入侵检测 (eTrust Intrusion Detection)-5
第 5 章 定义安全性策略
入侵检测 (eTrust Intrusion Detection) 这种隐蔽的网络保护解决方案可以提供信息、警告和控制,以防止公司受到外部攻击和入侵,以及内部滥用。
现在您已经对可以设置的参数和可以定义的行为有所了解,有条件进入下一阶段了。本章将介绍在计划或评估公司的安全性策略时应该考虑的问题,入侵检测 (eTrust Intrusion Detection) 中可用的规则类型,以及如何用这些规则定义安全性策略。
5.1 计划安全性策略
入侵检测 (eTrust Intrusion Detection) 使用“规则”定义安全性策略。规则是应用于网络会话的特定服务的条件及导致的特定操作。如果会话的任何特性符合规则条件,则发生匹配。匹配将触发操作行为。
在启动入侵检测 (eTrust Intrusion Detection) 后,程序将自动根据预定义规则开始跟踪和记录数据。由于这些默认设置可能不符合公司的安全性需要,所以需要确定公司在监控和阻塞网络流量上的策略。例如,可以限制对某些单词、电子邮件地址或 web 站点的使用。
在计划公司的安全性策略时,应该考虑下列问题:
l 入侵检测 (eTrust Intrusion Detection) 将监控哪些客户和服务器?
l 入侵检测 (eTrust Intrusion Detection) 将监控哪些服务?
l 入侵检测 (eTrust Intrusion Detection) 将探测哪些入侵和可疑的网络活动?
l 当某个会话匹配规则时入侵检测 (eTrust Intrusion Detection) 如何作出响应?
l 入侵检测 (eTrust Intrusion Detection) 将搜索电子邮件消息和附件中的什么活动组件?
l 当用户访问 Web 时入侵检测 (eTrust Intrusion Detection) 将搜索什么组件?
您可以根据这些问题来定义规则参数。下一节将介绍入侵检测 (eTrust Intrusion Detection) 中可用的规则。
5.2 关于规则
规则是应用于会话并且导致特定行为的条件组。当入侵检测 (eTrust Intrusion Detection) 在会话中遇到这些条件时就发生了匹配,并且执行已定义的操作。
入侵检测 (eTrust Intrusion Detection) 检查不同窗格中的规则,从列表顶部到底部。它允许创建“排除”类型规则。例如,如果需要为 Telnet 记录除某个用户之外的所有用户,那么就可以为特定的网络对象定义排除规则类型,然后定义新策略规则将新的排除网络对象作为客户使用。
入侵检测 (eTrust Intrusion Detection) 包括了一组适合大多数网络的预定义规则。它们可以按原样使用,或者可以创建自己的规则以适合公司的特定安全性需要。下面是规则类型的说明。
5.2.1 监控/阻塞/报警规则
这些规则用于记录所有协议的活动,以及阻塞特定的 web 站点。在“树”窗口中可以查看日志和阻塞事件。
5.2.2 入侵企图探测规则
这些规则可以探测对局域网的入侵企图。入侵检测 (eTrust Intrusion Detection) 包括许多预定义活动,它们代表了对局域网的某些访问企图。例如,与客户使用不同 IP 端口的 FTP 端口命令可能说明某人正在试图滥用和搞乱 FTP 服务器。默认情况下,入侵检测 (eTrust Intrusion Detection) 在“树”窗口和“警告消息”对话框中记录入侵企图的详细信息。
5.2.3 内容检查规则
入侵检测 (eTrust Intrusion Detection) 用这些规则检查活动 HTML 组件和电子邮件、新闻组张贴材料、FTP 下载和 HTTP 页面以及二进制内容中的病毒。在“内容检查规则”窗格中可以选择入侵检测 (eTrust Intrusion Detection) 将搜索的组件,以及入侵检测 (eTrust Intrusion Detection) 在探测到这些组件时将采用的行为。
