入侵防御规则
防火墙规则和防火墙状态配置会检查数据包的控制信息(用来描述数据包的数据),而入侵防御规则会检查数据包的实际内容(以及数据包的序列)。然后根据入侵防御规则中设置的条件,对这些数据包采取各种操作:例如,替换明确定义的或可疑的字节序列、完全丢弃数据包和重置连接。
入侵防御规则图标:
常规入侵防御规则
根据时间表运行的入侵防御规则
具有配置选项的入侵防御规则
入侵防御规则在使用前必须进行配置
通过入侵防御规则页面,可以创建和管理入侵防御规则。从工具栏或右键单击快捷方式菜单,您可以:
- 从头开始创建新的入侵防御规则 (
)
- 从 XML 文件(位于新建菜单下)导入 (
) 入侵防御规则。 - 查看或修改现有入侵防御规则的属性 (
)
- 复制(然后修改)现有入侵防御规则 (
) - 删除入侵防御规则 (
) - 将一个或多个入侵防御规则导出 (
) 到 XML 或 CSV 文件。(使用导出... 按钮可将它们全部导出,也可以从下拉列表中进行选择,只导出选定或显示的那些内容) - 添加或删除列 (
) 通过单击添加/删除列可添加或删除列。通过将列拖曳到新的位置,可以控制列的显示顺序。可按照任意列的内容来排序和搜索所列出的项目。
单击新建 () 或属性 () 显示入侵防御规则属性窗口。
请注意配置选项卡。无法通过 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心直接编辑趋势科技的入侵防御规则。如果入侵防御规则需要(或允许)配置,则配置选项卡上会提供这些配置选项。可以编辑您自己编写的定制入侵防御规则,在这种情况下,会显示规则选项卡。
入侵防御规则属性
常规信息
- 名称:入侵防御规则的名称。
- 描述:入侵防御规则的描述。
- 最低客户端/设备版本:实施此入侵防御规则所需的 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端/设备的最低版本。
详细信息
- 应用程序类型:对此入侵防御规则进行分组所依据的应用程序类型。您可以选择现有的类型,也可以创建新的类型。
您还可以从这个面板编辑现有的类型。记住,如果在此处编辑现有的应用程序类型,则更改会应用到所有使用该应用程序类型的安全元素。
- 优先级:入侵防御规则的优先级级别。先应用高优先级的规则,然后应用低优先级的规则。
- 严重性:规则的严重性设置不会影响执行或应用规则的方式。当查看入侵防御规则列表时,严重性级别可作为排序条件。更重要的是,每个严重性级别都与一个严重性值相关联;将此值乘以计算机的资产值以确定事件的排序。(请参阅管理 > 系统设置 > 排序。)
- CVSS 分数:一种评估漏洞严重性程度的标准,由美国国家漏洞数据库计算。
- 仅检测:测试新的规则时,请使用此复选框。如果选中此复选框,该规则就会创建一个前缀为文字“仅检测:”的日志条目,但不影响网络通信。如果在下一个面板中设置“禁用日志记录”复选框(见下文),则不管是否选中“仅检测”,都不会记录规则的活动。
一些入侵防御规则设计为只在“仅检测”模式下运行,无法将其配置为阻止流量。对于这些规则,将选中并锁定“仅检测”选项,以使其无法更改。
事件
- 禁用事件日志记录:选中该选项可禁用事件日志记录。
- 在数据包丢弃时生成事件:记录数据包丢弃/阻止活动。
- 始终包含数据包数据:在日志条目中包含数据包数据。
- 启用调试模式:记录触发该规则的数据包前后的多个数据包。趋势科技建议只在技术支持提供商指示您这样做的时候才使用此选项。
Vulnerability Protection 趋势科技服务器深度安全防护系统可以在入侵防御事件中显示数据包数据提供的 X-Forwarded-For 标头。如果 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端使用负载平衡器或代理服务器,则此信息会十分有用。如果存在 X-Forwarded-For 标头数据,则会在事件的“属性”窗口中显示。要启用此功能,必须选中“始终包含数据包数据”选项。此外,还必须启用规则 1006540“启用 X-Forwarded-For HTTP 标头日志记录”。
标识(仅对趋势科技规则显示)
- 类型:可以是“智能”(一个或多个已知和未知的(零时差)漏洞)、“入侵”(特定入侵,通常以签名为基础)或“漏洞”(可能遭受一种或多种入侵的特定漏洞)。
- 发布时间:规则发布的日期(不是下载日期)。
- 最近更新时间:上次在本地或安全更新下载期间修改规则的时间。
- 标识符:规则的唯一标识符标记。
漏洞(仅对趋势科技规则显示)
显示此特定漏洞的相关信息。适用时,将显示通用安全漏洞评分系统 (CVSS)。(有关此评分系统的信息,请参考美国国家漏洞数据库上的 CVSS 页面。)
配置(仅对趋势科技规则显示)
- 配置选项:如果下载的规则有任何可配置选项,则会显示在此处。示例选项包括标头长度、允许的 HTTP 扩展名、cookie 长度等。如果您应用规则时未设置必需的选项,则会触发警报,通知您需要配置哪台(哪些)计算机上的哪个规则。(这也适用于通过安全更新下载和自动应用的所有规则。)
具有配置选项的入侵防御规则在入侵防御规则页面中显示时,其图标上方有一个小的齿轮标记 ()。
)。
查看规则(仅对定制入侵防御规则可用)
查看规则... 按钮将对趋势科技尚未标记为机密的入侵防御规则可用。(有关自行编写入侵防御规则的信息,请与趋势科技联系。)
选项
警报
选择此入侵防御规则是否在触发时触发警报。如果只要在特定时间段激活此规则,请在下拉列表中指定某个预设时间。
时间表
选择是否应只在预设时间段激活入侵防御规则。
只在预设时间活动的入侵防御规则显示于入侵防御规则页面时,其图标上方有一个小时钟 ()。
)。
通过基于客户端的防护,时间表使用与端点操作系统相同的时区。对于无客户端防护,时间表使用与趋势科技服务器深度安全防护系统虚拟设备相同的时区。
上下文
上下文是根据计算机网络环境实施不同安全策略的强大途径。上下文最常用于创建以下策略:该策略根据计算机(通常是便携式计算机)是在办公室内还是办公室外应用不同的防火墙和入侵防御规则。
上下文与防火墙规则和入侵防御规则相关联。如果满足了上下文中定义的与规则相关的条件,则应用此规则。
为了确定计算机的位置,上下文会检查计算机与其域控制器连接的性质。有关上下文的更多信息,请参阅策略 > 通用对象 > 其他 > 上下文。
建议选项
使用该选项将此入侵防御规则从在执行完“漏洞扫描 (推荐设置)”后提出的规则建议中排除。
已分配给
这个选项卡显示了为其分配了此入侵防御规则的计算机和策略的列表。