Network Security Platform 7.0 Getting Started Guide - McAfee

入门手册
McAfee ® Network Security Platform 7.0

版权
Copyright © 2012 McAfee, Inc. 未经许可不得复制。
商标特性
McAfee、迈克菲、McAfee 徽标、McAfee Active Protection、McAfee AppPrism、McAfee Artemis、McAfee CleanBoot、McAfee DeepSAFE、ePolicy Orchestrator、McAfee
ePO、McAfee EMM、McAfee Enterprise Mobility Management、Foundscore、Foundstone、McAfee NetPrism、McAfee Policy Enforcer、Policy Lab、McAfee QuickClean、
Safe Eyes、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、SmartFilter、McAfee Stinger、McAfee Total Protection、TrustedSource、VirusScan、
WaveSecure 和 WormTraq 是 McAfee, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和商标可能已声明为其他公司的财产。
许可信息
许可协议
致全体用户:请仔细阅读与您所购买的许可相关的法律协议,以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类,请查看软件包装盒中或购买产品
时单独提供的销售文档以及其他相关的许可授权或订单文档,这些文档既可以是小册子、产品光盘上的文件,也可以是软件包下载网站提供的文件。如果您不接受该协议规定的
所有条款和条件,请勿安装本软件。根据情况,您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。
2 McAfee ® Network Security Platform 7.0 入门手册

目录
前言 5
关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1 入侵防护和 Network Security Platform 7
何谓攻击? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
当攻击者进行攻击时 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
检测攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
何谓入侵检测系统 (IDS)? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
何谓入侵防护系统 (IPS)? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
全面的入侵检测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
入侵防护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
灵活的部署选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
VIPS--在接口和子接口级别应用策略 . . . . . . . . . . . . . . . . . . . . . . . . . 10
高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
可缩放的 IPS 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
使用 Network Security Platform 进行检测和防护 . . . . . . . . . . . . . . . . . . . . . . . . 11
2 Network Security Platform 基础知识 13
关于 Network Security Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
从更新服务器获取更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3 处理 Network Security Platform 资源 15
Network Security Platform 资源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
管理域节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Manager 节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
用户和角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
设备节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
接口节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
子接口节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IPS 设置节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
NAC 设置节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
NTBA 设置节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
使用资源树 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4 在管理域中工作 17
何谓管理域? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
父管理域和子管理域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
管理域层次结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
继承 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
警报和故障的通知与转发 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
McAfee ® Network Security Platform 7.0 入门手册 3

目录
5 处理安全策略 21
何谓安全策略? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Network Security Platform 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
策略应用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
VIPS--在接口和子接口级别应用策略 . . . . . . . . . . . . . . . . . . . . . . . . . 22
预先配置的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
在 Network Security Platform 中配置策略 . . . . . . . . . . . . . . . . . . . . . . . . . . 27
关于基于规则的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Network Security Platform 中的攻击和特征码 . . . . . . . . . . . . . . . . . . . . . . 28
创建或自定义策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
在 Sensor 之间重新分配策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
导出和导入策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
策略继承 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
响应管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
响应类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
攻击默认设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
拒绝服务 (DoS) 模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
学习模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
阈值模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
6 在 Network Security Platform 中管理用户 35
Network Security Platform 中的用户管理功能 . . . . . . . . . . . . . . . . . . . . . . . . . 35
何谓角色? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
创建用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Network Security Platform 中的角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
父域和子域之间的角色关系 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
角色说明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
7 处理警报 39
何谓警报? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
警报的生命周期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
抑制警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Threat Analyzer 的信息显示板页 . . . . . . . . . . . . . . . . . . . . . . . . . . 41
深入分析--按类别对警报排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
显示特定警报的详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
关于事件生成器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
利用事件生成器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
创建用户生成的事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
查看事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
IPS 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
配置报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
计划的报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
索引 47
4 McAfee ® Network Security Platform 7.0 入门手册

前言
本手册将提供配置、使用和维护 McAfee 产品所需的信息。
目录
关于本手册
查找产品文档
关于本手册 下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。
读者
McAfee 文档经过仔细调研并面向目标读者编写。
本指南中的信息主要面向以下人员:
• 管理员 ‑ 执行和实施公司安全计划的人员。
• 用户 ‑ 使用正在运行此软件的计算机并且可以访问其部分或全部功能的人员。
约定
本手册使用下列印刷约定和图标。
“手册标题”或强调 手册、章节或主题的标题;新术语的介绍;强调。
粗体 着重强调的文本。
用户输入或路径 用户键入的命令和其他文本;文件夹或程序的路径。
代码
代码示例。
“用户界面” 用户界面(包括选项、菜单、按钮和对话框)中的文字。
超文本(蓝色) 指向某个主题或网站的活动链接。
附注:附加信息,例如访问某个选项的替代方法。
提示: 意见和建议。
重要事项/注意: 有关保护计算机系统、软件安装、网络、企业或数据的有用建议。
警告: 在使用硬件产品时,防止受到人身伤害的重要建议。
McAfee ® Network Security Platform 7.0 入门手册 5

前言
查找产品文档
查找产品文档 McAfee 提供了产品实施各阶段(从安装到日常使用再到故障排除)所需的信息。在发行某个产品后,有关此产品的信息
将输入到 McAfee 在线知识库中。
任务
1 转到 McAfee 技术支持 ServicePortal,网址为 http://mysupport.mcafee.com。
2 在 “Self Service”(自助服务)下,访问所需类型的信息:
要访问... 操作方法...
用户文档 1 单击“Product Documentation”(产品文档)。
2 选择产品,然后选择版本。
3 选择产品文档。
知识库 • 单击“Search the KnowledgeBase”(搜索知识库)以获取产品问题的解答。
• 单击“Browse the KnowledgeBase”(浏览知识库)以查看按产品和版本列出的文章。
6 McAfee ® Network Security Platform 7.0 入门手册

1
何谓攻击?
入侵防护和 Network Security Platform
在计算机发展初期,如果不实际接触计算机本身,很难获取计算机中存储的信息。当时保护数据的措施是:雇用保安、
给门加上牢固的大锁、激活安全警报。攻击数据代价高昂,而且通常是有形的代价,需要有周密的计划和专门的技能。
但随着技术的长足进步,这种情况已经发生了根本性的改变。以前,入侵或攻击计算机被看作是不可能完成的任务。而
现在,甚至连端坐于卧室中的小孩,都能将企业网络视为可攻击的猎物。Internet 用户三教九流,各个系统和网络的安
全随时都会受到考验。有些攻击者只是想炫耀一下自己的高智商,但有些人的动机却不那么单纯,有报复的,也有偷窃
谋利的。
所以,现在更有必要确保网络的所有“门窗”均已锁上、警报已打开而且安全系统知道要查找的内容。因为今天的问题已
经不再是会不会被入侵,而是何时被入侵。
目录
何谓攻击?
何谓入侵检测系统 (IDS)?
何谓入侵防护系统 (IPS)?
使用 Network Security Platform 进行检测和防护
攻击是指任何未经授权的行为,其目的在于阻碍、损害或破坏网络安全。攻击通常是准备或正在威胁您的重要资产。
虽然有些企图渗透网络的行为没有什么危害,但有些却会导致网络瘫痪而严重影响到企业的正常运营。人们对入侵或攻
击系统的人有很多种称呼,不过通常都称他们为“解密高手”(cracker),或是另一种更普遍的称呼“黑客”(hacker)。在此文
档集中,我们称他们为攻击者。
入侵检测是指发现攻击或入侵。入侵防护是在攻击到达其目标之前拦截攻击。攻击是攻击者执行的操作,威胁受保护实
体的安全状况,如保密性、完整性、真实性、可用性、授权和访问策略等。有些攻击是主动式的,目标是直接利用某些
漏洞攻击系统或软件包。相反,被动式攻击通常是监控或窃听流量,从而达到偷窥甚至是截获敏感数据的目的。主动式
攻击成功的结果就是所谓的入侵 ‑ 中断正常服务、未经授权的访问和/或对系统某种形式的篡改。
入侵检测还能识别系统中与安全相关、但可能不是攻击所触发的事件,例如服务器故障。
当攻击者进行攻击时
当攻击者攻击网络时,他们滥用网络建立的规则。规则被破坏之后,攻击看上去是正常传输。
McAfee ® Network Security Platform 7.0 入门手册 7

1
入侵防护和 Network Security Platform
何谓攻击?
主动式攻击通常可分为以下几种类别:
• “Exploits(利用漏洞)”‑ 利用漏洞是攻击者企图利用系统中隐藏的功能或错误进行未经授权的访问。例如,缓冲区溢
出、目录遍历和 DNS 缓存中毒。
• “Denial‑of‑service (DoS) and Distributed Denial‑of‑service (DDoS) attacks(拒绝服务 (DoS) 和分布式拒绝服务
(DDoS) 攻击)”‑ 在 DoS 攻击中,攻击者企图使服务(或计算机)崩溃、使网络链路超载、使 CPU 超载或填满硬盘空
间。攻击者不一定是想获取信息,而只想故意破坏,让您无法使用计算机。发出大量的 ping 和 Smurf 攻击,都是常
见的 DoS 攻击。DDoS 攻击通常是指攻击者暗中控制许多、甚至上百台不同计算机所策动的 DoS 攻击。
• “Reconnaissance(侦测)”‑ 包括主机扫描、TCP 或 UDP 端口扫描、电子邮件侦测、暴力式密码猜测,以及为公共
Web 服务器编制索引以查找 CGI 漏洞或可供日后利用的其他系统漏洞。
• “Policy Violations(违反策略)”‑ 根据安全策略所定义的网络使用策略明确禁止的所有活动,这些活动的底层流量内
容本身可能并无恶意目的。违反策略包括“违反协议”,其中数据包不符合网络协议标准。(例如,数据包结构不正确、
设置了无效的标志组合或包含错误的值。)启用了 SYN 和 RST 标志的 TCP 数据包,或者指定长度与其实际长度不
符的 IP 数据包,都是典型的示例。违反协议可能表示一次可能的攻击,但也可能是由错误的软件或硬件触发的。
有些攻击者想查找特定的信息或将目标对准特定的公司;而其他攻击者只寻找简单的目标。有些攻击者是高级用户,他
们开发自己的工具,攻击过后会留下难以察觉的“后门”。而有些攻击者并不知道他们正在做什么,只知道如何启动他们
正在使用的脚本。
虽然这些人的技能高低不一,但都遵守一个共同的策略:使用工具在整个 Internet 上搜索特定的弱点,然后利用这些弱
点发动攻击。他们迟早都能找到有漏洞的对象。无论是网络发展已历经数十年的大企业,还是刚刚构建网络的公司,随
时都会成为他们搜索的目标。撞上“枪口”是迟早的事。
因为网络通常都是全天候 24 小时运行的,所以攻击可能会在任何时间发生。攻击通常会在晚上发生,这是因为国内的
攻击者白天要工作、上学或有其他事要做。另一方面,攻击也可能在白天发生,当我们这里是白天时,世界的其他地方
却是晚上,例如众多攻击的发源地东欧和韩国。
检测攻击
早期的入侵检测是严格采用模式匹配方案执行的。大多数攻击者使用的技巧,往往都是别人已经尝试过、证明有效且在
安全社区中广为人知的手法。攻击者除非自行编写工具,否则就必须依赖现有的工具,而每个工具在设计上多少都有特
定的局限性。因此从被攻击者的角度看来,使用此类工具发动的所有攻击,看起来基本上相同。例如,如果 HTTP 数据
包的 URL 字段中含有“default.ida”,并且 URL 参数名字段中存在特定的模式,则表示 Code Red 攻击,这种攻击符合某
个标准或特征码攻击模式。
模式匹配
模式匹配根据对所有规则破坏方式的了解,通过将网络流量与攻击模式数据库(称为特征码)进行比较来检测攻击。基于
特征码的检测,也称为滥用检测或规则检测,尝试捕获特征码中攻击行为所表现出的特征,并根据每个特征码采取特定
的对策(如果配置了对策)。对于具有众所周知特征码的已知攻击,此方法非常有效。
但是,这种检测方法存在三个严重的缺陷:首先,它只适用于已知的攻击。攻击者越来越聪明,不断开发出新的系统入
侵方法,这将使模式匹配数据库很快过时。其次,模式匹配需要进行大量的计算循环才能有效工作,有些黑客正是利用
这一点,使模式匹配系统负荷过大而无法正常工作。因此,如果完全依赖特征码检测,对于新的或是特别复杂的攻击将
毫无抵抗能力。
异常检测
异常检测是另一种检测方法,对防范未知或首次发现的攻击更加有效。异常检测会先将受保护系统的长期正常行为记录
在配置文件(短期或长期流量行为的指标)中,只要发现与这些正常行为差异很大的状况,就会发送警报。配置文件是采
用统计方法或适用于多个平台和操作系统的其他行为规范创建的。创建和维护配置文件涉及多个学术方法:统计学、神
经网络、模糊逻辑、遗传学等。对于防范分布式拒绝服务 (DDoS) 以及慢速扫描攻击等长时间影响系统运行的攻击,异
常检测特别有效。
8 McAfee ® Network Security Platform 7.0 入门手册

