第二步：下面我們來修改這個默認的default security profile，打開后會顯示該安全策略應用的接口，由于筆者所在公司只使用了兩個接口，一個入一個出所以這里不用修改。(如圖2)

　　第三步：接下來是profile details(advanced)設置，這里是關于策略的詳細信息進行配置的。我們可以看到默認情況系統(tǒng)針對各個攻擊類型劃分了類別，每個類別是一個category?？梢蕴幚淼墓舭╡xploits益出，identity theft，security policy(安全策略)，virus病毒，spyware間諜程序等等，種類很多這里就不一一羅列了，對于每個大類category來說我們都可以設置IPS操作的行為以及處理方法，包括block禁止通行,block+notify禁止通行并提示,block+notify+trace禁止通行并提示而且追蹤源地址,limit rate to 10M容許速度限制為10M,limit rate to 5M,permit+notify,perminotify+trace容許通行并追蹤數(shù)據(jù)等等。基本上這里羅列的行為處理方法足夠在實際中使用了，如果企業(yè)需要特殊的行為處理操作的話可以按照下文介紹的方法添加。這里有一個recommended的意思是推薦，他表示對于該大類處理方法按照單獨小類進行處理，例如virus下有A病毒與B病毒，如果大類virus設置為recommended的話，那么具體到處理AB病毒時按照A病毒與B病毒自身設置的行為處理規(guī)則運行。(如圖3)

　　第四步：在該默認安全策略的最后一個區(qū)域就是我們之前提到的針對單個種類病毒，單個種類的漏洞以及攻擊腳本進行策略設置，理論上小類設置服從大類的配置類別，如果大類設置為recommended的話按照小類的action行為參數(shù)實施。小類行為處理時可以通過右邊的編輯選項修改或叉子按鈕刪除該安全類別。(如圖4)

　　第五步：每個安全規(guī)律規(guī)則都有詳細的講解內(nèi)容，我們可以從該頁面了解其運行原理以及避免解決辦法。(如圖5)

　　第六步：針對單獨小類進行設置可以讓我們的網(wǎng)絡管理以及IPS入侵防御系統(tǒng)運行得更有效率，更加靈活的應對不同安全級別不同漏洞種類的攻擊數(shù)據(jù)包。(如圖6)

　　(2)行為處理法之規(guī)劃應用地址：

　　當然每個行為以及漏洞類別的處理不是一成不變的，我們可以通過limits/exceptions選項對該類別規(guī)則應用的范圍進行設置，例如對于連接80端口的數(shù)據(jù)包可以禁止訪問員工計算機而當目的地址為企業(yè)內(nèi)網(wǎng)服務器時容許通過，這樣即使有員工要建立VPN跨越內(nèi)網(wǎng)管理或者被安裝了80端口這種反向木馬時攻擊數(shù)據(jù)包通過IPS入侵防御系統(tǒng)時也會被輕松過濾掉，而只有正常的訪問企業(yè)內(nèi)網(wǎng)WWW服務器的80端口數(shù)據(jù)包可以通過。

　　在limits/exceptions選項中我們可以針對過濾主機的IP地址，MAC地址以及計算機名稱等信息進行設置。(如圖7)

　　(3)惡意頁面巧過濾：

　　對于企業(yè)內(nèi)網(wǎng)來說很多時候惡意頁面會困擾網(wǎng)絡管理員，員工經(jīng)常會在不經(jīng)意間瀏覽非法站點，不小心就被安裝了木馬或惡意插件。實際上我們完全可以通過IPS來過濾掉這些惡意站點，只要通過收集地址就能夠?qū)⑵髽I(yè)內(nèi)網(wǎng)同類問題發(fā)生機率降到最低。

　　第一步：進入到IPS入侵防御系統(tǒng)管理界面，選擇IPS下的traffic management profiles。

　　第二步：默認有一個pagearpvirus的配置信息，我們對其內(nèi)容進行進一步配置。(如圖8)

　　第三步：在pagearpvirus里我們可以針對流量傳輸端口進行設置，選擇哪個方向執(zhí)行惡意地址過濾。同時在下面的profile details(advanced)處我們可以添加一個個的惡意地址，從而通過action進行block過濾。更多參數(shù)的設置可以通過右邊的筆狀圖標來解決。(如圖9)

　　第四步：在過濾規(guī)則詳細設置中我們首先要對過濾信息起一個名字，然后選擇action行為處理辦法，這個在之前的內(nèi)容中已經(jīng)介紹過了，主要分BLOCK過濾和allow容許等。同時還可以針對執(zhí)行此過濾的協(xié)議，源IP地址，目的IP地址等信息進行設置。如果要過濾惡意站點的話，只需要在destination目的地址處填寫對應的域名即可。(如圖10)

　　通過幾步操作日后再有員工計算機要訪問惡意站點時該請求就會被IPS過濾掉，從而保護了員工計算機免受侵襲。

　　(4)病毒掃描管控不求人：

　　IPS入侵防御系統(tǒng)還有一個不錯的功能，他同樣需要借助行為處理功能來完成，通過此功能讓我們輕松實現(xiàn)病毒掃描管控不求人。

　　第一步：在IPS管理界面中找到Traffic threshold，默認沒有建立任何規(guī)則。我們可以通過create threshold filter手工建立一個。(如圖11)

　　第二步：接下來就是針對規(guī)則進行詳細過濾了，這里我們主要通過設置每秒數(shù)據(jù)通訊量這個參數(shù)來判斷該接口是否有病毒產(chǎn)生，因為按照我們的經(jīng)驗蠕蟲類病毒往往會向內(nèi)網(wǎng)頻繁發(fā)送數(shù)據(jù)包，從而造成數(shù)據(jù)包流量異常增大。那么在這里我們可以指定監(jiān)控數(shù)據(jù)包流量的變化，如果發(fā)現(xiàn)變?yōu)槠綍r幾個小時平均值的幾倍，那么馬上執(zhí)行封鎖或限流操作，例如筆者設置的就是當發(fā)現(xiàn)流量或者連接線程數(shù)達到了平時的200%，馬上執(zhí)行限流到5M的操作，這樣將可以有效的限制病毒對內(nèi)網(wǎng)的危害。(如圖12)

　　第三步：除了針對流量變化進行控制外我們還可以直接針對某協(xié)議和某端口進行管制。通過此功能保證了我們內(nèi)網(wǎng)病毒掃描管控不求人。(如圖13)

　　(5)自定義行為讓IPS事半功倍：

　　最后我還要說下IPS的自定義行為功能，默認情況下IPS只提供了幾種行為處理操作，如果我們需要更靈活的處理數(shù)據(jù)包就需要自定義操作行為了。首先進入IPS管理界面，找action sets，在這里針對默認的行為處理類型進行編輯修改，當然也可以建立一個新的處理類型。(如圖14)

      三，總結：

　　筆者通過三期介紹為各位IT168讀者揭開了IPS入侵防御系統(tǒng)的神秘面紗，當然IPS的功能還不僅僅局限于此?？傊甀PS的應用需要靠實際去積累，筆者也僅僅介紹了他的主要功能。通過IPS以及恰當?shù)脑O置管理可以讓我們的企業(yè)內(nèi)網(wǎng)更加安全，在外網(wǎng)與內(nèi)網(wǎng)之間建立一道堅實的網(wǎng)絡屏障，將病毒與黑客阻擋在企業(yè)網(wǎng)絡大門之外。

yajing