Sophos UTM如何配置入侵防御系统(IPS)

入侵防御系统(IPS)通过已知的基于签名的IPS规则集来识别攻击行为。这个系统分析完整的流量特征,并且在恶意流量到达内部网络之前自动的拦截攻击。现有的规则集和攻击样本通过特征库">自动更新,并且将新的IPS攻击模式的签名自动导入到IPS规则集。

目前UTM中已有的签名数达到15,800多个,关于IPS规则集列表请参考:https://www.astaro.com/lists/ASGV9-IPS-rules-2931.html

进入到Network Security > Intrusion Prevention > Global 选项卡您可以轻松激活IPS功能。下面我们开始配置IPS:

1、 本地网络:添加或选择入侵防御系统应保护的网络。如果没有选择本地网络,入侵防御将自动被停用,没有流量被监控。

2、 策略:选择如果检测到IPS攻击所采取的策略,选择“丢弃”将不会再有进一步的动作,选择“停止连接”UTM将发送RST(TCP)或Unreachable(UDP)包到通信双方。建议选择“丢弃”。

3、 攻击特征库:Sophos UTM已经为针对不同内部网络的主机的攻击行为进行了归类。为了提高性能,你应该取消不适用于您的本地网络中的服务或软件。例如,如果你的本地网络中没有运行一个Web服务器,可以取消HTTP服务器的复选框。

4、 防DoS/泛洪攻击:一般来说,DoS和DDoS攻击试图使计算机资源无法处理合法的请求。UTM可以通过限制单位时间内到达网络中SYN(TCP), UDP和ICMP包的数量以阻拦拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击等不正常的TCP/IP连接。注意,在包速率选项中输入合理的值非常重要,如果你设置的过高,您的WEB服务器可能会因无法处理如此大量的数据包而导致失败,如果设置过低,可能会阻断正常的SYN请求,而出现不可预期的行为。IPS的性能很大程度是取决于您的硬件型号。

默认值“源和目的地地址”,会依据源和目的地地址两个参数来丢弃SYN包,首先,将会匹配源IP地址限制到你在下面设定的“源数据包速率”,其次,如果仍旧有太多的请求,那么UTM将依据所设定的“目的地数据包速率”的值进行过滤。

5、 防端口扫描:端口扫描被攻击者用来探测安全系统可用的服务。为了侵入一个系统或启动一个拒绝服务(DoS)攻击,攻击者需要获得网络服务的信息,如果某网络服务可用就会利用这些服务的安全缺陷进行攻击。

攻击者会使用端口扫描器来发现开放的端口,此程序会尝试在目标计算机上连接多个端口,如果成功,会显示攻击者所需要的相关信息,如目标计算机上可用的网络服务。既然在TCP/IP协议簇中有65535个不同的可用端口,这些端口在很短的时间间隔内被扫描,如果防火墙能检测到一个异常的大量尝试到服务主机的连接,特别是如果这些尝试都来源于同一个源IP地址,那么防火墙可以判定这最有可能是一个端口扫描行为。如果这种可疑行为出现在您的网络中,那么UTM将可以识别出来,并自动阻止来自同一源地址的端口扫描。从技术上讲,在300ms的时间内对来自单独的源IP地址得分超过21分则判定为端口扫描,分数计算方法如下:

扫描一个小于1024的TCP目标端口 = 3分;
扫描一个大于1024的TCP目标端口 = 1分;

6、 例外:你可以定义例外规则,排除的源或目的网络将免于IPS检查。注意,如果你想要排除目的地地址为网关的数据包进行IPS检查,不能在“目的网络”中选择ANY,你必须选择网关接口上定义的IP地址,例如,你想要排除网关的内网接口,则应该选择内口的IP地址。

7、 高级:你可以手动修改配置为每个IPS规则去覆盖默认的策略,例如禁用某一个IPS规则,规则ID可以在上述的规则集列表中查询。这样的修改应仅由经验丰富的用户完成。注意,如果相应的IPS特征库被禁用,那么修改的IPS规则将不生效。此外,为了增加入侵防御系统的性能,以尽量减少误报,你可以限制IPS规则的范围只有一些内部服务器。例如,假设您已经激活了“攻击特征库”选项卡上的HTTP服务器组,并且在这里您已经选择了一个特定的HTTP服务器。这样,入侵防御系统识别出针对HTTP服务器的攻击,所采取相关的动作将只被应用在,受影响的服务器的IP地址与此处选择的HTTP服务器的IP地址相匹配时。

时间: 2024-09-20 22:47:40

Sophos UTM如何配置入侵防御系统(IPS)的相关文章

快报:Sophos UTM如何配置入侵防御系统(IPS)

