木马检测

来自WFilter上网行为管理系统文档和指南
WFilter讨论 | 贡献2023年8月4日 (五) 11:24的版本 (创建页面,内容为“{{DISPLAYTITLE:木马检测}} == 木马检测模块 == “木马检测”模块基于入侵检测,可以检测内网感染了木马病毒的终端,触发告警...”)

(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)
跳转至: 导航搜索

1 木马检测模块

“木马检测”模块基于入侵检测,可以检测内网感染了木马病毒的终端,触发告警并且封锁IP地址。

2 木马检测配置项

如下图,木马检测包括如下配置:

  • 检测处理:配置检测到木马病毒时采用的策略。
    • 仅记录日志,只记录相应的攻击日志。
    • 记录日志并封锁IP,记录攻击的日志,并在指定时间段内自动禁止来自该IP的访问。
  • 事件告警:是否把攻击事件记录到“事件查看器”模块。
  • IPS检测项:配置要启用的检测规则集,以及检测选项。
  • 例外的IP地址:对来自例外的IP地址和网段不进行检测,格式支持IP或者IP段,如:192.168.1.20,192.168.1.20/24。

Indicator01.png

3 IPS检测项配置

如下图所示,点击状态图标可以切换是否启用该检测项,点击放大镜图标可以查看该检测项包含的检测条目。

Indicator02.png


4 相关链接

取自“http://wiki.imfirewall.com/index.php?title=Indicator&oldid=1794