檢視次數:
啟用入侵防護並使用檢測模式監控網路流量以偵測漏洞。當您對入侵防護規則的分配感到滿意時,切換到防護模式。
注意
注意
您入侵防護系統 (IPS) 的配置會影響系統資源,如中央處理單元 (CPU) 和隨機存取記憶體 (RAM)。要優化代理上的 IPS 性能,請參閱 入侵防護性能提示
有關入侵防護的防護總覽,請參閱 使用入侵防護封鎖攻擊嘗試

啟用偵測模式的入侵防護 上層主題

啟用入侵防護並使用偵測模式進行監控。使用適當的政策配置入侵防護以影響目標電腦。您也可以配置個別電腦。
若要在指派入侵防護規則時獲得更細緻的控制,您可以覆蓋全域行為模式並配置特定規則以防止或檢測。請參閱 覆蓋規則的行為模式

步驟

  1. 前往 Computer or Policy editor Intrusion Prevention General
  2. 對於 Configuration,請選擇以下其中一項:
  3. 選擇 Detect 以進行 Intrusion Prevention Behavior
    如需有關啟用容器入侵防護的資訊,請參閱 套用您的入侵防護設定
    如果行為設定不可用,Network Engine Mode 可能被設置為 Tap。(請參閱 在部署防火牆規則之前進行測試。)
  4. 按一下「儲存」。

啟用自動套用核心端點和工作負載規則 上層主題

伺服器與工作負載保護 在每次 規則更新 時,將核心端點和工作負載規則指派給此電腦。然而,任何手動取消指派的規則將保持未指派狀態。
趨勢科技 建議您在擁有 Endpoint license 時啟用此功能,但在使用 Workload license 時關閉此功能並使用 建議掃描

步驟

  1. 選擇以進行Implement core Endpoint & Workload rules automatically
  2. 按一下「儲存」。

測試入侵防護 上層主題

請在繼續進行其他操作之前,確認入侵防護正常運作。

步驟

  1. 如果您有基於代理的部署,請確保您有一台運行代理的電腦防護。
  2. 關閉網頁信譽評等以防止其干擾入侵防護。
    1. 伺服器與工作負載保護控制台中,點擊Computers
    2. 雙擊您計劃測試入侵防護的電腦。
    3. 按一下「網頁信譽評等」。
    4. 選擇 關閉
  3. 封鎖不良流量:
    1. 點擊 入侵防護 以進行電腦防護。
    2. 在一般標籤中,選擇 Prevent
      如果 Prevent 不可用,請將 Configuration 設定為 Inherited (On)
  4. 指派歐洲電腦防護病毒研究所(EICAR)測試政策:
    1. 點擊 入侵防護 以進行電腦防護。
    2. 點擊 Assign/Unassign.
    3. 搜尋 1005924
    4. 選擇 1005924 - Restrict Download of EICAR Test File Over HTTP
    5. 按一下「確定」。
  5. 嘗試下載 EICAR 檔案。入侵防護應該會阻止您下載此檔案。
  6. 檢視電腦的入侵防護事件:
    1. 選擇 Intrusion Prevention Intrusion Prevention Events 以保護電腦。
    2. 點擊 Get Events 以查看自上次心跳以來發生的事件。
    3. 尋找一個事件,其中1005924 - Restrict Download of EICAR Test File Over HTTP作為Reason。此事件的存在表示入侵防護正在運作。
  7. 恢復您的更改以將系統返回到先前狀態:
    1. 開啟網頁信譽評等。
    2. 重置 PreventDetect 選項。
    3. 從電腦防護中移除 EICAR 政策。

套用建議的規則 上層主題

為了最大化效能,僅指派您政策和電腦防護所需的入侵防護規則。使用 建議掃瞄 以獲取適當的規則列表。雖然建議掃瞄是針對特定電腦執行的,但您可以將建議指派給該電腦所使用的 政策。您還可以將 伺服器與工作負載保護 配置為 自動實施建議 掃瞄結果。

步驟

  1. 打開電腦防護的屬性。
  2. 在建議的General標籤下,點擊Scan for Recommendations
  3. 打開您想要指派規則的政策並完成規則指派(請參見 手動指派規則)。

接下來需執行的動作

在您應用入侵防護規則後,請監控系統性能和入侵防護事件日誌。監控CPU、RAM和網路使用情況,以驗證系統性能是否仍然可接受。如果不行,您可以修改一些設定和部署方面以改善性能。(請參見入侵防護性能提示。)

檢查入侵防護事件 上層主題

監控入侵防護事件以確保規則不會匹配到合法的網路流量。如果某個規則導致誤報,您可以未指派該規則。(請參閱 指派和未指派規則。)

步驟

  • 要查看入侵防護事件,請點選Events & Reports Intrusion Prevention Events

啟用 fail open 以應對封包或系統故障 上層主題

入侵防護包含一個網路引擎,可能在入侵防護規則應用之前封鎖封包。這可能導致性能問題。您可以更改此行為,以在系統或內部封包故障發生時允許封包。詳細資訊,請參見 啟用 fail open 行為

切換到防護模式 上層主題

當您確認入侵防護未檢測到誤報後,請配置您的政策以在防止模式下使用入侵防護,以強制執行規則並記錄相關事件。

步驟

  1. 前往 Computer or Policy editor Intrusion Prevention General
  2. 選擇 Prevent 以進行 Intrusion Prevention Behavior
  3. 點選 儲存

HTTP 通訊協定解碼規則 上層主題

HTTP 通訊協定解碼規則是 Web 伺服器常見應用類型中最重要的規則。此規則在其他規則檢查之前解碼 HTTP 流量。此規則還允許您控制解碼過程中的各種組件。
當您使用任何需要此規則的 Web 應用程式通用規則或 Web 伺服器通用規則時,此規則是必需的。伺服器與工作負載保護 會在其他規則需要時自動分配此規則。由於每個 Web 應用程式都不同,因此使用此規則的政策應在 Detect 模式下運行一段時間,然後再切換到 Prevent 模式,以確定是否需要進行任何配置更改。通常,非法字符列表需要進行更改。請參考 常見問題集 獲取有關如何調整此規則的詳細信息。

跨站腳本和通用 SQL 注入規則 上層主題

最常見的兩種應用層攻擊是 SQL 注入和跨站腳本攻擊 (XSS)。跨站腳本攻擊和 SQL 注入規則會預設攔截大多數攻擊,但如果它們導致誤報,您可能需要調整特定資源的丟棄分數。
兩個規則都是需要為網頁伺服器自訂配置的智能過濾器。如果您有來自 Web Application Vulnerability Scanner 的輸出,應在應用保護時利用該資訊。例如,如果 login.asp 頁面上的使用者名稱欄位易受 SQL 注入攻擊,請確保 SQL 注入規則配置為以低閾值監控該參數並進行阻斷。
詳細資訊請參見 https://success.trendmicro.com/en-us/solution/ka-0003649