入侵防御系统(IPS)通过已知的基于签名的IPS规则集来识别攻击行为.这个系统分析完整的流量特征,并且在恶意流量到达内部网络之前自动的拦截攻击.现有的规则集和攻击样本通过特征库http://www.aliyun.com/zixun/aggregation/18862.html">自动更新,并且将新的IPS攻击模式的签名自动导入到IPS规则集. 目前UTM中已有的签名数达到15,800多个,关于IPS规则集列表请参考:https://www.astaro.com/lists/ASGV9-IP

入侵防御系统ips介绍

侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点.IPS能够识别事件的侵入.关联.冲击.方向和适当的分析,然后将合适的信息和命令传送给防火墙.交换机和其它的网络设备以减轻该事件的风险. IPS的关键技术成份包括所合并的全球和本地主机访问控制.IDS.全球和本地安全策略.风险管理软件和支持全球访问并用于管理IPS的控制台.如同IDS中一样,IPS中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描.内容检查.

《Cisco ASA设备使用指南(第3版)》一1.2 入侵检测系统(IDS)与入侵防御系统(IPS)

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 当攻击者想要非法访问网络或主机,以降低其性能或窃取其信息时,入侵检测系统(IDS)就可以(在杂合模式下)将这种行为检测出来.除此之外,它们还能够检测出分布式拒绝服务(DDoS)攻击.蠕虫及病毒的爆发.图1-4所示为运行在杂合模式下的IDS设备检测安全威胁的示例. 在图1-4中,一名黑客向Web服务器发送了一个恶意的数据包.IDS设备对这个数据包进行了分析,并向监测系统(在本例中为Cisco安全管理器[Cisco Security Manag

《Cisco ASA设备使用指南》一1.2 入侵检测系统(IDS)与入侵防御系统(IPS)

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) Cisco ASA设备使用指南当攻击者想要非法访问网络或主机,以降低其性能或窃取其信息时,入侵检测系统(IDS)就可以(在杂合模式下)将这种行为检测出来.除此之外,它们还能够检测出分布式拒绝服务(DDoS)攻击.蠕虫及病毒的爆发.图1-4所示为运行在杂合模式下的IDS设备检测安全威胁的示例. 在图1-4中,一名黑客向Web服务器发送了一个恶意的数据包.IDS设备对这个数据包进行了分析,并向监测系统(在本例中是CS-MARS)发送了一个告警信

汉柏推出了基于云计算的入侵防御系统,与传统防火墙组合为企业数据中心提供深度防御的最优选择

随着信息化和网络的普及,尤其是云计算.数据中心及互联网的发展,针对企业.机构数据中心的蠕虫病毒.漏洞攻击.注入攻击.跨站攻击.DDoS攻击等也有常态化的趋势,极大困扰着用户.尤其,云计算.各种新型互联网应用的普及,以及智能终端的多样性和网络通道的多元化,导致各种新型的攻击愈加繁杂,使得危害和破坏变得更加隐蔽.用户除了部署常规安全防御系统外,更需要一种在线部署的产品,来对各种单一或混合攻击实现实时地检测和阻断,同时要在保证高性能处理时避免误报和漏报发生. 针对数据中心入侵防御的安全需求,汉柏推出了

入侵防护系统IPS怎么选择

  一.可管理性. 理想的入侵防护解决方案可使安全设置和政策被各种应用程序.用户组和代理程序利用,从而降低安装并维护大型安全产品的成本.McAfee IntruShield高度自动.易于管理且有很大的灵活性,可分阶段实施安装,从而避免原有入侵探测系统不可避免的误报,从而可使客户能够制定正确的政策,以在他们独特的IT基础架构中阻断攻击. 二.可扩展性. 企业级入侵防护解决方案必须可升级,以满足企业不断发展的需求,而同时保持最高水平的安全.可扩展性体现在可支持众多受保护的服务器.支持大流量和支持分散

入侵防御设备的功能仍未得到全面应用

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性.吞吐率.流量延迟和误报率.基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击:不过 新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统.Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用:如果没有真正得到使用,查明其中的原因.IPS厂商TippingPoint委托这家研究

入侵防御设备的功能仍未得到全面应用涉及的原因

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性.吞吐率.流量延迟和误报率.基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击:不过新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统.Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用:如果没有真正得到使用,查明其中的原因.IPS厂商TippingPoint委托这家研究公

绿盟科技入侵防御产品获NSS Labs高级别认证

网络安全厂商绿盟科技日前宣布,其入侵防御产品(NSFOCUS IPS)获得NSS Labs Approved认证,并且被NSS Labs认定为最高级别--"Recommended",此前仅有三家顶尖国际安全厂商的IPS产品曾被NSS Labs认定为该级别.绿盟科技自主研发的IPS产品也成为国内安全厂商中惟一获得该权威机构认证的产品. 在最终的测试报告中,NSS Labs对绿盟科技的IPS产品做了如下评价:"NSFOCUS IPS的管理非常简单,直观得让人惊讶,加载有效的预定义