查看“IPS”的源代码

{{DISPLAYTITLE:入侵防御}}
== 入侵防御模块 ==

“入侵防御”模块基于Snort，可以检测来自内、外网的恶意攻击行为，触发告警并且封锁IP地址，从而保护内网的终端和各项服务。

== 入侵防御配置项 ==

如下图，入侵防御包括如下功能：

* 检测网卡：配置要开启检测的网卡，网卡被选中时，该网卡的数据会被复制到检测系统进行分析处理。“自动选择”时，系统会自动在所有的内网网卡上开启检测。
* 外网攻击：配置对来自外网IP攻击采用的策略。
* 内网攻击：配置对来自内网IP攻击采用的策略。
** 仅记录日志，只记录相应的攻击日志。
** 记录日志并封锁IP，记录攻击的日志，并在指定时间段内自动禁止来自该IP的访问。
** 忽略，不做任何处理，也不记录日志。
* 事件告警：是否把攻击事件记录到“事件查看器”模块。
* 网段参数：配置内网网段、内网服务器、各项服务端口等。
* IPS检测项：配置要启用的检测规则集，以及检测选项。
* 例外的IP地址：对来自例外的IP地址和网段不进行检测。

[[文件:ips_settings.png|900px]]

== 网段参数 ==

[[文件:ips_ipvar.png|900px]]

[[文件:ips_portvar.png|900px]]

== IPS检测项 ==

[[文件:ips_ruleset01.png|900px]]

[[文件:ips_ruleset02.png|900px]]

[[文件:ips_ruleset03.png|900px]]

[[文件:ips_ruleset04.png|900px]]

== 自定义规则 ==

[[文件:ips_localrule.png|900px]]

== 记录查询 ==

[[文件:ips_query.png|900px]]

[[Category:安全防护]]