5.2.4 可疑网络活动规则
入侵检测 (eTrust Intrusion Detection) 用这些规则检查不正常的局域网活动,例如,分布式拒绝服务攻击、“流形”DoS 攻击。入侵检测 (eTrust Intrusion Detection) 在“显示安全冲突”对话框中记录这些活动的详细信息。
5.2.5 URL 访问监控和控制规则
这些规则监控和记录与工作无关而且有特定等级的站点。您可选择与工作无关的类别(例如,游戏和约会服务)和根据等级要进行监控的站点,这些站点可以分为四个级别,暴力、性、裸体和语言。
5.3 使用规则
本节中的步骤可以指导您完成在入侵检测 (eTrust Intrusion Detection) 中创建规则的过程。大多数类型的规则都有相同的步骤。定义“可疑网络活动”规则的细节与其它规则类型有所不同。定义这些规则的步骤将在本节后面介绍。
5.3.1 创建规则
在定义规则时,您可以选择入侵检测 (eTrust Intrusion Detection)在每个新会话中搜索的条件、定义监控的”站”和如何对匹配规则的会话响应,以及应用规则的时间。定义这些参数的方法是双击规则窗格中的单元,或者用“定义”对话框(“设置”菜单)。定义参数的步骤将在第 5 章“定义规则参数”中介绍。
创建规则步骤为:
1. 从“功能”菜单中选择下列规则集:
l 监控/阻塞/警告规则
l 入侵企图探测规则
l 内容检查规则
l URL 访问监控和控制规则
2. 在出现的对话框中单击“编辑规则”按钮。
3. 从菜单中选择“新建”。然后选择在当前窗格中选定的规则之前或之后插入新规则。
4. 在“规则”单元中键入新规则名,然后按回车键。如图所示。
5. 双击“客户”单元格,出现“客户”对话框,双击文件夹展开树,选择客户后单击“下一步”。
6. 双击“服务器”单元格,出现“服务器”对话框,选择服务器后单击“下一步”。(在 “URL 访问监控和控制”规则中该选项不存在)。
7. 在“类型”对话框中,从列表中选择规则类型。单击“下一步”。
8. 在“操作”对话框中,从列表中选择操作。单击“下一步”。
9. 在“时间”对话框中设置激活规则的时间。单击“总是”可以进行不间断跟踪,或者可以在“星期”和“时间”框中定义特定的时间。
10.在“说明”对话框中键入规则的简短说明。单击“下一步”。
11. 在“合格用户”页中选择能够查看入侵检测 (eTrust Intrusion Detection) 所收集数据的用户。单击“确定”。然后就可以在窗格中查看到新规则了。
注意:如果跳过必需的某个步骤,入侵检测 (eTrust Intrusion Detection) 将提示输入缺少的详细信息。
定义规则的其它方式
在入侵检测 (eTrust Intrusion Detection) 中定义规则有多种方式。在“视图”窗口中查看事件细节和在“统计”窗口中查看统计数据时也可以定义规则。下面是这些选项的简单说明。
定义已查看事件的阻塞规则
当在“视图”窗口中查看会话细节时,可以根据这些细节定义阻塞规则以阻塞将来的会话。
根据 URL 类别定义阻塞规则
当在“视图”窗口中查看记录的 HTTP 会话时,您可以决定特定 URL 所属的类别,然后创建规则阻塞对类似 URL 的所有访问。
在“统计”窗口中定义规则
当在“统计”窗口中查看最近活动和其它服务活动时,您可以定义规则以记录与这些会话有关的详细信息。
在“统计”窗口中定义排除服务规则
在查看最近活动和其它服务活动时,您可以创建规则以便在跟踪时排除某些服务。
5.3.2 编辑规则
规则以窗格的形式显示在对话框中。按照下面的指导可以编辑规则。
1. 在“功能”菜单上选择一组规则。例如,监控/阻塞/警告规则。
2. 双击规则对话框中的特定单元。出现的对话框显示该参数的属性。
3. 修改属性,然后单击“应用”。规则中将出现新的详细信息。
或者,
1. 在“功能”菜单上选择一组规则。
2. 在规则对话框中选择要编辑的规则。
3. 单击“编辑规则”按钮或者在该规则上单击鼠标右键,出现“编辑规则”菜单。
4. 从菜单中选择“编辑规则”。出现的对话框中有代表窗格中每个单元的选项卡。如图所示。