拒绝服务 (DoS) 检测
另一种特殊的检测方法是拒绝服务 (DoS) 检测。DoS 攻击会中断网络或计算机服务,并且通常发生于防火墙或 DMZ
内,尤其是 DMZ Web 和邮件服务器。检测 DoS 攻击有两种方法。第一种是阈值检测,由 IDS 负责监控流量是否超过
网络管理员预先配置的阈值。(此方法要求您完全了解正常的流量模式,这样才能设置“适当”的阈值,否则会因为流量的
波动,例如“瞬间集中”(如每天早上九点大家同时登录网络)或其他正常增加的流量而产生大量误报。)第二种方法称为
行为学习法,学习长期的正常行为并将其与短期所观察到的行为进行比较。结合使用以上各种方法可极大提高检测结果
的可靠性。
何谓入侵检测系统 (IDS)?
入侵检测系统 (IDS) 是检测系统或网络是否遭到入侵并进行响应的软件或软件/硬件组合。IDS 将对网络数据包内容进行
彻底的检查,防范“嵌入”在网络流量内而无法被防火墙检测到的攻击,从而弥补防火墙或防病毒软件的不足。
IDS 有多种类型。
• “Host‑ or Network‑based(主机型或网络型)”。主机型 IDS 着重于各计算机或“主机”上发生的情况,能够检测出访问
失败反复出现或重要系统文件被更改等情况。网络型 IDS (NIDS) 则检查流经网络的所有数据包。由于 NIDS 了解很
多协议的所有细节,例如数据包内的报头或协议字段,因此能够检测出精心编制的恶意流量内容。网络型 IDS 有多
种类型,有在网络内多个点运行的软件代理,也有放置在重要位置上检查网络流量的硬件 McAfee ® Network
Security Sensor [以前称为 McAfee ® IntruShield ®
Sensor]。
• “Signature, Anomaly, and Denial of Service detection(特征码、异常和拒绝服务检测)”。另一种分类方式是以 IDS
检测到的滥用类型作为划分依据。如“检测攻击”一节所述,特征码检测机制会系统地扫描网络流量,查找已知攻击的
特征码模式,将这些模式与庞大的特征码数据库进行比较。异常检测先确定网络流量正常行为的基准,然后通过检
查与正常行为差异很大的情况来检测入侵。特征码检测着重于已知的攻击模式,而异常检测最适合于防范全新或未
知的攻击。拒绝服务 (DoS) 攻击检测利用预先设置的阈值或实时自学功能找出正常流量的特征,然后使用这些数据
检测恶意超量消耗网络带宽、主机处理循环或其他资源的行为。
• “Passive, reactive, or preventive IDS(被动式、反应式或预防式 IDS)”。被动式入侵检测系统监听遍历网络的数据
包。它们能检测出潜在的安全风险,记录有关攻击的信息并发出警报。反应式系统的设计是对入侵进行响应,例如
通过注销用户或重新设置防火墙来拦截来自可疑恶意来源的网络流量。以上两种技术都只是在攻击发生之后才做出
响应。预防式系统位于网络流量的路径上,因此可以检测到恶意数据包并在它们到达目标之前将其丢弃。
另请参阅
检测攻击第 8 页
何谓入侵防护系统 (IPS)?
McAfee ® Network Security Platform [以前称为 McAfee ® IntruShield ®
] 是将 McAfee ® Network Security Sensor (Sensor)
和管理软件结合在一起的网络型入侵防护系统 (IPS),不仅能用特征码检测方式精确检测并预防已知的攻击,还能利用
异常检测、拒绝服务 (DoS) 攻击检测以及分布式拒绝服务 (DDoS) 攻击精确检测并预防未知(第一次出现)的攻击。
McAfee Network Security Platform 能同时兼顾实时 IDS 和预防(即在攻击达到目标之前将其拦截的功能),是市面上最
为强大、全面和有效的网络安全系统。
Network Security Platform 是一款简单易用的入侵检测和防护系统,可提供数 GB 的性能、灵活的部署方式和稳定的扩
展性。
全面的入侵检测
入侵防护和 Network Security Platform
何谓入侵检测系统 (IDS)? 1
Network Security Platform 是目前市面上唯一的综合网络型 IPS 解决方案。只有 Network Security Platform 采用了现今
所有适用的 IPS 技术,无论是已知的攻击(利用特征码)、全新/未知的攻击(利用异常检测技术)还是拒绝服务 (DoS)
攻击(利用结合了统计学和试探性方法的混合算法),它都能检测出来。这些技术的集成大幅提高了 IPS 的功能和准确
McAfee ® Network Security Platform 7.0 入门手册 9

1
入侵防护和 Network Security Platform
何谓入侵防护系统 (IPS)?
性。目前大多数产品都采用特征码检测方式,具有异常和 DoS 检测功能的产品很少,甚至基本没有。因此,市面上没
有哪种产品能在检测范围的广度和深度方面与 Network Security Platform 匹敌。例如,Network Security Platform 可以
检查 SSL 流量和 HTTP 响应流量。另外,Network Security Platform 检测攻击的准确性也是史无前例的,这归功于:
• 完整的协议分析和状态跟踪
• 多重触发、多字段模式匹配
• 通过硬件加速提供线速检测
• Network Security Platform 能在各种部署模式中监控所有流量,包括主动式/主动式、主动式/被动式以及非对称路由
的流量环境。
入侵防护
Network Security Platform 能够以串联模式运行,因此您可以检查通信流,在恶意流量到达目标之前将其阻止。现有的
IDS 产品多半都只能以监控模式运作,跟窃听器差不多,根本无法在损害造成之前有效可靠地阻止恶意流量。在监听模
式中,看到攻击行为的时候,也正是攻击行为击中目标的时候。虽然您可以立即采取对策,例如 TCP 重置和重新配置
防火墙规则,但毕竟只是事后的修复动作。当 Network Security Platform 以串联模式运行时,它可以主动丢弃恶意数据
包,绝对不让它们通过网络,因此这些恶意数据包也就无法到达目标。
除了丢弃恶意流量之外,Network Security Platform 还具有“数据包净化”的功能,可消除因为对 TCP/IP 规范解释不一而
造成的协议不一致(黑客经常利用这些不一致来避开 IDS 系统及其他安全保护设备)。
灵活的部署选项
现有的产品大多是共享媒体网络盛行时设计的,很难融入当今以交换式架构为主的环境中。同时,Network Security
Platform 产品系列还能保护当今速度更快的网段(从 100 Mbps 到数 Gbps),而其他产品通常局限于不到 100 Mbps 的
环境。Network Security Platform 以三种灵活的部署模式为速度高达数 Gbps 的网段提供线速监控和分析,不仅很容易集
成到现有的网络,即使未来网络或安全防护有任何变动,它也能轻易调整适应。
某些 Sensor 型号包含内置的 10/100 Mbps 以太网 Tap,只要对软件进行重新配置,就可以非常容易地在 Tap 模式与串
联模式之间切换,不需要进行任何实际线路重新连接。
对所有 Sensor 采用多端口配置,可以在需要全面部署 IDS 的网络中极大地减少 Sensor 的数量。
VIPS--在接口和子接口级别应用策略
VIPS 功能可让您为受一台 Sensor 监控的多种不同环境和流量方向配置多个策略。虚拟化的目标是实现更精细的扫描。
虚拟化允许您对流过单个接口的流量应用多个策略。通过这种方式,可以对流量不通过唯一 Sensor 端口的一台主机或
主机组应用唯一的扫描策略。
例如,假设 I‑2700 Sensor 的端口 1A 连接到交换机的 SPAN 端口。端口 1A 采用特定的环境检测策略。Sensor 的其他
端口可采用与 1A 完全不同的策略,也可以使用同一策略。或者,每个端口都可以根据多个 VLAN 标记或 CIDR 地址进
行细分,并各自应用适当的安全策略。
高可用性
Sensor 支持高可用性部署,方法是在两台热备用 Sensor 之间采用有状态的 Sensor 故障转移。这些 Sensor 互相连接、
互相复制流量,并保持同步。如果其中一个 Sensor 出现故障,备用 Sensor 就会自动接管并继续监控流量,不会出现工
作状态中断或保护级别下降。Network Security Platform 还支持 Manager 灾难恢复 (MDR)。如果主 McAfee ® Network
Security Manager 由于种种原因而离线,次 Manager 将自动代替主 Manager 来处理警报和管理 Sensor 配置。
可缩放的 IPS 管理
基于 Web 的可缩放架构,可帮助客户有效地管理其 IPS 部署,同时还会降低运营成本。可配置的 Network Security
Platform 实时特征码和软件更新机制会自动让整个系统保持最新状态,需要的人为介入极少或完全不需要,从而降低运
营成本。
10 McAfee ® Network Security Platform 7.0 入门手册

使用 Network Security Platform 进行检测和防护
入侵防护和 Network Security Platform
使用 Network Security Platform 进行检测和防护 1
使用 Network Security Platform 进行检测不像当前许多 IDS 特征码引擎所使用的字符串匹配那么简单。Sensor 会对流
量进行分析,验证是否符合其基本协议元素,并检查特定的协议字段,这样不仅提高了准确性,还能保持完整的通信流
和应用程序状态。Sensor 执行 IP 碎片重组和 TCP 数据流重组,并一路向上执行完整的协议分析,直到应用层为止。
特征码引擎使用 Network Security Platform 的嵌入式特征码文件在通信流中协议的多个字段中搜索多个触发器(即次特
征码),以提高检测攻击的精确度。
当 Sensor 捕获一个数据包时,就会分析其对应的协议字段。Sensor 对数据包进行从第二层到第七层的全面、完整分
析,即使是应用层协议字段的语义也都了解得一清二楚。完成协议分析之后,Sensor 会检查数据包是否符合协议规范。
然后,Network Security Platform 将解析过的数据包传递给 DoS、特征码及异常等检测引擎。因为每个数据包都只拆解
一次,然后就送入对应的检测引擎,所以 Network Security Platform 在数据包处理方面的效率大为提高。所有这些过程
都通过硬件加速达到所需的线速性能。
当检测引擎发现可疑状况时,会将警报及相应的数据传给 Sensor 上运行的管理进程。管理进程然后根据策略触发适当
的响应,并向 McAfee ® Network Security Manager (Manager) 发出警报。此响应可能包括完全避免攻击。如果 Sensor
在网络上以串联模式运行,则可以启用拦截,这会导致 Sensor 丢弃攻击,以便攻击不会到达其目标。
McAfee ® Network Security Platform 7.0 入门手册 11

1
入侵防护和 Network Security Platform
使用 Network Security Platform 进行检测和防护
12 McAfee ® Network Security Platform 7.0 入门手册

2
Network Security Platform 基础知识
本节概述 McAfee ® Network Security Platform 及其组件。
关于 Network Security Platform
McAfee ® Network Security Platform [以前称为 McAfee ® IntruShield ® ] 是网络设备和软件的结合体,可准确检测和预防入
侵、拒绝服务 (DoS) 攻击、分布式拒绝服务 (DDoS) 攻击和网络滥用。Network Security Platform 提供全面的网络入侵
检测,并可以实时阻止或预防攻击,是一款名副其实的入侵防护系统 (IPS)。
从更新服务器获取更新
您可以使用以下几种方法通过更新服务器获得更新:
要通过 Manager 界面配置更新服务器的设置,请参阅“McAfee Network Security Platform Manager 管理手册”。
1 直接从 Manager 服务器连接到更新服务器(通过 Manager 界面操作)。
2 通过代理服务器连接到更新服务器(通过 Manager 界面操作)。然后,如第一种方法一样,需要对您的身份进行验
证。
3 从任何一个 Windows XP 系统中通过浏览器连接更新服务器,将更新下载到该系统,然后再将更新导入至
Manager。此方法中由于 Manager 服务器不使用任何 Internet 连接,从而为 Manager 服务器提供了防御 Internet 攻
击的最安全的方法。导入功能是一种 Manager 界面操作。
4 从任何一个 Windows XP 系统通过浏览器连接更新服务器,将软件更新下载到 TFTP 服务器,然后通过 Sensor 的
命令行界面 (CLI) 直接加载更新。此方法仅用于 Sensor 软件的更新。有关详细信息,请参阅“McAfee Network
Security Platform 安装手册”。
McAfee ® Network Security Platform 7.0 入门手册 13

