“Indicator”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
(创建页面,内容为“{{DISPLAYTITLE:木马检测}} == 木马检测模块 == “木马检测”模块基于入侵检测,可以检测内网感染了木马病毒的终端,触发告警...”)
 
IPS检测项配置
第22行: 第22行:
 
[[文件:indicator02.png|900px]]
 
[[文件:indicator02.png|900px]]
  
 +
 +
[[文件:indicator03.png|900px]]
  
 
= 相关链接 =
 
= 相关链接 =

2023年8月4日 (五) 11:26的版本

1 木马检测模块

“木马检测”模块基于入侵检测,可以检测内网感染了木马病毒的终端,触发告警并且封锁IP地址。

2 木马检测配置项

如下图,木马检测包括如下配置:

  • 检测处理:配置检测到木马病毒时采用的策略。
    • 仅记录日志,只记录相应的攻击日志。
    • 记录日志并封锁IP,记录攻击的日志,并在指定时间段内自动禁止来自该IP的访问。
  • 事件告警:是否把攻击事件记录到“事件查看器”模块。
  • IPS检测项:配置要启用的检测规则集,以及检测选项。
  • 例外的IP地址:对来自例外的IP地址和网段不进行检测,格式支持IP或者IP段,如:192.168.1.20,192.168.1.20/24。

Indicator01.png

3 IPS检测项配置

如下图所示,点击状态图标可以切换是否启用该检测项,点击放大镜图标可以查看该检测项包含的检测条目。

Indicator02.png


Indicator03.png

4 相关链接