5. 单击要修改的选项卡。
6. 修改参数,然后单击“应用”可以对规则列表应用改动。
7. 单击“确定”关闭“规则”对话框。
5.3.3 删除规则
按照下面的指导可以从规则列表中删除规则。
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则。
3. 从“编辑规则”菜单中选择“删除”。出现询问是否确定要删除的警告消息。
4. 单击“是”从规则窗格中删除规则。
5.3.4 重命名规则
按照下面的指导可以更改现有规则的名称。
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者单击鼠标右键。
3. 从“编辑规则”菜单中选择“重命名”。
4. 键入名称,然后按回车键。新名称将显示在规则单元中。
5.3.5 复制规则
您可以通过复制现有规则,然后编辑参数的方式来创建新规则。
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者在选中的规则上单击鼠标右键。
3. 从“编辑规则”菜单中选择“复制”。复制的新规则将显示在选定规则下面。
4. 根据本章前面“编辑规则”的步骤编辑新规则。
5.3.6 移动规则
前面“关于规则”提到,规则显示在窗格中的顺序决定了规则匹配的顺序。您可以根据公司的需要更改规则顺序。
移动规则步骤如下:
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者在该规则上单击鼠标右键。
3. 从“编辑规则”菜单中选择“移走”。用箭头键将规则移动到新的位置。
4. 按 停止移动,将规则放在新位置。
5.3.7 启用/禁用规则
您可以在启用和禁用规则之间切换。方法是:
单击“规则”单元中的复选框可以在启用和禁用规则之间切换。
当规则不用时,它将显示为灰色。
或者,
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者单击鼠标右键。
3. 从“编辑规则”菜单中选择“禁用/启用”。“规则”单元中的复选框将清除(或者选中)。
友好提示 — 通过“视图”窗口也可以禁用/启用规则,方法是选择事件,然后在视图窗口中单击鼠标右键,在上下文菜单中选择“禁用规则”或“启用规则”。
5.3.8 根据执行顺序排列规则
入侵检测 (eTrust Intrusion Detection) 将新规则添加到规则窗格的底部。然后可以根据入侵检测 (eTrust Intrusion Detection) 将其应用到会话中的顺序来排列规则。
根据优先级查看规则:
1. 在“功能”菜单上选择一组规则。
2. 单击“编辑规则”按钮。
3. 从“编辑规则”菜单中选择“根据执行顺序排列”。规则将按优先级高低重排。
5.4 可疑网络活动规则
可疑网络活动规则探测符合预定义条件并且不正常的网络活动。入侵检测 (eTrust Intrusion Detection) 包括许多在默认情况下启用的预定义可疑网络活动规则。您可以在启用或禁用这些规则之间切换,而且可以更改操作。
编辑可疑网络活动规则:
1. 在“功能”菜单上选择“可疑网络活动规则”。如图所示。
2. 单击可疑活动旁的复选框,可以在启用和禁用规则之间切换。
3. 单击“操作”按钮定义要采取的操作,当入侵检测 (eTrust Intrusion Detection) 探测到这些可疑活动时将执行该操作。有关更多的细节,请参见第 4 章中的“定义操作”。
4. 单击“确定”。可疑网络活动将显示在“探测到的安全冲突”对话框中。
5.5 阻塞网络游戏
网络游戏不仅会降低生产效率,而且会减慢网络交通。作为对该问题的解决方案,入侵检测 (eTrust Intrusion Detection) 允许阻塞两种交互式网络游戏 — Doom 和 Quake。
阻塞网络游戏:
1. 在“功能”菜单上选择“阻塞网络游戏”。
2. 选择“Doom”或“Quake”,或两者。阻塞游戏旁将出现选中标记。
5.6 排除服务