2
Network Security Platform 基础知识
关于 Network Security Platform
14 McAfee ® Network Security Platform 7.0 入门手册

3
处理 Network Security Platform 资源
本节介绍 McAfee ® Network Security Platform 资源的各组件之间的关系。
Network Security Platform 资源
McAfee Network Security Platform 部署中包括以下资源以及它们之间的关系。
管理域节点
此处提到的资源在本手册后面章节以及“McAfee Network Security Platform Manager 管理手册”中有更详细的说明。
管理域(Administrative Domain,英文简写为 admin domain)是可选的组织工具,用于将 IPS 在逻辑上分成不同的部
分,将其管理工作委托给特定用户。(例如,假设公司在纽约和圣何塞都设有办事处。您可以创建一个 NY 管理域,将保
护纽约办事处的所有资源组织到该域中,并将其管理工作委托给纽约的管理员。)
整个 Network Security Platform 部署均位于“Root Admin Domain(根管理域)”下。本章资源树中的根管理域为“My
Company(我的公司)”。
有关管理域的详细信息,请参阅“管理域”。
Manager 节点
McAfee ® Network Security Manager (Manager) 是整个系统的协调指挥者。
您可以使用 Manager 添加、配置和管理构成 Network Security Platform 的物理资源(硬件和软件服务器、操作系统以及
服务器上运行的软件组件)。在 Manager 资源中,也可以配置更新计划、数据备份、代理服务器设置等全局属性。您
还可以部署两台 Manager 实现高可用性配置。
有关 Manager 高可用性的详细信息,请参阅“Manager 灾难恢复 (MDR)”。
用户和角色
您可以指定系统的用户,然后指派他们在管理域中的角色,允许他们在管理域内执行该角色可以执行的管理和/或配置任
务。为实现精确的用户角色自定义,您可以创建自定义角色并为每个角色指派特定的功能。
有关用户和角色的详细信息,请参阅“在 Network Security Platform 中管理用户”。
设备节点
McAfee ® Network Security Sensor 是配置用来检测攻击的监控设备(Sensor 和 NTBA Appliance)。每种设备资源都可
以启用多种操作。设备在 Manager 中逻辑上以用户指定的名称表示,其所有对应的接口和子接口显示为层次结构子节
点。设备接口和子接口是 Network Security Platform 虚拟 IPS (VIPS) 功能的表现形式。型号相同的两台设备可以组成
故障转移对来提供网络高可用性。
设备节点操作包括导出和导入各个设备配置文件、与 IPS 隔离区通信、配置设备端口以及更新设备配置。
McAfee ® Network Security Platform 7.0 入门手册 15

3
处理 Network Security Platform 资源
Network Security Platform 资源
接口节点
接口具有物理和逻辑两种属性。每个接口都表示为 Sensor 上的一个物理端口(即端口 1A)或一对端口(即端口 1A 和
1B)。
接口也有逻辑上的涵义,可让用户定义如何细分通过接口的流量。用户可将逻辑接口配置成专用(未指定、未定义的流
量)、VLAN(标有特定 VLAN 标记的流量)或 CIDR(特定 IP 地址范围内的流量)。也可以将接口逻辑上组成接口组,
以监控非对称通信流。
接口节点可用来应用 IPS 策略、创建子接口以便应用更细致的策略以及创建非常细致的 DoS 策略。
子接口节点
子接口是接口的逻辑分支。如果接口连接至传输 VLAN 或 CIDR 流量的网段,则接口可细分为多个更小的子接口。通常
的做法是将一个子接口配置为应用一种策略,而其余子接口则应用不同的策略。或者将一些特性相同而流量类型不同的
实例组合在一起。子接口节点操作是其接口节点操作的子集。
IPS 设置节点
IPS 设置节点是指示 Sensor 检测哪些事件以及事件发生时如何响应的规则集。您可以将各种不同的策略应用到管理域
(应用到该域内任何 Sensor 上的所有接口)、接口或子接口。
IPS 设置节点操作包括创建攻击过滤器、规则集、策略和用户定义的特征码,以及查看应用的策略、从 Manager 导出策
略或向 Manager 导入策略。
有关 IPS 设置的详细信息,请参阅“使用安全策略”。
NAC 设置节点
NAC Sensor 显示在此节点下面。Sensor 级别的所有 NAC 配置都可以在该节点下面执行。
此节点是所有 NAC Sensor 的一个逻辑父级;在该级别配置的所有操作将根据逻辑关系应用于由该节点管理的每个
NAC Sensor。可以存在多个 Sensor 节点,具体取决于与子域相对应的“Add Sensor Allowed(允许添加 Sensor)”字段
是否处于选中状态。
NAC Sensor 都将显示在“Device List(设备列表)”和“NAC Settings(NAC 设置)”节点下面。
既作为 IPS 又作为 NAC 的 Sensor 将显示在“Device List(设备列表)”、“IPS Settings(IPS 设置)”和“NAC settings
(NAC 设置)”节点下面。
NTBA 设置节点
NTBA Appliance 显示在此节点下面。NTBA 级别的所有配置都可以在该节点下面执行。
此节点是所有 NTBA Appliance 的一个逻辑父级;在该级别配置的所有操作将根据逻辑关系应用于由该节点管理的每个
NTBA Appliance。
使用资源树
要配置系统,请在资源树中单击一个节点。特定于该资源的配置选项会出现在“Configuration(配置)”页的右侧窗格中。
在更改资源配置时,请记住,许多配置更改必须传送给 Sensor 后才会生效。
有关配置资源的详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。
16 McAfee ® Network Security Platform 7.0 入门手册

4
4 在管理域中工作
本节介绍管理域的概念,以及域在 McAfee ® Network Security Manager (Manager) 中的表示方式。有关如何配置管理域
的具体说明,请参阅“McAfee Network Security Platform Manager 管理手册”。
目录
何谓管理域?
何谓管理域?
管理域层次结构
警报和故障的通知与转发
管理域(administrative domain) 英文简写为 admin domain,是一种专门用来对 McAfee ® Network Security Platform
资源进行分组的工具,通过该工具可以将资源管理任务委托给特定的 McAfee Network Security Platform 用户。
管理域可包含其他管理域、McAfee ® Network Security Sensor (Sensor)、Sensor 接口和 Sensor 子接口。管理域概念可
让企业创建负责整个 Network Security Platform 的中央监管机构,并由该机构将 Network Security Platform 安全资源的
日常操作委托给适当的实体,如业务单位、地区、IT 部门、个别安全人员等。
根管理域
顶层管理域称为根管理域。(左侧是资源树中用来标示此域的图标。)在根管理域中,具有“Super User(超级用户)”访
问权限的用户对整个管理域及其内部所有资源(包括任何子域和系统的所有安全资源)拥有完全的控制权。
例如,假设您的公司(此处称为“My Company(我的公司)”)总部位于伦敦,在纽约、巴黎和旧金山分别设有分公司。
如果您部署的 Network Security Platform 监控整个公司,则根管理域便涵盖这四个地点以及该环境中的所有 Network
Security Platform 组件,并可让您从伦敦管理整个系统。
下图显示此结构在 Manager 的“Configuration(配置)”页的资源树中的排列方式。根管理域标为“My Company(我的公
司)”。
McAfee ® Network Security Platform 7.0 入门手册 17

4
在管理域中工作
管理域层次结构
管理域层次结构
父管理域和子管理域
也许在伦敦管理“My Company(我的公司)”的整个 Network Security Platform 部署有点不切实际。如果将保护各地区
的 Network Security Platform 资源管理工作委托给当地的实体,可能更为合适。要将管理职能分别委托给这四个办事
处,您可以创建代表各办事处的子域。这些子域又称为子管理域或子域。
创建子域后,即可将该子域中 IPS 设备的监控和/或配置任务委托给更熟悉该子域环境的实体。您不一定要将管理域划分
为多个子域;但如果要将管理 Network Security Platform 资源的职责委托给组织内部的不同个体,就需要通过创建子域
来实现。
要委派职责,需创建用户帐户,并为各用户指定一个角色,定义用户与子管理域中资源的交互方式。有关角色的详细信
息,请参阅“在 Network Security Platform 中管理用户”。
子域还可以进一步细分成更小的子域。任何域只要包含子域,便可称为父域。一个子域也可以是其他子域的父域。
您可以将根管理域划分成数个大型(从资源的角度)的子域,将保护多个地区的所有 Network Security Platform 资源管
理任务委托出去。也可以创建很小的域,比如单个 Sensor 上的几个接口,甚至是受保护网络中两台主机之间传输的流
量段内的 VLAN 标记或 CIDR 地址。
管理域在资源树中表示为层次结构树状视图。Network Security Platform 中的资源在资源树中以节点表示,如下图所示。
18 McAfee ® Network Security Platform 7.0 入门手册

项目 描述
1 设备名称节点(物理 Sensor)
2 接口节点
3 子接口节点
4 子管理域节点
5 分配的接口节点
在管理域中工作
管理域层次结构 4
McAfee ® Network Security Platform 7.0 入门手册 19

4
在管理域中工作
警报和故障的通知与转发
在此图中,树状视图顶部的节点 My Company(我的公司)代表根管理域。
资源树的结构取决于系统用户对节点的管理方式,而不一定代表资源之间的任何网络或物理关系。
用户的角色决定他们在资源树中能查看的内容。树状视图只显示他们有权查看的资源。
节点
资源树中的每一项都是一个节点,并代表一个 Network Security Platform 资源。节点可以代表逻辑实体(如子域),也可
以代表物理实体(如 Sensor 的接口)。一个“Admin Domain(管理域)”节点可以是父节点或子节点。它既可以是下属节
点的父节点,同时又是上级节点的子节点。子节点可能有几个层级。
继承
了解父管理域和子管理域之间的关系非常重要,因为默认情况下子管理域会继承父管理域的策略,并且用户在子域中将
继续他们在父域中的角色权限。
策略继承表示子域从父域获得或继承策略。如果在创建子域时不指定策略,子域会自动继承父域的策略。要覆盖从父域
继承的策略,必须指定一套专用于该子域的子管理域策略。
有关策略的详细信息,请参阅“使用安全策略”。
用户角色的情况也类似,但稍微有些差异。角色适用于当前域及其任何子域。由于子域包含在父域之中,因此如果一个
用户在父域中被授予“超级用户”角色,则这一角色也适用于父域的所有子域。以管理域层次结构中所显示的域层次结构
为例,拥有 Finance 部门系统管理员角色的用户,在 Payroll 域和 Accounts Payable 域中也拥有同样的角色。
请注意,您还可以在子域级别中向用户授予其他角色,但在父域级别中授予用户的角色不会被子域级别中授予该用户的
角色覆盖。
有关角色的详细信息,请参阅“在 Network Security Platform 中管理用户”。
另请参阅
处理安全策略第 4 页
管理域层次结构第 18 页
在 Network Security Platform 中管理用户第 4 页
警报和故障的通知与转发
在管理域资源中,您可以配置警报和系统故障的通知与转发。通知让 Manager 在检测到您配置的警报或故障设置时,
发出电子邮件、呼叫特定人员或执行脚本。警报和故障转发可让您将 Manager 配置成发送警报和/或故障数据给指定的
Syslog 和/或 SNMP 服务器。
20 McAfee ® Network Security Platform 7.0 入门手册

