第八步:对于IPS记录的攻击行为和利用的漏洞我们都可以通过查看详细内容来进一步了解,例如之前介绍的MS-SQL hello buffer overflow信息,我们可以查看到具体的利用方法以及防范方法。(如图8)
第九步:之前我们已经为各位读者介绍了如何通过IPS来了解攻击者使用的攻击行为以及设备安全记录信息,当然IPS与IDS最大的区别在于他能够实现联动的功能,也就是说可以根据记录的攻击手段实现不同的防御手段而不是盲目接招。所有防御联动的参数都在ips->action sets行为设置中完成,在这里我们会看到包括block阻止,阻止+提醒,阻止+提醒+跟踪以及带宽限制到10M,带宽限制到5M等操作方法。我们可以在这里设置更加详细更加有效的防御行为。(如图9)
第十步:当我们设置了防御行为后过一段时间将可以看到防御的效果,具体信息都在logs->block log中显示,包括IP地址,端口信息等内容。(如图10)
第十一步:当然大部分IPS系统不仅仅具备入侵防御功能,很多时候厂商为了能够提供功能整合让产品可以身兼数职还会添加诸如网络管理,流量控制的功能,例如笔者使用的这个IPS设备就具备流量管理功能,我们通过他的设置界面可以将某个服务,某个通讯使用的流量进行限制。(如图11)
第十二步:任何一台入侵防御系统IPS都可以对其网络参数进行设置,同时根据企业安全级别设置其使用的管理协议,在这里建议大家通过HTTPS管理,如果非要开启CLI命令行管理模式的话应该选择SSH协议而不是telnet管理,毕竟后者是明文传输的,很容易被网络中的sniffer检测监视到。(如图12)
第十三步:有时我们网络管理员不可能24小时的守护在IPS和企业内网周围,因此IPS系统还会为我们提供诸如短信息提醒,电子邮件提醒等功能,这些功能帮助我们在最短时间内发现问题并快速解决问题。(如图13)
第十四步:也许有些读者会说IPS记录了这么多个信息,那么他的硬盘空间一定很大吧,实际上我们可以顺利轻松的将记录的日志信息保存到远程服务器或企业内部的存储系统,这点类似于保存路由交换设备的日志,通过设置远程日志服务器来实现此功能,日后可以直接通过分析工具对服务器上的日志信息进行统计和汇总,从而发现网络中最常见的被攻击手段。(如图14)
第十五步:如果要临时查看记录的日志信息我们可以通过download log下载日志文件成为HTML格式保存到本机硬盘,由于篇幅关系具体操作就不详细说明了,总之非常简单。(如图15)
小提示:
针对某服务某程序进行流量限制时我们并不一定非要限制为5M或10M这样的数值,在action set details行为设置具体界面中可以通过下拉菜单选择流量限制速度限制的数值,从几K到几十M都是可以的。当然如果不想限制速度也可以直接选择permit容许通讯或block来阻止通讯。(如图16)
三、总结:
本文主要针对企业中起到很大作用的入侵防御系统IPS的操作和简单设置进行了介绍,实际上大部分IPS都会涉及本文介绍的功能,在日常使用过程中针对 IPS的设置并不多,只要我们事先设置好规则,其他操作IPS都会自动完成,我们只需要定期查看系统运行状态和留意EMAIL或手机中的警报信息即可。当然IPS中的防御规则也不是一成不变的,我们应该养成定期分析记录的日志文件来添加修改原有规则的习惯,这样才能够让你的入侵防御系统IPS与石俱进将黑客与漏洞病毒彻底阻挡在企业网络大门之外。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
企业无线网络的安全强化措施(下)
在文章中,我们列出了数据链路层的针对企业无线局域网可能遭到滥用的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。
-
企业无线网络的安全强化措施(上)
在文章中,我们列出了数据链路层的针对“企业无线局域网可能遭到滥用”的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。
-
入侵检测系统(IDS)和入侵防御系统(IPS)
除了应对原有攻击,现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,因为应用程序愈来愈成为攻击威胁的入口。
-
安全网关UTM技术精髓
传统的UTM被定位在低端市场,这不仅影响厂家的积极性,而且对于用户的实际应用也是不公平的。随着高端IPS产品大量整合安全功能与服务,UTM市场也将向高端延伸。