入侵检测 (eTrust Intrusion Detection) 允许用户选择不监控某些服务。用户可以排除特定服务的所有站或者排除选定的站。
5.6.1 排除服务
1. 从“功能”菜单中选择“排除服务”。如图所示。
2. 在出现的对话框中单击“编辑排除服务”按钮。
3. 从菜单中选择“新建”。然后选择在窗格中当前选中的规则之前或之后插入新规则。
4. 在规则单元中键入新规则名,然后按回车键。
5. 在“客户”对话框中双击文件夹展开树。选择客户,然后单击“下一步”。
6. 在“服务器”对话框中,从网络对象树中选择服务器。单击“下一步”。
7. 在“服务”对话框中,从列表中选择服务。单击“下一步”。
8. 在“时间”对话框中选择激活规则的时间。单击“总是”可以进行不间断跟踪,或者在“星期”框和“时间”框中定义特定的时间。
9. 在“描述”对话框中键入规则的简短说明。单击“完成”。现在可以在窗格中查看新规则。
友好提示 — 也可以直接从“统计”窗口中排除其它服务流量,方法是选择服务,然后单击鼠标右键。从出现的菜单中选择“排除服务”。
5.6.2 编辑排除服务
排除服务以对话框和窗格的形式出现。双击单元可以查看与该单元有关的属性。也可以添加、删除、重命名、复制、移动、启用/禁用或编辑排除服务规则。
编辑排除服务:
1. 在“功能”菜单上选择“排除服务”。
2. 双击规则对话框中的特定单元。出现的对话框显示该参数的属性。
3. 修改属性,然后单击“应用”。规则中将出现新的详细信息。
或者,
1. 在“功能”菜单上选择“排除服务”。“排除服务”对话框出现。
2. 选择规则,然后单击“编辑排除服务”按钮。从出现的菜单中选择“编辑排除服务”。
3. 在出现的对话框中选择选项卡之一以修改下列参数:客户、服务器、服务、时间或说明。
4. 在修改了特定参数的属性后单击“应用”。
5. 单击“确定”实现改动。
友好提示 — 有关其它编辑选项,请单击“编辑排除服务”按钮。
5.7 创建分类 URL 列表
入侵检测 (eTrust Intrusion Detection) 包括了许多预定义的URL分类。入侵检测 (eTrust Intrusion Detection) 用这些 URL 来进行报告和阻塞。用户可以更改现有 URL 的类别或地址,或者添加新 URL 分类。
5.7.1 添加新URL 分类
1. 在“功能”菜单上单击“定制分类的URL列表”。
2. 单击“添加”添加新 URL。“URL 属性”对话框出现。
3. 在“地址”框中输入完整的 URL 地址。
4. 输入 IP 地址或者允许入侵检测 (eTrust Intrusion Detection) 查找站点。新的 URL 将出现在“自定义分类 URL 列表”对话框中。
5. 对新 URL 指定类别。为此,请按下面的指导做。
? 如果 URL 没有在程序中定义,那么请选择 URL,然后在“分配给 URL 的类别”框中选择类别。
? 如果 URL 已经在程序中定义,那么可以更改指定的类别。
? 单击“默认”对入侵检测 (eTrust Intrusion Detection) 提供的 URL 定义默认类别。
? 单击“清除”可以清除选定的该URL的全部类别。
6. 要从列表中删除 URL,方法是选择 URL,然后单击“删除”。程序将提示是否要删除。单击“是”。
7. 单击“确定”实现所有改动。
5.7.2 编辑和查看 URL 属性
请按照下面的指导来查看和编辑现有 URL 的属性。
l 选择 URL,然后单击“IP 地址”可以查看和编辑该 URL 的 IP 地址。
l 选择 URL,然后单击“属性”可以编辑该 URL 的属性。您可以更改 URL地址,给 新URL 分配新的 IP 地址。
5.8 入侵检测 (eTrust Intrusion Detection) 订购
入侵检测 (eTrust Intrusion Detection) 包括了下列内置列表:
l 分类 URL 列表。
l 用于病毒检测的已知病毒列表
l 入侵探测规则列表。
用户可以从 Computer Associates 订购以便定期更新这些列表。在订购之后,用户可以收到密码,然后就可以从 Computer Associates web 站点下载更新后的列表了。