5
5 处理安全策略
本节提供有关为 McAfee ® Network Security Platform 开发和应用 IPS 策略的信息。
目录
何谓安全策略?
何谓安全策略?
策略应用
预先配置的策略
在 Network Security Platform 中配置策略
导出和导入策略
策略继承
响应管理
拒绝服务 (DoS) 模式
安全策略(即 IPS 策略)是规定了允许在网络上通过哪些流量以及如何对网络滥用进行响应的一套规则。有效的策略应
是针对所监控的网络环境制订的自定义策略。
安全策略可针对协议(HTTP、UDP)、操作系统(NT、Solaris)以及其他在网络上传输的各种信息设置规则。了解各网
段上传输的流量类型,有助于决定哪些类型的策略才能有效地保护网络,防范入侵和滥用。
Network Security Platform 策略
Network Security Platform 策略是一系列的规则/说明,定义 McAfee ® Network Security Sensor (Sensor) 要检测的恶意
活动以及如何对检测到的恶意活动进行响应。通过创建策略,您可以用一组规则来定义网络中的各种服务、协议和/或产
品实现。
防范滥用的最好方法不是对整个网络应用同一套策略,而是针对各网段的特定需求创建适当的策略。McAfee Network
Security Platform 可让您为各种网络资源创建策略,并且可以一直细分到网络流量中的个别子通信流。
假设网络中散布有 Windows 和 Linux 主机。最佳的方法是对流量将流过的所有端口应用既适用于 Windows 攻击又适用
于 Linux 攻击的策略。
如果此网络的控制方式恰巧是所有 Windows 主机的流量流过一个网段而所有 Linux 主机的流量流过另一个网段,则可
以将这些不同的网段连接到不同的监控端口。然后分别对相应的端口应用特定于 Windows 的策略和特定于 Linux 的策
略。通过执行此操作,可以降低误报的几率并减少每个端口上需扫描的工作量。
McAfee ® Network Security Platform 7.0 入门手册 21

5
策略应用
处理安全策略
策略应用
目前,基于 Sensor 的 IPS 产品仅允许您在整个 Sensor 上应用一个安全策略。通常这种单一策略的 Sensor 也都只有一
个端口,无法再进行细分来应用更细致的策略。但是,如果要监控多个网段或总流量(如千兆位上行链路),则采用多端
口设备并更精细地划分检查过程,将有助于提高安全解决方案的成本效益和效率。Sensor 设备有多个端口,能够应用多
组不同的策略。因此,Network Security Platform 提供其虚拟化功能(称为 VIDS 或 VIPS)。
VIPS--在接口和子接口级别应用策略
VIPS 功能可让您为受一台 Sensor 监控的多种不同环境和流量方向配置多个策略。虚拟化的目标是实现更精细的扫描。
虚拟化允许您对流过单个接口的流量应用多个策略。通过这种方式,可以对流量不通过唯一 Sensor 端口的一台主机或
主机组应用唯一的扫描策略。
例如,假设 I‑2700 Sensor 的端口 1A 连接到交换机的 SPAN 端口。端口 1A 采用特定的环境检测策略。Sensor 的其他
端口可采用与 1A 完全不同的策略,也可以使用同一策略。或者,每个端口都可以根据多个 VLAN 标记或 CIDR 地址进
行细分,并各自应用适当的安全策略。
Sensor
策略可以在 Sensor 级别应用,但这种策略应用的目的是让其自定义策略已被删除的 Sensor 的接口继承策略。例如,假
设您创建了一个称为 Custom1 的自定义策略。并将此策略应用于 I‑2700 Sensor 的 1B、2A 和 4B 接口。经过一段时间
后,您认为 Custom1 的效果不好,想将其删除。您可以对 Sensor 应用另一套策略,这样可以删除自定义策略,而无需
在已应用策略的每个接口上进行更改。删除自定义策略时,实施该策略的所有接口(1B、2A 和 4B)都会继承应用到
Sensor 的策略。
接口
网络专家经常互换使用术语端口和接口。但是,在 Network Security Platform 环境中,一定要区分这两个术语,端口实
际上表示物理组件,而接口表示 Sensor 上一个或多个物理监控端口以及流过这个(些)端口的所有流量的逻辑抽象。所
有 Sensor 接口都用直接或通过外部 Tap、集线器或 SPAN 端口连接网段的 FE 或 GE 监控端口表示。
端口和接口不同之处的一个简单但有效的示例就是“端口对”。如果您将 Sensor 配置为以串联模式运行,便可以将这两个
物理端口组合成一个逻辑接口并对其进行管理。
例如,假设您有一个 Finance 父域,该父域有 Payroll 和 Accounts Payable 两个子域。Payroll 部门的网络全部由
Windows 计算机组成,而 Accounts Payable 域全部是 Solaris。您有一台以内部 Tap 模式运行的 Sensor,两个对等端
口(端口对 1A 和 1B)监控 Payroll 部门的流量,端口对 2A 和 2B 监控 Accounts Payable 部门。可以将随附的
Windows Server 策略应用于 Payroll 接口,将 Solaris Server 策略应用于 Accounts Payable 接口。
22 McAfee ® Network Security Platform 7.0 入门手册

子接口
处理安全策略
策略应用 5
术语 VIDS 和 VIPS 强化了这一概念:虚拟化允许您对单个 Sensor 解决方案进行定制,就像它是一个多 Sensor 解决方
案一样。Network Security Platform 用户界面使用子接口一词,该词更好地描述了实现虚拟化的过程。
Sensor 的端口监控功能可深入比接口更低的级别:您可以细分接口的安全管理,在接口的子通信流级别应用策略。子通
信流或子接口是网络通信流中的数据段。此子接口也是 VIPS。可以根据一个或多个基于 CIDR 的 IP 地址块定义 VIPS,
也可以根据一个或多个 VLAN 标记定义 VIPS。Sensor 可以处理这些数据段,以及在通过单线传输的多个子网上应用多
个流量策略,直至应用策略直接保护个别主机。
McAfee ® Network Security Platform 7.0 入门手册 23

5
处理安全策略
策略应用
在上图中,使用一台外部 Tap 模式的 I‑4000 监控路由器和交换机之间的千兆位上行链路。交换机后面是整个企业网络,
共由五个部门组成:人事、销售、薪资、工程和营销。每个部门的流量都用 VLAN 细分,以不同的 VLAN ID 标示,在
图中分别以数字 1‑5 代表。
利用对等端口 1A 和 1B Tap 连接全双工上行链络,I‑4000 可以分析处理路由器和交换机之间传输的流量的 VLAN ID。
安全管理员可针对上行链路中的每个 VLAN ID(代表各个部门的流量)配置不同的策略,而不是对整个接口应用同一策
略。在此场景中,五个部门的五个 VLAN ID 可以分别应用不同的策略,也可以组合上行链路中的 VLAN ID 来应用相同
的策略。策略应用可以随心所欲,只需要将策略分配给适当的接口和子接口资源即可。
DoS 策略
还需要注意的是每个接口和子接口维护唯一的拒绝服务 (DoS) 配置文件。可以将 DoS 策略应用于子接口的子集,以进
行更为细致的安全监控。这些 DoS 配置文件实例称为 DoS ID。对 DoS 攻击的监控可以细致到个别主机。凡是与已确
定的正常流量差异过大的行为,均被视为 DoS 行为,即使被攻击的是下行到千兆位网络链路的一台主机/子网,且流量
仅有数个 Mbps。Sensor 的精细 DoS 检测功能也能把攻击行为揪出来。
考虑为单个主机创建子接口的另一个原因是,该主机的流量模式往往与共享该接口的其余主机截然不同。例如,电子商
务 Web 服务器与内部文件和打印服务器;毫无疑问,Web 服务器的流量模式不同于文件和打印服务器的流量模式。如
果不与文件和打印服务器分开,这一台 Web 服务器很可能使整个接口的计算不对称,从而在 DoS 分析过程中产生误
报,甚至是漏报。通过隔离这一台主机,可以使 Sensor 对出入文件和打印服务器的流量和 Web 服务器的流量进行独立
分析,从而提高了分析的准确率。
24 McAfee ® Network Security Platform 7.0 入门手册

预先配置的策略
McAfee 提供一组预先配置好的策略,可立即应用于多种不同的网络环境。这些策略都放在系统配置工具资源树中 Policies
(策略)节点下的 IPS Policy Editor(IPS 策略编辑器)中。
这些策略只是个“起点”,旨在帮助您尽快配置并运行系统。最初您可以使用任何默认场景,也可以复制策略进行修改,
然后应用修改后的新策略。事实上,使用添加第一台 Sensor 时默认应用的 Default Inline IPS(默认串联 IPS)策略便
可以立即开始监控网络,实际上无需修改出厂设置(如果以串联模式部署 Sensor)便可以开始拦截攻击。随着您对 IPS
的优化,修改的策略将更适合特定环境的需求。
每套预先配置的策略都设计为解决特定网络环境中最常见的攻击。为了提供最有效的攻击检测,这些策略会考虑各种因
素,例如协议(HTTP、SMTP)、服务(电子邮件、FTP、Web)和实现(Apache、IIS)。
攻击分为四种常见类别:
• Denial of Service (DoS) and Distributed Denial of Service (DDoS)(拒绝服务 (DoS) 和分布式拒绝服务 (DDoS)):
所有提示导致服务中断(包括应用程序、服务器或网络速度变慢或崩溃)活动的情况。
• Exploit(利用漏洞):以特定流量内容为载体,除 DoS 和侦测之外的所有恶意活动。它包括缓冲区溢出、病毒和蠕
虫。
• Reconnaissance(侦测):有探查、扫描和操作系统指纹识别活动迹象的所有情况。这些活动通常是为发动更有针
对性的攻击所做的准备。
• Policy Violation(违反策略):底层流量内容本身可能并无恶意,但却明确违反了管理域使用策略的所有活动。它包
括违反一般使用方式的应用协议行为。
以下列出预先配置的策略及其说明。
所有提供的策略都启用严重性为 2(低)以上和良性触发几率为 4(中)以下的攻击(除两个 All‑Inclusive(综合策略)策
略)。严重性和良性触发几率设置可排除已知的干扰特征码,以限制虚假警报。
策略 防御目标
Default Inline IPS(默认串联
IPS)
严重性为“Low(低)”或更高、良性触发几率在“Medium(中)”之下的所有攻击,并为
所有的 McAfee“建议阻止 (RFB)”攻击启用了拦截 Sensor 操作。
Default IDS(默认 IDS) 严重性为“Low(低)”或更高、良性触发几率在“Medium(中)”之下的所有攻击。
Outside Firewall(防火墙外部) 除“侦测”类别之外的所有攻击。
DMZ 所有攻击类型,使用 TFTP、Telnet、RIP、NETBIOS、NFS 和 WINS 的利用漏洞攻
击除外。
Inside Firewall(防火墙内部) 所有攻击类型,使用 TFTP、Telnet 和 RIP 的利用漏洞攻击除外。
Internal Segment(内部网段) 所有攻击,使用 RIP 和路由协议的利用漏洞攻击除外。
Web Server(Web 服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、HTTP 和 FTP 协议的利用漏洞
攻击。
Mail Server(邮件服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、SMTP、POP3 和 IMAP 协议
的利用漏洞攻击。
DNS Server(DNS 服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS 协议的利用漏洞攻击。
File Server(文件服务器) 所有侦测和 DoS 攻击、一般后门程序以及使用 DNS、NFS/RPC 和 NETBIOS/SMB
协议的利用漏洞攻击。
Windows Server(Windows 服
务器)
受影响的操作系统包括 Windows 的所有攻击。
Solaris Server(Solaris 服务器) 受影响的操作系统包括 Solaris 的所有攻击。
UNIX Server(UNIX 服务器) 受影响的操作系统包括 UNIX 的所有攻击。
Linux Server(Linux 服务器) 受影响的操作系统包括 Linux 的所有攻击。
处理安全策略
预先配置的策略 5
McAfee ® Network Security Platform 7.0 入门手册 25

