“Indicator”的版本间的差异
来自WFilter上网行为管理系统文档和指南
(创建页面,内容为“{{DISPLAYTITLE:木马检测}} == 木马检测模块 == “木马检测”模块基于入侵检测,可以检测内网感染了木马病毒的终端,触发告警...”) |
(→相关链接) |
||
| (未显示同一用户的1个中间版本) | |||
| 第22行: | 第22行: | ||
[[文件:indicator02.png|900px]] | [[文件:indicator02.png|900px]] | ||
| + | |||
| + | [[文件:indicator03.png|900px]] | ||
= 相关链接 = | = 相关链接 = | ||
* [http://www.imfirewall.com/blog/post/581.html 接到上级部门通告有挖矿木马如何处理?] | * [http://www.imfirewall.com/blog/post/581.html 接到上级部门通告有挖矿木马如何处理?] | ||
* [http://www.imfirewall.com/blog/post/577.html 接到上级部门通知局域网内有僵尸木马怎么处置?] | * [http://www.imfirewall.com/blog/post/577.html 接到上级部门通知局域网内有僵尸木马怎么处置?] | ||
| + | * [https://www.bilibili.com/video/BV18c411t7yx/ 怎样定位查找局域网内中了木马病毒的电脑?检测到失陷主机怎么解决?] | ||
[[Category:安全防护]] | [[Category:安全防护]] | ||
2024年1月10日 (三) 15:24的最新版本
1 木马检测模块
“木马检测”模块基于入侵检测,可以检测内网感染了木马病毒的终端,触发告警并且封锁IP地址。
2 木马检测配置项
如下图,木马检测包括如下配置:
- 检测处理:配置检测到木马病毒时采用的策略。
- 仅记录日志,只记录相应的攻击日志。
- 记录日志并封锁IP,记录攻击的日志,并在指定时间段内自动禁止来自该IP的访问。
- 事件告警:是否把攻击事件记录到“事件查看器”模块。
- IPS检测项:配置要启用的检测规则集,以及检测选项。
- 例外的IP地址:对来自例外的IP地址和网段不进行检测,格式支持IP或者IP段,如:192.168.1.20,192.168.1.20/24。
3 IPS检测项配置
如下图所示,点击状态图标可以切换是否启用该检测项,点击放大镜图标可以查看该检测项包含的检测条目。
