小：设置为 SSL 会话密钥维护的最大 SSL 会话条目数。
• SSL 会话时间：设置 SSL 会话续订密钥在过期之前的有效时间。
• 过滤 IPv4 隧道： 此版本的趋势科技服务器深度安全防护系统不使用此设置。
• 过滤 IPv6 隧道：此版本的趋势科技服务器深度安全防护系统不使用此设置。
• 严格的 Teredo 端口检查：此版本的趋势科技服务器深度安全防护系统不使用此设置。
• 丢弃 Teredo 异常：此版本的趋势科技服务器深度安全防护系统不使用此设置。
• 最大隧道深度：此版本的趋势科技服务器深度安全防护系统不使用此设置。
• 超出最大隧道深度时的操作：此版本的趋势科技服务器深度安全防护系统不使用此设置。
• 丢弃 IPv6 扩展类型 0：此版本的趋势科技服务器深度安全防护系统不使用此设置。
• 丢弃低于最低 MTU 的 IPv6 片段：丢弃不满足 IETF RFC 2460 规定的最低 MTU 大小的 IPv6 片段。
• 丢弃 IPv6 保留地址：丢弃以下保留地址：
  • IETF reserved 0000::/8
  • IETF reserved 0100::/8
  • IETF reserved 0200::/7
  • IETF reserved 0400::/6
  • IETF reserved 0800::/5
  • IETF reserved 1000::/4
  • IETF reserved 4000::/2
  • IETF reserved 8000::/2
  • IETF reserved C000::/3
  • IETF reserved E000::/4
  • IETF reserved F000::/5
  • IETF reserved F800::/6
• 丢弃 IPv6 站点本地地址：丢弃站点本地地址 FEC0::/10。
• 丢弃 IPv6 Bogon 地址：丢弃以下地址：
  • "loopback ::1
  • "IPv4 compatible address", ::/96
  • "IPv4 mapped address" ::FFFF:0.0.0.0/96
  • "IPv4 mapped address", ::/8
  • "OSI NSAP prefix (deprecated by RFC4048)" 0200::/7
  • "6bone (deprecated)", 3ffe::/16
  • "Documentation prefix", 2001:db8::/32
• 丢弃 6to4 Bogon 地址：丢弃以下地址：
  • "6to4 IPv4 multicast", 2002:e000:: /20
  • "6to4 IPv4 loopback", 2002:7f00:: /24
  • "6to4 IPv4 default", 2002:0000:: /24
  • "6to4 IPv4 invalid", 2002:ff00:: /24
  • "6to4 IPv4 10.0.0.0/8", 2002:0a00:: /24
  • "6to4 IPv4 172.16.0.0/12", 2002:ac10:: /28
  • "6to4 IPv4 192.168.0.0/16", 2002:c0a8:: /32
• 丢弃有效载荷为零的 IP 数据包：丢弃有效载荷为零长度的 IP 数据包。
• 丢弃未知的 SSL 协议：当客户端尝试使用错误的协议连接到 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心时，断开连接。
• 片段超时：如果采用此配置，若入侵防御规则认为数据包（或数据包片段）的内容可疑，则会检查这些内容。此设置将确定在检查后到丢弃数据包之前，等待剩余数据包片段的时间长短。
• 要保存的最大片段 IP 数据包数量：指定 Vulnerability Protection 趋势科技服务器深度安全防护系统将保留的片段化数据包的最大数量。
• 发送 ICMP 以表示片段数据包超时：启用此设置且片段超时后，ICMP 数据包将发送到远程计算机。