更新订购组件:
1. 从 web 站点下载更新列表,然后将它们保存到入侵检测 (eTrust Intrusion Detection) 目录中。
2. 在“功能”菜单上选择“预订更新”。然后选择“病毒检测库更新”、“URL 控制列表更新”或者“入侵探测规则更新”。对应于选择内容的文件列表将出现。
3. 选择文件,然后单击“打开”替换列表。
入侵检测 (eTrust Intrusion Detection) 这种隐蔽的网络保护解决方案可以提供信息、警告和控制,以防止公司受到外部攻击和入侵,以及内部滥用。
现在您已经对可以设置的参数和可以定义的行为有所了解,有条件进入下一阶段了。本章将介绍在计划或评估公司的安全性策略时应该考虑的问题,入侵检测 (eTrust Intrusion Detection) 中可用的规则类型,以及如何用这些规则定义安全性策略。
5.1 计划安全性策略
入侵检测 (eTrust Intrusion Detection) 使用“规则”定义安全性策略。规则是应用于网络会话的特定服务的条件及导致的特定操作。如果会话的任何特性符合规则条件,则发生匹配。匹配将触发操作行为。
在启动入侵检测 (eTrust Intrusion Detection) 后,程序将自动根据预定义规则开始跟踪和记录数据。由于这些默认设置可能不符合公司的安全性需要,所以需要确定公司在监控和阻塞网络流量上的策略。例如,可以限制对某些单词、电子邮件地址或 web 站点的使用。
在计划公司的安全性策略时,应该考虑下列问题:
l 入侵检测 (eTrust Intrusion Detection) 将监控哪些客户和服务器?
l 入侵检测 (eTrust Intrusion Detection) 将监控哪些服务?
l 入侵检测 (eTrust Intrusion Detection) 将探测哪些入侵和可疑的网络活动?
l 当某个会话匹配规则时入侵检测 (eTrust Intrusion Detection) 如何作出响应?
l 入侵检测 (eTrust Intrusion Detection) 将搜索电子邮件消息和附件中的什么活动组件?
l 当用户访问 Web 时入侵检测 (eTrust Intrusion Detection) 将搜索什么组件?
您可以根据这些问题来定义规则参数。下一节将介绍入侵检测 (eTrust Intrusion Detection) 中可用的规则。
5.2 关于规则
规则是应用于会话并且导致特定行为的条件组。当入侵检测 (eTrust Intrusion Detection) 在会话中遇到这些条件时就发生了匹配,并且执行已定义的操作。
入侵检测 (eTrust Intrusion Detection) 检查不同窗格中的规则,从列表顶部到底部。它允许创建“排除”类型规则。例如,如果需要为 Telnet 记录除某个用户之外的所有用户,那么就可以为特定的网络对象定义排除规则类型,然后定义新策略规则将新的排除网络对象作为客户使用。
入侵检测 (eTrust Intrusion Detection) 包括了一组适合大多数网络的预定义规则。它们可以按原样使用,或者可以创建自己的规则以适合公司的特定安全性需要。下面是规则类型的说明。
5.2.1 监控/阻塞/报警规则
这些规则用于记录所有协议的活动,以及阻塞特定的 web 站点。在“树”窗口中可以查看日志和阻塞事件。
5.2.2 入侵企图探测规则
这些规则可以探测对局域网的入侵企图。入侵检测 (eTrust Intrusion Detection) 包括许多预定义活动,它们代表了对局域网的某些访问企图。例如,与客户使用不同 IP 端口的 FTP 端口命令可能说明某人正在试图滥用和搞乱 FTP 服务器。默认情况下,入侵检测 (eTrust Intrusion Detection) 在“树”窗口和“警告消息”对话框中记录入侵企图的详细信息。
5.2.3 内容检查规则
