入侵防御
入侵防御模块可保护计算机免遭已知和零时差漏洞攻击、SQL 注入攻击、跨站点脚本攻击和其他 Web 应用程序漏洞利用。屏蔽漏洞直到代码修复完成。它可识别访问网络的恶意软件,并增加对访问网络的应用程序的可见性,或者增加对其的控制。
入侵防御通过检测网络流量中的恶意指令和丢弃相关数据包来阻止攻击。
入侵防御可用于以下功能:
- 虚拟修补:入侵防御规则可以丢弃旨在利用某些应用程序或操作系统本身未修补漏洞的流量。这可在等待应用相关 Patch 时保护主机。
- 协议清理:检测并阻止具有恶意指令的流量。
- 应用程序控制:此控制可用于阻止与特定应用程序(例如 Skype 或文件共享工具)相关的流量。
基本配置
在计算机上启用入侵防御功能:
- 在策略/计算机编辑器中,转至入侵防御 > 常规
- 选择打开,然后单击“保存”
桥接和分接模式
入侵防御模块使用能够以下列两种模式之一运行的 Vulnerability Protection 趋势科技服务器深度安全防护系统网络引擎:
- 桥接:活动数据包流直接通过 Vulnerability Protection 趋势科技服务器深度安全防护系统网络引擎。因此,所有规则将在继续协议堆栈前应用到网络流量。
- 分接模式:系统会复制活动数据包流并从主数据流中转移。
在分接模式下,不会修改活动数据流。所有操作均在复制的数据流上执行。处于分接模式时,除了提供事件记录之外,Vulnerability Protection 趋势科技服务器深度安全防护系统不会提供任何保护。
要在桥接与分接模式间切换,请打开策略或计算机编辑器,然后转至设置 > 网络引擎 > 网络引擎模式。
阻止与检测
如果 Vulnerability Protection 趋势科技服务器深度安全防护系统网络引擎处于桥接模式,将提供两个额外选项:
- 阻止:入侵防御规则适用于流量,并生成相关日志事件。
- 检测:仍会触发入侵防御规则,并生成事件,但不会影响流量。您应当始终在检测模式下测试新的入侵防御设置和规则以确保可能的误报不会中断计算机上的服务。一旦确信不会触发任何误报(通过在一段时间内监控入侵防御事件),便可切换到“阻止”模式。
也可以将个别入侵防御规则应用于仅检测或阻止模式。应用任何新入侵防御规则时,最好在仅检测模式下先运行一段时间,以确保其不会干扰合法流量。趋势科技发布的一些规则缺省情况下设置为仅检测。例如,邮件客户端入侵防御规则通常为仅检测,因为它们将阻止所有后续邮件的下载。仅当某条件在一定时期内出现多次或一定次数,一些规则才会触发,以在条件再次出现时不会阻止个别条件,但会引发警报。一些规则仅仅易受误报影响。缺省情况下,这些规则将在仅检测模式下传送,在观察到未触发任何误报后是否将其切换为阻止模式的决定权在您手中。
NSX 安全标记
一旦检测到恶意威胁,趋势科技服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM。NSX 安全标记可与 NSX Service Composer 一起使用,以自动执行某些任务,例如隔离受感染的 VM。有关 NSX 安全标记和动态 NSX 安全组分配的更多信息,请查看您的 VMware NSX 文档。
可以配置防恶意软件和入侵防御系统防护模块以应用 NSX 安全标记。
要配置入侵防御模块以应用 NSX 安全标记,请转至计算机/策略编辑器 > 入侵防御 > 高级 > NSX 安全标记。
入侵防御事件具有一个严重性级别,由造成该事件的入侵防御规则的严重性级别确定。
入侵防御规则严重性级别与 NSX 标记的映射关系如下所示:
| IPS 规则严重性 | NSX 安全标记 |
|---|---|
| 严重 | IDS_IPS.threat=high |
| 高 | IDS_IPS.threat=high |
| 中 | IDS_IPS.threat=medium |
| 低 | IDS_IPS.threat=low |
您可以指定将造成 NSX 安全标记应用到 VM 中的入侵防御规则的最低严重性级别,从而配置标记机制的敏感度。
触发应用 NSX 安全标记的最低规则严重性设置的选项如下:
- 缺省 (无标记):未应用任何 NSX 标记。
- 严重:如果触发了严重性级别为严重的入侵防御规则,NSX 标记将应用于 VM。
- 高:如果触发了严重性级别为高或严重的入侵防御规则,NSX 标记将应用于 VM。
- 中:如果触发了严重性级别为中、高或严重的入侵防御规则,NSX 标记将应用于 VM。
- 低:如果触发了严重性级别为低、中、高或严重的入侵防御规则,NSX 标记将应用于 VM。
为在阻止模式下运行的规则和在仅检测模式下运行的规则提供独立设置。