5
处理安全策略
预先配置的策略
策略 防御目标
Windows and UNIX Server
(Windows 和 UNIX 服务器)
Windows and Solaris Server
(Windows 和 Solaris 服务器)
Windows, Linux, and Solaris
Server(Windows、Linux 和
Solaris 服务器)
All‑Inclusive without Audit(综合
策略,不含审核)
All‑Inclusive with Audit(综合策
略,包含审核)
受影响的操作系统包括 Windows 或 UNIX 的所有攻击。
受影响的操作系统包括 Windows 或 Solaris 的所有攻击。
受影响的操作系统包括 Windows、Linux 或 Solaris 的所有攻击。
所有攻击,包括带有已知干扰特征码的攻击,但不含严重性为“Informational(信息)”
级别的攻击。此策略与“Default(默认)”策略的不同之处在于它会对 Network
Security Platform 数据库中的所有攻击(包括那些带有干扰特征码的攻击)发出警报。
这样有利于安全专家对网络流量进行全面分析。未启用信息“attack(攻击)”。
与上一个类似,但包含“Informational(信息)”级别的警报。
Null(无) 所有的特征码在默认情况下都处于禁用状态。此策略是为 IPS 需要忽略某一流量支流
的情况提供的。
例如,下图中使用一台 I‑2700 Sensor 保护三个网络区域:防火墙外部、防火墙内部和 DMZ。您可以对这三个区域实施
一套策略,也可以为每个区域配置特定的策略。
在本例中,防火墙外部区域最适合用 Network Security Platform 的默认 Outside Firewall(防火墙外部)策略(或管理员
创建的类似策略)来保护。对于 DMZ 区域,提供的 DMZ 策略非常有效。同样,对于防火墙内部区域,提供的 Inside
Firewall(防火墙内部)策略最适合该区域中的流量。
26 McAfee ® Network Security Platform 7.0 入门手册

在 Network Security Platform 中配置策略
您可以使用“Configuration(配置)”页中的“IPS Policy Editor(IPS 策略编辑器)”来配置策略,将其应用于资源(如管理
域、接口或子接口),然后这些策略会被传播到 Sensor 上得以实施。虽然策略本身相当复杂,但策略编辑器通过直接、
逐步的配置屏幕简化了配置过程。
关于基于规则的策略
处理安全策略
在 Network Security Platform 中配置策略 5
Network Security Platform 策略基于规则。这种基于规则的策略由一组分先后顺序的攻击选择规则组成,有点类似于访
问控制列表 (ACL)。它们都是一些有序规则,用于确定需要监控哪些攻击或情况。规则集的配置以攻击类别、操作系统、
协议、应用程序、严重性和良性触发几率等选项为基础。规则集中的每个规则可以是包含规则或排除规则。包含规则是
一组范围甚广的已知攻击检测参数,它应列于整个规则集的开始位置。排除规则将包含规则所包含的某些元素排除出来,
使策略规则集更具集中性。通过此拓宽(包含)和收窄(排除)过程,可以只检测对特定环境产生影响的攻击。
McAfee ® Network Security Platform 7.0 入门手册 27

5
处理安全策略
在 Network Security Platform 中配置策略
例如,如果查看“Default IDS(默认 IDS)”策略规则集,会发现其中包含所有 DoS 和侦测攻击,以及所有 2 级(低)严重
性以上、4 级(中)良性触发几率以下的利用漏洞攻击,从而排除了严重性不高或包含干扰特征码的攻击。
Network Security Platform 中的攻击和特征码
请注意,当与 Network Security Platform 策略进行交互时,将遇到“攻击”一词(而不是“特征码”)。Network Security
Platform 将攻击定义成由一个或多个特征码、阈值、异常配置文件或关联性规则组成,其中每种方法都可用来检测企图
利用系统特定漏洞入侵的行为。这些特征码和检查可能含有特定的方法来识别已知的特定利用漏洞攻击,也可能含有比
较通用的检测方法来帮助检测未知的利用漏洞攻击。将所有特征码组合之后,便可在检测攻击时提供最大的精确性和覆
盖范围。
IPS 节点
IPS 节点提供用来查看、创建、编辑、复制和删除安全策略的工具。您可以直接使用 Network Security Platform 预先配
置的策略,或将其用作模板创建自定义策略,也可自行创建新策略。
以下是策略编辑器中的一些可用选项:
• New(新建)创建自己的策略。
• View(查看)/Edit(编辑)所创建的策略。(所提供的策略无法直接编辑。)
• Clone(复制)现有策略,也就是复制并在新名称下自定义现有策略,包括所提供的策略。
• Delete(删除)创建的策略。(不能删除所提供的策略。不能删除当前应用到资源的策略。)
创建或自定义策略
以下步骤简要介绍了策略的创建过程。
任务
1 创建策略并命名。您可以复制默认的策略以用作模板,编辑现有策略,或创建新策略。策略应指定要检测的所有攻
击,以及在检测到特定攻击时进行的响应。
2 保存策略。
28 McAfee ® Network Security Platform 7.0 入门手册

导出和导入策略
3 将策略应用于资源,例如管理域、Sensor、Sensor 接口或 Sensor 接口的子接口。(新添加的 Sensor 将继承其管理
域的策略,因此,默认情况下,该域的策略将保护 Sensor 的所有接口。)
4 检测到入侵事件时,Sensor 会向 McAfee ® Network Security Manager (Manager) 发送警报描述此事件,并且发出响
应(如果配置了响应)。有关响应类型的详细信息,请参阅“响应类型”。可在 Threat Analyzer 或 IPS 报告中查看警
报。
5 经过一段时间后,可以根据生成的警报数据优化策略。如果看到许多不想查看的警报(也就是不适用于您环境的警
报,例如 Solaris 环境中的 Windows 攻击,或您认为不值得注意的事件警报),则可以将策略规则优化为只显示真正
有影响的攻击。
另请参阅
响应类型第 31 页
Sensor 响应但不发出警报
默认情况下,策略检测到任何攻击时都会发出警报。如果在 Threat Analyzer 中多次看到相同的警报,您希望自动进行
响应而不再显示该警报,则可以让 Network Security Platform 提供 Sensor 响应但不发出警报。对于“Exploit attacks(利
用漏洞攻击)”,可以停止警报任何攻击,但还是可以要求 Sensor 在检测到攻击时进行响应。当 Sensor 检测到攻击时,
便会执行配置的响应,并且不向数据库发送任何警报。
自动确认警报
如果停止对某攻击发出警报,针对该攻击的数据包日志记录也会一并关闭。必须启用警报功能才能进行数据包日志记录。
根据一天中受到的攻击次数,您可能会注意到一些相同的攻击持续以您的网络为目标。此时若打开了 Threat Analyzer
并切换到“Real‑time Threat Analyzer(实时 Threat Analyzer)”,就需要不断重复确认这些相同的警报实例,这可能会耽
误您分析其他警报的时间。
Network Security Platform 的策略自定义功能允许您对数据库中的任何攻击进行警报自动确认。“Notification(通知)”选
项“Auto Acknowledge(自动确认)”自动将数据库中的攻击标记为“Acknowledged(已确认)”,因此检测到这类攻击时,
就不会计入 Manager 主页的“Unacknowledged Alert Summary(未确认的警报摘要)”内,它们只能在 Threat Analyzer
中通过“Historical Threat Analyzer(历史 Threat Analyzer)”查询进行查看。
在 Sensor 之间重新分配策略
您可以方便地重新分配应用到当前管理域或任何子管理域内 Sensor 的策略,无需在 Network Security Platform 中进行
详尽搜索。如果需要在多个 Sensor 上重新分配策略,可以按策略搜索。而如果您要在所选 Sensor 上重新分配策略,则
可以按 Sensor 搜索。
有关详细信息,请参阅“McAfee Network Security Platform IPS 管理手册”。
处理安全策略
导出和导入策略 5
Manager 系统可让您导出和导入自定义的策略。导出功能允许您将 Manager 服务器中自定义策略的副本保存到客户端
或其他位置。导入功能则可让您将先前导出的策略复制回 Manager。
导出的策略以 XML 文件的形式保存。不要尝试自定义 XML 输出,否则在将策略导回系统时会出现问题。
McAfee ® Network Security Platform 7.0 入门手册 29

5
策略继承
处理安全策略
策略继承
下面三种情况详细说明了导出和/或导入策略对安全策略是很有益处的:
• 第一种情况:创建并存档策略
您创建了一个自定义策略,并想将其备份起来以便日后参考、编辑或使用。可以将该文件导出到客户端。然后导入
到测试环境进行编辑,最后再导回活动系统。或者,如果您对上次导出后进行的策略更改不甚满意,则可以将原策
略重新导入 Manager,覆盖现有的策略。
• 第二种情况:利用测试环境创建策略,然后导入
如果已在“测试”或非活动环境中安装 Manager 服务器,便可在这台测试 Manager 上创建多个策略以在活动系统中使
用。当策略创建好之后,先将自定义策略导出到客户端计算机上。然后远程连接到活动的 Manager,导入自定义策
略。在导入策略之后,可以将其应用于 Network Security Platform 资源。
• 第三种情况:将策略从一台活动 Manager 复制到另一台活动 Manager
如果部署了大量 Sensor,可能会将这些 Sensor 分配给两台或更多 Manager。对于创建的自定义策略,可以先将其
从一台 Manager 导出到客户端,然后再导入到其他 Manager。
在管理域级别定义的策略由其子管理域继承,而子域内的资源(Sensor 接口和子接口),除非其策略已在资源配置时明确
设置,否则也会继承上层管理域的策略。如果想对特定资源设置另一套策略,可选择或创建不同的策略。
策略的继承顺序如下所示。
资源/节点 策略类型
利用漏洞策略 DoS 学习模式 DoS 阈值模式 侦测 不适用
策略节点 定义策略 定义策略 (默认为关闭) 不适用
任何管理域节点 指定在策略节点定义的策
略
指定在策略节点定义的策略 (默认为关闭) 不适用
设备名称节点 与管理域相同的策略 与管理域相同的策略 与管理域相同的策略 定义/实施侦测策略
(为所有 Sensor 接
口定义)
接口节点 继承管理域的策略
指定新策略
实施策略
子接口节点 继承接口的策略
接口或子接口内的个
别 VLAN ID 和
CIDR 块
指定新策略
实施策略
继承管理域的策略
修改继承的策略
实施策略
继承接口的策略
修改继承的策略
实施策略
不适用 从管理域继承
修改继承的策略
实施策略
定义策略
实施策略
定义策略
实施策略
定义策略
实施策略
不适用
不适用
不适用
假设您创建一套用于以后要创建的管理域的策略。您可以在 Policies(策略)级别定义此策略。然后可将其用于任何管
理域以及域内的任何 Sensor。
当您将 Sensor 接口分配到管理域(这是子管理域创建过程的一部分)时,所有接口都会自动继承管理域的策略。因此,
在创建管理域的过程中,会分配由分配的接口继承的策略。必要时还可以到每个分配的接口上逐一指定不同的策略。
当策略应用到较低的级别后,在较高的级别(例如管理域级别)更改策略对于较低的级别(例如接口级别)没有影响。
在子管理域级别定义的自定义策略不能应用于父管理域级别的资源。
30 McAfee ® Network Security Platform 7.0 入门手册

