入侵防護模組可保護您的電腦免受已知和零日弱點攻擊,以及 SQL 注入攻擊、跨站腳本攻擊和其他網頁應用程式弱點的侵害。
當已知應用程式或作業系統的弱點沒有可用的修補程式時,入侵防護規則可以攔截試圖利用該弱點的流量。它能識別正在訪問網路的惡意軟體,並增加對訪問網路的應用程式的可見性或控制。因此,您的電腦在修補弱點的修補程式發布、測試和部署之前都能受到保護。
保護可用於檔案共享和通訊軟體,例如 Skype,但也適用於具有弱點的網路應用程式,例如 SQL 注入和跨網站指令碼 (XSS)。這樣一來,入侵防護也可以用作輕量級的網路應用程式防火牆
(WAF)。
啟用和配置入侵防護,請參閱 設定入侵防護。
 |
注意如需查看支援入侵防護的作業系統列表,請參閱 各平台支援的功能。
|
入侵防護規則
入侵防護規則定義了一組條件,這些條件與網路封包的有效負載會話和應用層(如 DNS、HTTP、SSL 和 SMTP)進行比較,並根據這些高層協議的順序進行比較。
 |
秘訣防火牆規則檢查封包的網路層和傳輸層(例如 IP、TCP 和 UDP)。
|
當代理程式掃瞄網路流量且流量符合規則的匹配條件時,代理程式會將其視為可能或已確認的攻擊,並根據規則執行以下操作之一:
- 完全丟棄封包
- 重置連線
入侵防護規則被分配到政策和電腦。因此,您可以根據它們使用的政策對電腦群組強制執行一組規則,並在需要時覆蓋政策。(請參閱 政策、繼承和覆蓋。)
如需了解如何影響規則的功能,請參閱 配置入侵防護規則。
應用程式類型
應用程式類型按其所關聯的應用程式來組織規則。應用程式類型還可以存儲規則可根據需要引用的屬性值,例如用於通信的協議和端口號碼。一些應用程式類型具有可配置的屬性。例如,資料庫
Microsoft SQL 應用程式類型包含與 Microsoft SQL Server 關聯的規則。您可以配置此應用程式類型以指定用於連接到資料庫的端口。
如需詳細資訊,請參閱 應用程式類型。
規則更新
趨勢科技會在發現應用程式弱點時建立入侵防護規則。安全性更新可能包含新的或更新的規則和應用程式類型。當規則已指派給某個政策,而更新包含指派規則所依賴的規則時,您可以選擇自動指派更新的規則。
|
秘訣趨勢科技的入侵防護規則包含有關其防護的弱點資訊。
|
趨勢科技的入侵防護規則無法直接通過Server & Workload Security保護控制台編輯。不過,有些規則是可配置的,有些規則需要配置。(請參閱設定配置選項(僅限趨勢科技規則)。)
建議掃描
您可以使用建議掃描來發現您應該指派到您的政策和電腦的入侵防護規則。(請參閱 管理和執行建議掃描。)
|
注意您需要工作負載許可證才能執行推薦掃描。
|
使用行為模式來測試規則
入侵防護可在偵測模式或防護模式下運作:
- Detect:入侵防護使用規則來檢測匹配的流量並生成事件,但不會封鎖流量。檢測模式對於測試入侵防護規則不干擾合法流量非常有用。
- Prevent:入侵防護使用規則來檢測匹配的流量,生成事件並封鎖流量以防止攻擊。
當您首次應用新的入侵防護規則時,請使用偵測模式來驗證它們不會意外封鎖正常流量(誤報)。當您確定沒有誤報發生時,您可以使用防護模式來執行規則並封鎖攻擊。(請參閱 在偵測模式下啟用入侵防護 和 切換到防護模式。)
|
秘訣類似於在偵測模式下使用入侵防護,Server & Workload Security保護 網路引擎可以在測試目的下以 tap 模式運行。在 tap 模式下,入侵防護會偵測符合規則的流量並生成事件,但不會封鎖流量。此外,tap 模式會影響防火牆和網頁信譽評等模組。您可以使用偵測模式來單獨測試入侵防護規則。您使用
tap 模式與入侵防護的方式與使用 tap 模式測試防火牆規則的方式相同。請參閱 在部署防火牆規則之前進行測試。
|
覆寫規則的行為模式
通過為個別規則選擇偵測模式,您可以選擇性地覆蓋在電腦或政策層級設定的防護模式行為。這對於測試應用於政策或電腦的新入侵防護規則非常有用。例如,當政策配置為入侵防護在防護模式下運作時,您可以通過將該規則設置為偵測模式來繞過個別規則的防護模式行為。僅對該規則,入侵防護僅記錄流量,並執行其他不覆蓋政策行為模式的規則。(請參閱
覆蓋規則的行為模式。)
|
注意雖然電腦防護或政策層級的防護模式可以被相互矛盾的規則設置覆蓋,但偵測模式不能。在電腦防護或政策層級選擇偵測模式時,無論規則設置如何,都會強制執行偵測模式行為。
|
趨勢科技發布的一些規則預設使用偵測模式。例如,郵件客戶端規則通常使用偵測模式,因為在預防模式下,它們會封鎖所有郵件的下載。一些規則僅在條件大量發生或在特定時間內發生一定次數時觸發警報。這些類型的規則適用於僅在條件重複發生時構成可疑行為的流量,而單次發生的條件被視為正常。
 |
警告為了防止阻擋合法流量和中斷網路服務,當規則需要配置時,請將其保持在檢測模式,直到您配置好規則。僅在配置和測試後,才將規則切換到防護模式。
|
入侵防護事件
預設情況下,Server & Workload Security保護 會在每次心跳時從代理程式收集防火牆和入侵防護事件日誌。Server & Workload Security保護 收集後,事件日誌會保留一段時間,該時間可以配置。預設設定為一週。您可以根據需要配置個別規則的事件日誌記錄。(請參閱 配置規則的事件日誌記錄。)
事件標籤可以幫助您整理事件。您可以手動將標籤應用於事件或自動標記它們。您還可以使用自動標記功能來分組和標記多個事件。欲了解有關事件標籤的詳細資訊,請參閱 應用標籤以識別和分組事件。
對安全連線的技術支援中心
入侵防護模組支援檢查安全連線上的封包。請參閱 檢查 TLS 流量。
上下文
上下文是一種強大的方式,可以根據電腦的網路環境實施不同的安全政策。您通常會使用上下文來創建政策,根據電腦是否在辦公室或外出,對電腦(通常是移動筆記型電腦)應用不同的防火牆和入侵防護規則。
要確定電腦防護的位置信息,情境會檢查電腦防護與其網域控制站的連接性質。欲了解詳細資訊,請參閱 為政策定義情境。
介面標記
當機器具有多個網路介面時,您可以使用介面類型來指派防火牆或入侵防護規則到特定的介面。預設情況下,防火牆和入侵防護規則會指派到電腦防護上的所有介面。例如,要僅將特殊規則應用於無線網路介面,請使用介面類型來完成此操作。詳細資訊,請參閱
為多個介面配置政策。