入侵检测 (eTrust Intrusion Detection) 用这些规则检查活动 HTML 组件和电子邮件、新闻组张贴材料、FTP 下载和 HTTP 页面以及二进制内容中的病毒。在“内容检查规则”窗格中可以选择入侵检测 (eTrust Intrusion Detection) 将搜索的组件,以及入侵检测 (eTrust Intrusion Detection) 在探测到这些组件时将采用的行为。
5.2.4 可疑网络活动规则
入侵检测 (eTrust Intrusion Detection) 用这些规则检查不正常的局域网活动,例如,分布式拒绝服务攻击、“流形”DoS 攻击。入侵检测 (eTrust Intrusion Detection) 在“显示安全冲突”对话框中记录这些活动的详细信息。
5.2.5 URL 访问监控和控制规则
这些规则监控和记录与工作无关而且有特定等级的站点。您可选择与工作无关的类别(例如,游戏和约会服务)和根据等级要进行监控的站点,这些站点可以分为四个级别,暴力、性、裸体和语言。
5.3 使用规则
本节中的步骤可以指导您完成在入侵检测 (eTrust Intrusion Detection) 中创建规则的过程。大多数类型的规则都有相同的步骤。定义“可疑网络活动”规则的细节与其它规则类型有所不同。定义这些规则的步骤将在本节后面介绍。
5.3.1 创建规则
在定义规则时,您可以选择入侵检测 (eTrust Intrusion Detection)在每个新会话中搜索的条件、定义监控的”站”和如何对匹配规则的会话响应,以及应用规则的时间。定义这些参数的方法是双击规则窗格中的单元,或者用“定义”对话框(“设置”菜单)。定义参数的步骤将在第 5 章“定义规则参数”中介绍。
创建规则步骤为:
1. 从“功能”菜单中选择下列规则集:
l 监控/阻塞/警告规则
l 入侵企图探测规则
l 内容检查规则
l URL 访问监控和控制规则
2. 在出现的对话框中单击“编辑规则”按钮。
3. 从菜单中选择“新建”。然后选择在当前窗格中选定的规则之前或之后插入新规则。
4. 在“规则”单元中键入新规则名,然后按回车键。如图所示。
5. 双击“客户”单元格,出现“客户”对话框,双击文件夹展开树,选择客户后单击“下一步”。
6. 双击“服务器”单元格,出现“服务器”对话框,选择服务器后单击“下一步”。(在 “URL 访问监控和控制”规则中该选项不存在)。
7. 在“类型”对话框中,从列表中选择规则类型。单击“下一步”。
8. 在“操作”对话框中,从列表中选择操作。单击“下一步”。
9. 在“时间”对话框中设置激活规则的时间。单击“总是”可以进行不间断跟踪,或者可以在“星期”和“时间”框中定义特定的时间。
10.在“说明”对话框中键入规则的简短说明。单击“下一步”。
11. 在“合格用户”页中选择能够查看入侵检测 (eTrust Intrusion Detection) 所收集数据的用户。单击“确定”。然后就可以在窗格中查看到新规则了。
注意:如果跳过必需的某个步骤,入侵检测 (eTrust Intrusion Detection) 将提示输入缺少的详细信息。
定义规则的其它方式
在入侵检测 (eTrust Intrusion Detection) 中定义规则有多种方式。在“视图”窗口中查看事件细节和在“统计”窗口中查看统计数据时也可以定义规则。下面是这些选项的简单说明。
定义已查看事件的阻塞规则
当在“视图”窗口中查看会话细节时,可以根据这些细节定义阻塞规则以阻塞将来的会话。
根据 URL 类别定义阻塞规则
当在“视图”窗口中查看记录的 HTTP 会话时,您可以决定特定 URL 所属的类别,然后创建规则阻塞对类似 URL 的所有访问。
在“统计”窗口中定义规则
当在“统计”窗口中查看最近活动和其它服务活动时,您可以定义规则以记录与这些会话有关的详细信息。
在“统计”窗口中定义排除服务规则
在查看最近活动和其它服务活动时,您可以创建规则以便在跟踪时排除某些服务。
5.3.2 编辑规则
规则以窗格的形式显示在对话框中。按照下面的指导可以编辑规则。
1. 在“功能”菜单上选择一组规则。例如,监控/阻塞/警告规则。