响应管理
作为保护或预防体系的一部分, Sensor 检测到违反了配置策略的活动时,便会发出预先定义的响应。要实施有效保护,
关键是配置正确的响应。对缓冲区溢出和 DoS 等非常严重的攻击要求作出实时响应,而对扫描和探查等只需记录到日
志,以用于研究其危害性和攻击来源。为了提高网络安全性能,建议您根据特定攻击或攻击参数(如严重性)设定一系列
的操作、警报和日志。
例如,由于 Network Security Platform 以自定义成保护网络的任何区域,因此了解哪些地方需要保护有助于确定响应类
型。如果以串联模式监控防火墙外部,则预防 DoS 攻击以及针对防火墙的攻击非常关键。大部分其他针对内部网络的
可疑流量,包括扫描以及影响较小的已知利用漏洞攻击,最适合记录下来进行分析,因为它们不会立即造成影响,通过
分析可以深入了解潜在的攻击目的。因此,如果以串联模式监控防火墙外部,最好不要设置细致的策略和响应,以免影
响正常通信流或降低系统速度,而只要防范会使整个网络瘫痪的极度恶意流量就够了。
响应类型
Sensor 和 Manager 提供的响应类型如下所示:
Sensor 响应操作
Sensor 操作是 Sensor 为预防或阻止发生进一步攻击而做出或通过网络发出的响应。
• “Drop further packets(丢弃其余数据包)”(仅适用于串联模式)‑ 丢弃特定攻击数据包是串联模式最主要的优点之一。
以串联模式进行实时检测时,Sensor 在触发特征码的数据包以及随后的所有相关数据包到达预定目标系统之前将其
丢弃。此功能提供真正的“入侵防护”。此操作也称为“阻止”。
• “Send an alert(发送警报)”(默认)‑ 当流量违反 Sensor 策略时,Sensor 就会生成警报并将其发送给 Manager,您
可以使用 Threat Analyzer 查看该警报。您可以检查警报的内容,也可以根据主要字段(如严重性级别、来源和目标
IP 地址等)排序。有关 Threat Analyzer 的详细信息,请参阅“McAfee Network Security Platform Manager 管理手
册”。
• “IPS Quarantine(IPS 隔离)”— Sensor 通过将被感染的主机隔离指定的一段时间来对其进行隔离。有关详细信息,
请参阅“McAfee Network Security Platform IPS 管理手册”中的 IPS 隔离设置。
• “Packet log(数据包日志)”‑ 将数据包信息的日志或副本发送给 Manager 数据库;这些信息作为触发攻击的实际通
信流记录,可用来进行详细的数据包分析。在“Threat Analyzer”中查看数据时,数据会转换成以 libpcap 格式显示。
您可以用 Ethereal 之类的工具查看数据包日志数据,对攻击数据包数据进行详细分析。在“IPS Policy Editor(IPS 策
略编辑器)”/“Default IPS Attack Settings(默认 IPS 攻击设置)”中,用户可以指定要记录的数据包的数目或记录时
间长度。还可以选择通过 SSL 加密数据包日志通道以保护数据包日志数据。有关详细信息,请参阅 McAfee
Network Security Platform Manager 管理手册中的查看数据包日志。
• “TCP reset(TCP 重置)”‑ 仅适用于 TCP 连接。TCP 使用 TCP 报头中的 RST (Reset) 位重置 TCP 连接。Sensor
发现某连接携带有违反域安全策略的流量时,就会发出重置。用户可以配置将重置数据包发送到来源和/或目标 IP 地
址。
• “Attack filters(攻击过滤器)”‑ 攻击过滤器可让您根据安全事件的来源或目标过滤警报。例如,如果您知道 IT 部门会
从特定 IP 地址执行漏洞扫描,就可以过滤源自该地址的事件。“Attack Filter Editor(攻击过滤器编辑器)”提供一个方
便的界面供您创建攻击过滤器。
• “ICMP host unreachable(无法访问 ICMP 主机)”‑ 对 UDP 或 ICMP 攻击的来源发出“ICMP Host Unreachable(无法
访问 ICMP 主机)”数据包。
建议智能阻止(RFSB)
Network Security Platform 攻击定义包含一个属性,该属性指示攻击是否为 McAfee“建议阻止 (RFB)”的攻击。可以在任
何复制的策略中设置标志以在该策略中阻止 RFSB 攻击。
Manager 响应操作
处理安全策略
响应管理 5
可以配置三种通知响应来向用户警报恶意行为:电子邮件、寻呼机或脚本通知。这些响应会根据所配置的严重性级别
(低、中、高)或特定攻击发生的次数(不考虑严重性级别)直接发送给管理员。
McAfee ® Network Security Platform 7.0 入门手册 31

5
处理安全策略
响应管理
攻击默认设置
从本质上讲,“Attack Defaults(攻击默认设置)”是跨包含特定攻击的所有策略自定义对该攻击响应的“快捷方式”。在
“Attack Defaults(攻击默认设置)”级别配置的响应可用于在规则集和策略级别响应该攻击。
我们已经讨论了策略继承和响应操作。为了全面了解“Attack Defaults(攻击默认设置)”,请了解这样一个概念,我们暂
且称之为响应继承。
直接来自更新服务器的新特征码集包含一些与特定攻击关联的默认操作。例如,某些攻击被配置为记录数据包,而有些
攻击被配置为不记录数据包。
当在“Attack Defaults(攻击默认设置)”编辑器中打开某个攻击时,“Attack Defaults(攻击默认设置)”会显示由特征码集
指定的默认攻击值。因此,“Attack Defaults(攻击默认设置)”从特征码集“继承”响应操作。在“Attack Defaults(攻击默认
设置)”中自定义这些值将覆盖特征码集的值。不管建议使用哪个特征码集作为攻击的响应,在“Attack Defaults(攻击默
认设置)”中,攻击都指定了自定义响应。
随后,“Attack Defaults(攻击默认设置)”值可用于在规则集级别进行自定义。例如,您从“Attack Defaults(攻击默认设
置)”级别继承所有自定义,但可以在规则集级别为某些攻击设置“阻止”响应操作。现在,该攻击同时具有“Attack Defaults
(攻击默认设置)”自定义和规则集自定义。
最后是策略级别。策略级别将继承在规则集级别或“Attack Defaults(攻击默认设置)”级别进行的所有自定义。
如下图所示,每个级别从上一个级别继承响应属性。每个级别都可以保留攻击的继承值或通过明确设置或删除值进行自
定义。
IPS 策略编辑器当前显示的标签表示了自定义攻击的级别:
D – 由 Network Security Platform 提供的默认设置
D – 默认 IPS 攻击设置
R – 规则集编辑器(仅限阻止操作)
32 McAfee ® Network Security Platform 7.0 入门手册

P – IPS 策略编辑器
例如,假设要创建 3 个策略用于检测攻击“FTP:Attack Example(FTP:攻击示例)”,此攻击恰好是一个“Recommended
For Blocking(建议阻止)”(RFSB) 攻击。
您的要求如下:
• 策略 1:阻止“FTP:Attack Example(FTP:攻击示例)”并记录数据包
• 策略 2:不阻止“FTP:Attack Example(FTP:攻击示例)”;记录数据包。
• 策略 3:阻止“FTP:Attack Example(FTP:攻击示例)”;不记录数据包
• 对于所有三个策略,需要在发现“FTP: Attack Example(FTP:攻击示例)”时通过电子邮件进行通知。
如何实现这一目标?
拒绝服务 (DoS) 模式
1 对于“FTP: Attack Example(FTP:攻击示例)”的“DEfault IPS Attack Settings(默认 IPS 攻击设置)”级别,配置数据
包日志记录和电子邮件通知。
2 在规则集级别,启用对 RFSB 攻击的阻止。
3 在策略编辑器级别,创建您的三个策略。当对策略 2 选择“FTP: Attack Example(FTP:攻击示例)”时,禁用阻止。对
于策略 3,禁用数据包日志记录。
可以使用“Policy Import/Export(策略导入/导出)”功能导入/导出“Default IPS Attack Settings(默认 IPS 攻击设置)”自
定义。
Denial of service (DoS)(拒绝服务)攻击通过将大量虚假流量发送给目标系统或主机,使系统缓冲区溢出以至于必须脱
机修复,从而中断其网络服务。Sensor 在应对 DoS 攻击方面有基于学习和基于阈值两种功能。由于 Sensor 会记录完
整的 TCP 状态,因此很容易将“不良”的 DoS 数据包与“正常”的流量数据包区分开来,以串联模式运行时可将这些不良的
数据包丢弃。
DoS 策略适用于入站、出站或双向流量。入站流量是在串联或 Tap 模式中标为“Outside(外部)”(即来自网络外部)的
端口所收到的流量。采用 SPAN 或集线器模式时,除非通过创建 CIDR 块来区分,否则所有流量都被视为入站流量;发
送给指定“CIDR”块的流量在 SPAN 端口上被视为入站流量。通常入站流量都发往受保护网络,如企业内部网。
出站流量是从企业内部网的系统发出、在串联或 Tap 模式中标为“Inside(内部)”(即来自网络内部)的端口上所观察到
的流量。
另外还有一种称为学习模式的攻击,没有任何特定的方向性,具体地说就是 ICMP ECHO 异常和 TCP 控制异常。这些
攻击的性质使得 Sensor 无法判定攻击究竟是入站流量还是出站流量。因此将其归类于双向。
即使 Sensor 以串联模式运行,也无法阻止 ICMP Echo 异常和 TCP 控制异常攻击。
用策略编辑器配置时,可以自定义严重性,对许多统计类别启用管理通知。生成的报告和 Threat Analyzer 有助于判断
影响网络性能的统计信息类型。
学习模式
处理安全策略
拒绝服务 (DoS) 模式 5
在学习模式中,Sensor 监控网络流量,收集一段时间内一些流量测量的统计数据,创建一份“正常”的基准配置文件,称
为长期配置文件。为了创建配置文件,通常需要两天的初始学习时间。之后 Sensor 会经常更新这些配置文件(通常在指
定时间内有多个配置文件要处理),并存放在 Sensor 内部的闪存内,以便了解网络的最新状况。另外,Sensor 也会实
时创建短期配置文件 ‑ 实质上是网络流量的快照。Sensor 会比较短期配置文件和长期配置文件,只要短期配置文件的统
McAfee ® Network Security Platform 7.0 入门手册 33

5
处理安全策略
拒绝服务 (DoS) 模式
计数据显现出与长期配置文件差异过大的流量异常情况,就会发出警报。学习和检测算法也会将瞬间集中或类似现象引
起的正常流量波动情况考虑在内:通常这些情况都不会引发警报。(瞬间集中指的是正常状况所造成的流量短期暴增现
象,例如星期一早上刚好大家都在 9:00 左右同时登录。)
流量暴增达到多高的程度以及持续多长的时间应视为异常,以及是否要发出警报,都由响应敏感度决定。将响应敏感度
设置为“Low(低)”时,检测算法应尽量容忍流量暴增现象(也就是说,只要网络还有充足的带宽和/或服务器还有足够的
容量,就不会发出警报);设置为“High(高)”时,系统对任何流量暴增都非常敏感。“High(高)”敏感度是一把双刃剑:
一方面能够检测到小规模的 DDoS 攻击,但另一方面也会让系统的误报数量大增,而“Low(低)”敏感度的情形则刚好相
反。
DoS 学习模式在创建策略时配置,在接口和子接口级别实施。您可以在这些资源级别自定义学习模式配置文件,也可
在 Sensor 级别重置(重新学习)或重新加载学习模式配置文件。此操作全部在“Configuration(配置)”页中执行。
VLAN 标记或 CIDR 块内的子接口和个别 CIDR 主机受到拒绝服务攻击时,可以用适当的学习模式设置保护它们。这对
于防范 DMZ 或其他位置的服务器因 DoS 攻击而关机特别有用。可为每种资源创建单独的配置文件。
阈值模式
在阈值模式中,Sensor 会监控网络从来源到目标的传输流量中,是否有大量数据包(如 SYN 攻击和过多的 IP 碎片)流
过,这在 Sensor 接口或子接口中检测。使用 IPS 策略编辑器配置或在接口或子接口级别自定义时,必须为要检测的阈
值攻击指定数量和间隔时间(以秒为单位)。当启用攻击的流量超过自定义的阈值时,Sensor 就会发出警报。您也可以
对特别需要注意的攻击启用通知功能。
必须为要检测的每种 DoS 阈值模式攻击配置实际阈值和时间间隔。因为每个网络的数据包速率都不一样,所以并没有提
供默认的阈值。在研究了每种 DoS 阈值攻击的当前防御级别,以精确地确定最能保护您的网络的阈值个数和时间间隔之
后,再自定义 DoS 阈值,这样是最有效的。
34 McAfee ® Network Security Platform 7.0 入门手册

