入侵防御

来自WFilter上网行为管理系统文档和指南
WFilter讨论 | 贡献2019年10月18日 (五) 14:08的版本 (创建页面,内容为“{{DISPLAYTITLE:入侵防御}} == 入侵防御模块 == “入侵防御”模块基于Snort,可以检测来自内、外网的恶意攻击行为,触发告警并...”)

(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)
跳转至: 导航搜索

1 入侵防御模块

“入侵防御”模块基于Snort,可以检测来自内、外网的恶意攻击行为,触发告警并且封锁IP地址,从而保护内网的终端和各项服务。

2 入侵防御配置项

如下图,入侵防御包括如下功能:

  • 检测网卡:配置要开启检测的网卡,网卡被选中时,该网卡的数据会被复制到检测系统进行分析处理。“自动选择”时,系统会自动在所有的内网网卡上开启检测。
  • 外网攻击:配置对来自外网IP攻击采用的策略。
  • 内网攻击:配置对来自内网IP攻击采用的策略。
    • 仅记录日志,只记录相应的攻击日志。
    • 记录日志并封锁IP,记录攻击的日志,并在指定时间段内自动禁止来自该IP的访问。
    • 忽略,不做任何处理,也不记录日志。
  • 事件告警:是否把攻击事件记录到“事件查看器”模块。
  • 网段参数:配置内网网段、内网服务器、各项服务端口等。
  • IPS检测项:配置要启用的检测规则集,以及检测选项。
  • 例外的IP地址:对来自例外的IP地址和网段不进行检测。

Ips settings.png

3 网段参数

Ips ipvar.png

Ips portvar.png

4 IPS检测项

Ips ruleset01.png

Ips ruleset02.png

Ips ruleset03.png

Ips ruleset04.png

5 自定义规则

Ips localrule.png

6 记录查询

Ips query.png