6
在 Network Security Platform 中管理用户
本节介绍 McAfee ® Network Security Manager (Manager) 的用户管理功能。Manager 的“Configuration(配置)”页允许
具有超级用户权限的用户将 McAfee ® Network Security Platform 各个组件的配置和监控任务委托给特定的用户。本节简
要介绍了用户管理和角色,以及在开发安全、有效的安全管理环境时如何应用用户角色。
有关创建用户和指定角色的详细信息,请参阅“McAfee Network Security Platform Manger 管理手册”。
目录
Network Security Platform 中的用户管理功能
Network Security Platform 中的角色
Network Security Platform 中的用户管理功能
安全组织通常包括多个人,整个系统的管理也会根据逻辑分类委托给不同的人员,例如根据部门、地区、系统(即电子邮
件服务器、Web 服务器)等分类。在 McAfee Network Security Platform 中,可以通过以下方式委托系统组件的管理任
务:在逻辑上将组件组织成管理域,然后将域的各种管理权限授予 Network Security Platform 用户。
Manager 可以在系统中创建多个用户,让超级用户将特定的权限规则(称为角色)授予适当的用户,允许他们管控管理
域及其任何子域。在每个管理域中,只有具有适当角色的用户才有权限执行管理任务。
例如,您应该还记得,子管理域可以由像 McAfee ® Network Security Sensor (Sensor) 上的接口一样小的部分组成。您
可以使用角色来指定哪些人可以通过该子域中的该接口来执行何种操作。
何谓角色?
角色是指用户可在指定域中执行的一组操作。角色决定用户有权执行的活动,确保用户只能使用完成其特定操作任务所
需的那些功能。
Network Security Platform 采用基于角色的授权,用户只能执行其角色允许的活动。角色始终是基于域的,也就是说,
角色控制用户在特定域内所能执行的操作。虽然用户没有指定的角色也可存在于数据库中,但用户的角色一定与特定域
及其子域内的资源管理任务相关。
角色禁止了对系统所部署安全资源的无限制访问,从而提高了安全配置的完整性。因此您可以赋予用户各种权限,例如
管理和配置单一子域、在该域内执行用户管理任务、生成报告、管理 Sensor 等。也可以授予用户完成特定职责所需的
最小权限,而不向其开放任何额外权限。用户只能在指定的子域及其下级子域中执行特定角色的职责,而无法操控其他
域。
例如,只有根管理域的系统管理员才能在资源树中看到 Manager 节点。而没有根管理域级别权限的系统管理员,可以
配置和维护系统中的子域,但看不到 Manager 资源。
根管理域的超级用户有权修改任何用户的角色。
McAfee ® Network Security Platform 7.0 入门手册 35

6
在 Network Security Platform 中管理用户
Network Security Platform 中的角色
创建用户
可以在 Manager 的“Configuration(配置)”页中创建用户,可以在创建用户时为用户角色指定特定的域,也可在以后指
定。只有拥有超级用户权限的用户,才有权指定或修改用户角色,而指定或修改也仅限于其角色允许的域。
数据库中会存储用户的名称、密码的 MD5 哈希、角色及其在各个域中的角色。当用户登录时,Manager 只提供该用户
角色可以执行的操作。
因为大多数公司现在集中进行用户管理和身份验证,所以 Manager 还支持对用户进行“RADIUS”和“LDAP”(Active
Directory) 身份验证。对于任何一种身份验证方法,您都配置身份验证服务器信息,然后当创建用户时,您可以选择该
用户是 RADIUS、LDAP 还是 Manager 本地用户。
可以使用“TACACS+”(Terminal Access Controller Access Control System plus,增强的终端访问控制器访问控制系统)
服务器集中存储 Sensor 用户帐户并进行身份验证。
Network Security Platform 中的角色
Network Security Platform 提供的角色共有 5 个类别。角色说明一节列出了这五种角色的说明以及各自可执行的活动。
所有类型的角色都可以查看“Manager Home page(Manager 主页)”,而且对于“Configuration(配置)”页中的大部分操
作也都拥有只读权限。“Restricted Users(受限用户)”和“No Role(无角色)”用户正如其名所示,只拥有系统中范围最小
的只读权限。
除了 Network Security Platform 提供的角色之外,可以添加自定义角色,以向组织中的某些成员分配特定的功能。
另请参阅
角色说明第 36 页
父域和子域之间的角色关系
角色适用于当前域及其任何子域。由于子域包含于父域之中,因此如果一个用户在父域中被授予譬如操作员的角色,则
这一角色适用于父域的所有子域。请注意,您还可以在子域级别中向用户授予其他角色,但在父域级别中授予用户的角
色不会被子域级别中授予该用户的角色覆盖。沿用上述用户获得根管理域级别操作员角色的示例,假设您现在创建一个
子管理域。具有操作员角色的用户在子域级别也继承该角色,但如果您想让这个用户在子域级别拥有超级用户的身份,
可将该子域的超级用户角色指定给这个用户。
Network Security Platform 角色可以细分系统内的访问级别。这使您能够为多个人员提供非常有限的责任,或将多个角
色分配给一个用户以便该用户可以完成系统内的多项管理任务(例如授予“System Administrator(系统管理员)”和
“Security Expert(安全专家)”这两个角色)。
角色说明
下一节汇总了由 Network Security Platform 提供的用户角色。
超级用户角色
超级用户角色(没有代表性图标)享有所有权限。每个 Manager 产品出厂时都配有一个内置超级用户帐户(包括默认密
码)。
默认超级用户帐户的用户名为 admin,密码为 admin123。出于安全目的,McAfee 强烈建议您更改默认密码。(以管理员
身份登录后,在“Configuration(配置)”页中,转至“Root Admin Domain(根管理域)” | “Users(用户)” | “Manage My
Account(管理我的帐户)”,就可以更改密码了。)
36 McAfee ® Network Security Platform 7.0 入门手册

超级用户的角色具有:
• 当前域中的一切权限
• 当前域的所有子域中的超级用户所拥有的一切权限
• 为当前域中的用户指定(或删除)超级用户角色的特殊权限
超级用户可以在任一级别中定义,其角色适用于当前域及其所有子域,但不适用于父域或任何其他同级的域。
系统管理员角色
“System Administrator(系统管理员)”角色完全局限于系统本身的管理操作。系统管理员可以执行的任务包括:管理软
件和系统性能;添加、删除或配置 Sensor;以及处理系统故障。
安全专家角色
“Security Expert(安全专家)”角色主要负责管理入侵策略。安全专家可以创建、编辑和删除策略;查看警报;管理所下
载的软件和特征码更新;生成报告;管理系统故障;以及处理安全警报。
受限用户角色
“Restricted Users(受限用户)”(没有代表性图标)可查看 Manager 主页,对于“Configuration(配置)”页的大部分区域
拥有只读权限。
无角色
“No Role(无角色)”用户不能执行任何操作。这是用户在首次创建后所处的状态。
在 Network Security Platform 中管理用户
Network Security Platform 中的角色 6
McAfee ® Network Security Platform 7.0 入门手册 37

6
在 Network Security Platform 中管理用户
Network Security Platform 中的角色
38 McAfee ® Network Security Platform 7.0 入门手册

7 处理警报
7
何谓警报?
本节介绍警报以及可用于分析警报的工具。
目录
何谓警报?
关于事件生成器
IPS 报告
配置报告
计划的报告
警报是系统事件或攻击触发 IPS 时发送的异步通知。当 McAfee ® Network Security Sensor (Sensor) 检测到违反现行安
全策略的数据包时,就会编制有关入侵数据包的信息并将该信息以警报的形式发送给 McAfee ® Network Security
Manager (Manager)。警报含有许多与触发该警报的事件相关的信息,例如攻击类型、来源和目标 IP 地址、来源和目标
端口,以及 Sensor 执行的安全分析信息(例如攻击严重性和类型)。您可以使用此信息对警报执行鉴证分析,即仔细调
查以确定其原因以及如何防范类似的攻击。
攻击是指违反设置的策略参数。警报是指一个或多个攻击实例。在很多情况下,一个警报表示检测到一个攻击。如果在
两分钟内检测到多起相同的攻击(相同的来源 IP、目标 IP,并且都是同一种攻击手法),则会生成一个多攻击警报;所
有攻击的数据将归入一个警报实例,而您也可以选择配置归入一个警报的攻击数量。
McAfee ® Network Security Platform 将警报一直存储在 Manager 服务器数据库中,直到您将其删除为止。您可以用
“Threat Analyzer”或“Reports Main(报告主页)”查看 Manager 中的警报。也可以用“Incident Generator(事件生成器)”
对大量相同的警报进行关联分析,将它们简化成少量的事件。
警报的生命周期
警报有以下三种存在状态:unacknowledged(未确认)/acknowledged(已确认)和 marked for deletion(标记为删
除)。警报被触发后,它将以未确认的状态出现在 Manager 中。Unacknowledged(未确认)表示您尚未通过将其标记
为 acknowledged(已确认)来正式认可它的存在。在您确认或删除警报之前,它将一直以未确认状态存在。系统按警
报的发生顺序把它们备份到数据库中。删除警报时,系统将从数据库中删除警报。
未确认的警报显示在 Manager 主页的“Unacknowledged Alert Summary(未确认的警报摘要)”区域以及 Threat
Analyzer 的“Real‑time(实时)”视图中。确认警报会使它们从这些视图中消失。已确认的警报仅显示在 Threat Analyzer
的“Historical(历史)”视图和报告中。
McAfee ® Network Security Platform 7.0 入门手册 39

7
处理警报
何谓警报?
项目 描述
1 当前“受监控的域”
2 单击可打开 Threat Analyzer
3 按严重性分类的未确认警报
删除警报就是确认该警报并将其标记为删除。直到计划的“Disk Space Maintenance(磁盘空间维护)”操作执行之后,才
会真正删除警报。届时,McAfee Network Security Platform 将删除那些标记为删除的警报,以及那些符合计划程序中
指定的删除条件的警报,例如 30 天前的警报(不管是否将它们手动标记为删除)。
有关 Disk Space Maintenance(磁盘空间维护)的详细信息,请参阅“McAfee Network Security Platform Manager 管理
手册”。
要使已确认的警报返回未确认的状态或取消删除警报,您可以使用 Threat Analyzer 中的历史视图显示已确认/已删除的
警报所在时段内的全部警报。然后,找到该警报并取消确认或取消删除。您必须关闭并重新打开 Threat Analyzer,该警
报才会显示在“Real‑time Threat Analyzer(实时 Threat Analyzer)”中。
抑制警报
一段时间之后,由于经常使用 Threat Analyzer 执行鉴证分析,因此将会非常熟悉 Network Security Platform 警报数据。
有时,您甚至可能对反复看到一些相同的警报感到厌倦。Network Security Platform 具有多个用来抑制警报的选项,可
减少 Threat Analyzer 和/或数据库中警报的数量,这样您可以处理优先级更高的问题。
以下是在 Manager 界面中执行各种操作时可用的警报抑制选项:
• Disable alerting(禁用警报):在创建/修改策略时,可以禁用一个或多个攻击警报。这并不是禁用检测攻击,而只
是禁用警报。Sensor 还是会检测攻击,并自动进行响应(如果配置了响应)。(如果未配置响应,则在检测到攻击时
不采取任何操作。)
• Auto Acknowledge(自动确认):也可以在创建策略时选择自动确认检测到的攻击。“Auto Acknowledge(自动确
认)”功能会将警报标记为已确认,这样警报就不会出现在 Threat Analyzer 的“Real‑time View(实时视图)”中,而只
能通过“Historical View(历史视图)”查询来查看。
• Alert throttling(警报合并):此功能在 Manager 界面中显示为 Response Action Settings(响应操作设置),允许
您为单一利用漏洞攻击设置抑制限制,单一利用漏洞攻击源于一个来源、针对单一目标 IP,在有限时间内被同一个
VIPS(接口或子接口)检测到多次。利用漏洞合并会限制 Sensor 发送给 Manager 的重复警报的数量。对于假造来
源 IP 地址且生成大量警报的重复利用漏洞攻击,合并功能非常有效。
向 Manager 发送警报 发送 Sensor 响应操作 在实时视图中显示警报 将警报保存到数据库
正常行为 是 是 是 是
启用检测,禁用警报 否 是 否 否
自动确认 是 是 否 是
警报合并 是 是 是 是
40 McAfee ® Network Security Platform 7.0 入门手册

Threat Analyzer 的信息显示板页
在检索特定时段的警报或实时警报之后,就会显示 Threat Analyzer 的“Dashboards(信息显示板)”页。信息显示板页按
逻辑分为 2 个部分:顶部的菜单栏和靠下的显示摘要区域。
项目 描述
1 菜单栏区域
2 显示区域
• 菜单栏区域:Threat Analyzer 主页的菜单栏为您提供了以下导航选项:
• “Dashboards(信息显示板)”:链接到 Threat Analyzer 的“Dashboards(信息显示板)”视图页。“Dashboards(信
息显示板)”页提供四个默认的信息显示板,它们分别是“NSP Health(NSP 健康状况)”、“IPS”、“NAC”和
“NTBA”。
• “Alerts(警报)”:链接到 Threat Analyzer 的“Alerts(警报)”视图页。其中按发生顺序列出选定时间范围内的全部
攻击。
• “Host(主机)”:链接到“Hosts(主机)”页。您可以查看 NAC 主机和 IPS 主机的列表。
处理警报
何谓警报? 7
• “Incident Viewer(事件查看器)”:链接到“Incident Viewer(事件查看器)”页。您可以按照参数创建用户生成的事
件来跟踪警报。
• “Host Forensics(主机鉴证)”:链接到“Host Forensics(主机鉴证)”页。您可以查看 Vulnerability Manager 和
McAfee ePO 扫描信息。
• “Preferences(首选项)”:链接到“Preferences(首选项)”页。使您可以亲自设置与 Threat Analyzer 功能和显示
有关的各种选项。
• “Display Area(显示区域)”:显示区域提供“NSP Health and Alerts(NSP 健康状况和警报)”综合视图摘要。
McAfee ® Network Security Platform 7.0 入门手册 41

7
处理警报
何谓警报?
• “NSP Health(NSP 健康状况)”:您可以从 Threat Analyzer 的 Dashboards(信息显示板)页中查看 NSP Health
(NSP 健康状况)页。该“NSP Health Status(NSP 健康状况)”视图的工作方式不同于主页中的“NSP Health Status
(NSP 健康状况)”:这里的故障不可选。该视图仅供快速浏览,以便您在不离开 Threat Analyzer 的情况下获得有关
系统可能故障的更新信息。“System Health(系统健康)”页中显示 Sensor 和 Manager 的状态。“Update(更新)”按
钮用来更新 Sensor 配置。
• “IPS”:总共有四个图形表示形式:“Attack Severity Summary(攻击严重性摘要)”、“Attack Result Summary(攻击结
果摘要)”、“RFB Attack Summary(RFB 攻击摘要)”和“IPS Quarantine Alerts Summary(IPS 隔离警报摘要)”。可
以单击这些图形表示形式来查看详细信息。
1 “Attacks Over Time View(以下时段内的攻击视图)”:此窗格显示最近两个小时(实时)或某特定时段(历史)的
时间间隔内所检测到的攻击数量。“Time View(时间视图)”显示为柱状图。每个柱形都包含与攻击数目和攻击的
检测时间范围相关的信息。单击某个柱形会在“Time View(时间视图)”窗格底部状态栏中显示其所代表的攻击的
信息。“Time View(时间视图)”中的“Severity(严重性)”级别按照“High(高)”、“Medium(中)”、“Low(低)”或
“Informational(信息)”显示警报。“Zoom In(放大)”和“Zoom out(缩小)”选项用于更改要显示的警报的时间级
别。
2 “Consolidated View(综合视图)”:“Consolidated View(综合视图)”位于“Time View(时间视图)”窗格下方。它
分成四个窗格(类别)来显示各种统计数据。每个窗格都是条形图,每个条形都代表按特定参数分组的多个警报
(“Alert Result Status(警报结果状态)”)或攻击(“Top 5(前 5 位)”窗格)实例。如果警报/攻击满足多个类别的
统计参数,便会出现在多个窗格中。类别说明如下:
• “Attack(攻击)”:列出检测到数量最多的前 5 个攻击。
“Blocking activated(已激活拦截)”应用于 DoS 流量,指示 Sensor 已发现本质上可疑的流量并已启动拦截,
虽然并没有拦截所有流量。这是按设计执行的操作,拦截是发生在 Sensor 认为有问题的数据包上。Sensor
允许合法流量经过,但拦截超出其学到的阈值或根据其 DoS 配置文件无法识别的流量。Sensor 以每个数据
包为基础作出决定。有关详细信息,请参阅“McAfee Network Security Platform IPS 管理手册”。
• “Result Status(结果状态)”:显示与警报对应的所有攻击的可能结果:“successful(成功)”、“unknown(未
知)”、“failed(失败)”、“suspicious(可疑)”、“blocked(已阻止)”或“blocking activated(已激活阻止)”。
• “Source IP(来源 IP)”:列出检测到攻击次数最多的前 5 个最常见的来源 IP 地址。
• “Target IP(目标 IP)”:列出检测到被攻击次数最多的前 5 个目标 IP 地址。
• “NAC”:在“Dashboards(信息显示板)”页中显示“System Health Summary(系统健康状况摘要)”、“McAfee
NAC Client Summary(McAfee NAC 客户端摘要)”、“User Type Summary(用户类型摘要)”和“System
State Summary(系统状态摘要)”等信息。有关详细信息,请参阅“McAfee Network Security Platform NAC
配置手册”。
• “NTBA”:在“Dashboards(信息显示板)”页中显示“Throughput Enterprise Traffic(企业吞吐量流量)”、
“Host‑ Threat Factor(主机‑威胁系数)”、“Traffic Volumes(流量)”、“Band Utilization(带宽利用率)”、“Top
files(排在前列的文件)”、“Top URIs(排在前列的 URI)”、“Application Traffic(应用程序流量)”和“Protocol
Distribution(协议分布)”等信息。有关详细信息,请参阅“McAfee Network Security Platform NTBA 管理手
册”。
深入分析--按类别对警报排序
“Drilldown(深入分析)”选项为全部警报或选定的警报提供几个分类视图。深入分析可让您专注于特定的警报;例如,当
您在“Consolidated View(合并视图)”窗格中看到大部分高严重性攻击都源于某个特定的来源 IP 地址时,或许就想进一
步了解这个 IP 地址发动了哪些攻击。此时可以选择该来源 IP 地址深入分析,以了解该地址到底针对哪些目标发动了哪
些攻击。
42 McAfee ® Network Security Platform 7.0 入门手册

关于事件生成器
显示特定警报的详细信息
您可以查看特定警报的详细信息,更加清楚地了解与该攻击有关的关键信息。不同类型的攻击产生不同的警报详细信息。
例如,端口扫描攻击的警报详细信息显示来源和目标 IP 信息,以及攻击过程中所扫描的目标端口。
“Alert Details(警报详细信息)”中的信息可用于加强策略设置和/或初始化响应操作,如 TCP 重置。通过右键单击警报,
您可以对警报执行某些操作,例如查看或编辑响应、运行脚本、保存证据报告等。
Network Security Platform 通过事件生成器和用户生成的事件工具提供实时警报关联。为了确定网络中发生的状况,对
警报进行分析是必要的,但当分析目标多达数千、数万甚至数十万个警报时,执行分析可能是件头痛的事。虽然
Network Security Platform 的警报抑制功能有助于减少需要检查的警报数量,但如果有智能功能对相关警报进行实时关
联和分组,将为分析任务提供极大地便利。
例如,假设攻击者为了寻找您网络的漏洞而对端口进行扫描。如果攻击者成功找到特定计算机的漏洞,下一步就可能发
动利用漏洞的攻击。如果攻击成功,攻击者便可能控制这台计算机,将其用作发动其他攻击的跳板。由于这台服务器遭
受入侵的警报夹杂在所有记录网络遭受其他攻击的警报中,因此很可能会因为要检查的警报数量太多,以至于这一警报
很长一段时间都没有被注意到。
但是设想一下,如果您看到的只是发生了一个事件(特定服务器在短时间内收到很多与其安全受到威胁相关的警报,并且
攻击已经开始从该服务器发动),那么您很快就能注意到并采取措施。
利用事件生成器
处理警报
关于事件生成器 7
事件生成器工具可用于定义将大量相关警报组成少量事件。事件是由预先配置的特定数量的相关警报组成的,且这些警
报都有符合某种特定场景的共性。
McAfee ® Network Security Platform 7.0 入门手册 43

7
IPS 报告
配置报告
处理警报
IPS 报告
利用事件生成器可以定义场景,默认场景为“同一个来源 15 分钟内产生 100 个以上的警报”。场景由一系列条件组成,
当这些条件都符合时,Network Security Platform 就会产生一个事件。如果在检测到符合场景的情况后,两分钟或更长
的时间内没有任何动静,则 Network Security Platform 会引发该事件的多个实例。例如,假设系统在 10 分钟内检测到
100 个来自同一来源的警报。接下来此来源在三 (3) 分钟之内并无任何活动,然后又开始攻击,而且在 15 分钟内就超
过 100 个警报的阈值。此时,来自同一来源的 200 多个相关警报不会被视为两个事件,而是被视为符合已定义场景的一
个事件发生了两次。
配置事件生成器场景
事件生成器工具由一个 XML 文件配置定义,在 Manager 服务器以外的主机上运行。要配置事件生成器,就必须在这
个 XML 文件中指定场景和自定义参数。
有关开启事件生成器的详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。
创建用户生成的事件
在 Threat Analyzer 中进行鉴证分析时,还可以利用 Manager 创建自己的事件。您可以用“User‑Generated Incidents(用
户生成的事件)”选项从“Attack Details View(攻击详细信息视图)”中选择要放入自定义事件中的个别警报。只需选择要
包括在事件中的警报,而不需要符合任何场景设置。因为此功能与事件生成器配置场景无关,所以创建的事件的警报可
以来自多个源 IP、传给多个目标等等。由于没有最低警报数量的限制,因此开始可以创建只有一个警报的事件,然后再
慢慢加入其他警报。创建完一个满意的事件后,就可将其导出到事件查看器作进一步分析。
查看事件
有关如何使用用户生成的事件工具的详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。
无论是已启动 IG 服务还是已通过用户生成的事件工具创建了自己的事件,都可以用 Threat Analyzer 中的“Incident Viewer
(事件查看器)”工具查看事件。此工具可以用来分析和管理事件,包括警报分析、用户指定以及用于维护事件状态的工作
流程注释。
有关使用事件查看器的详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。
报告生成器的 IPS 报告详细列出 Sensor 生成的网络警报。这些警报报告是按攻击的来源/目标 IP、警报名称或警报时间
等特定类型的信息划分的汇总摘要。Network Security Platform 有多个可用来收集简单信息的预先格式化的报告,包括
概要列出警报活动的“Executive Summary(执行摘要)”报告。
这些 IPS 报告提供所安装的 Sensor 生成的警报信息。收集的警报信息可以包括攻击的来源和目标 IP、攻击发生的时间
以及检测到该攻击的 Sensor 等。此类别中的多种报告根据每种报告的具体参数提供不同的集中视图。每种报告排列警
报的顺序都是从最常见到最不常见。
所有 IPS 报告都可以使用 HTML 或 PDF 格式显示。“Top N Report(前 N 个报告)”还可用条形图或饼图格式显示。
配置报告提供使用 Configuration(配置)页配置的一些设置的信息。可以生成报告来查看当前的软件和特征码版本、
Sensor 状态、策略和规则集配置,或代理服务器设置。这些报告可以提供系统当前配置的快照。
44 McAfee ® Network Security Platform 7.0 入门手册

计划的报告
处理警报
计划的报告 7
计划的报告将 IPS 报告的生成过程自动化,方便对 Sensor 生成的警报进行鉴证分析。您可以按每天或每周为周期生成
计划的报告并通过电子邮件发出。创建一个报告模板,加入要包括的信息,保存模板,然后配置计划程序在每周的特定
日期或每天的特定时间运行。还可以指定报告的接收者。当计划的时间一到,系统就会根据模板生成报告,并以电子邮
件发送给指定的接收者。每个报告都会保存起来以供日后查看。
McAfee ® Network Security Platform 7.0 入门手册 45

7
处理警报
计划的报告
46 McAfee ® Network Security Platform 7.0 入门手册

索引
A
安全策略
安全策略; 21
安全专家角色
B
报告
安全专家 37
关于报告 44, 45
本手册中使用的约定和图标 5
C
策略
策略; 27
策略创建; 28, 29
策略继承 30, 31
超级用户
G
超级用户 36
根管理域节点 18
更新服务器 13
攻击
概述; 9, 10
攻击类型; 7
检测; 8
攻击过滤器编辑器 31
管理域 17
关于本手册 5
J
建议阻止 17, 31–34
继承 20
节点 20
接口 16, 28, 29, 41
接口组
关于;端口群集 7
基于特征码的检测
角色
基于特征码的检测; 8
角色父域和子域之间的关系;父域 18
角色 (续)
类型;用户角色 21, 37
技术支持, 正在查找产品文档 6
M
Manager
概述 43, 44
McAfee ServicePortal, 访问 6
Q
权限 35
R
入侵检测
S
入侵检测; 7
ServicePortal, 正在查找产品文档 6
受限用户角色
数据库
V
VIPS
W
文档
Y
用户
Z
资源树
描述;角色 36
如何存储用户; 35
描述;虚拟 IPS 10, 13, 15
印刷约定和图标 5
本手册面对的读者 5
指定产品, 正在查找 6
创建;配置 35, 36
概述;资源 13, 15, 16
McAfee ® Network Security Platform 7.0 入门手册 47

700-3574-11