2. 双击规则对话框中的特定单元。出现的对话框显示该参数的属性。
3. 修改属性,然后单击“应用”。规则中将出现新的详细信息。
或者,
1. 在“功能”菜单上选择一组规则。
2. 在规则对话框中选择要编辑的规则。
3. 单击“编辑规则”按钮或者在该规则上单击鼠标右键,出现“编辑规则”菜单。
4. 从菜单中选择“编辑规则”。出现的对话框中有代表窗格中每个单元的选项卡。如图所示。
5. 单击要修改的选项卡。
6. 修改参数,然后单击“应用”可以对规则列表应用改动。
7. 单击“确定”关闭“规则”对话框。
5.3.3 删除规则
按照下面的指导可以从规则列表中删除规则。
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则。
3. 从“编辑规则”菜单中选择“删除”。出现询问是否确定要删除的警告消息。
4. 单击“是”从规则窗格中删除规则。
5.3.4 重命名规则
按照下面的指导可以更改现有规则的名称。
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者单击鼠标右键。
3. 从“编辑规则”菜单中选择“重命名”。
4. 键入名称,然后按回车键。新名称将显示在规则单元中。
5.3.5 复制规则
您可以通过复制现有规则,然后编辑参数的方式来创建新规则。
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者在选中的规则上单击鼠标右键。
3. 从“编辑规则”菜单中选择“复制”。复制的新规则将显示在选定规则下面。
4. 根据本章前面“编辑规则”的步骤编辑新规则。
5.3.6 移动规则
前面“关于规则”提到,规则显示在窗格中的顺序决定了规则匹配的顺序。您可以根据公司的需要更改规则顺序。
移动规则步骤如下:
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者在该规则上单击鼠标右键。
3. 从“编辑规则”菜单中选择“移走”。用箭头键将规则移动到新的位置。
4. 按 停止移动,将规则放在新位置。
5.3.7 启用/禁用规则
您可以在启用和禁用规则之间切换。方法是:
单击“规则”单元中的复选框可以在启用和禁用规则之间切换。
当规则不用时,它将显示为灰色。
或者,
1. 在“功能”菜单上选择一组规则。
2. 在规则窗格中选择规则,然后单击“编辑规则”按钮或者单击鼠标右键。
3. 从“编辑规则”菜单中选择“禁用/启用”。“规则”单元中的复选框将清除(或者选中)。
友好提示 — 通过“视图”窗口也可以禁用/启用规则,方法是选择事件,然后在视图窗口中单击鼠标右键,在上下文菜单中选择“禁用规则”或“启用规则”。
5.3.8 根据执行顺序排列规则
入侵检测 (eTrust Intrusion Detection) 将新规则添加到规则窗格的底部。然后可以根据入侵检测 (eTrust Intrusion Detection) 将其应用到会话中的顺序来排列规则。
根据优先级查看规则:
1. 在“功能”菜单上选择一组规则。
2. 单击“编辑规则”按钮。
3. 从“编辑规则”菜单中选择“根据执行顺序排列”。规则将按优先级高低重排。
5.4 可疑网络活动规则
可疑网络活动规则探测符合预定义条件并且不正常的网络活动。入侵检测 (eTrust Intrusion Detection) 包括许多在默认情况下启用的预定义可疑网络活动规则。您可以在启用或禁用这些规则之间切换,而且可以更改操作。
编辑可疑网络活动规则:
1. 在“功能”菜单上选择“可疑网络活动规则”。如图所示。
2. 单击可疑活动旁的复选框,可以在启用和禁用规则之间切换。
3. 单击“操作”按钮定义要采取的操作,当入侵检测 (eTrust Intrusion Detection) 探测到这些可疑活动时将执行该操作。有关更多的细节,请参见第 4 章中的“定义操作”。
4. 单击“确定”。可疑网络活动将显示在“探测到的安全冲突”对话框中。
5.5 阻塞网络游戏
网络游戏不仅会降低生产效率,而且会减慢网络交通。作为对该问题的解决方案,入侵检测 (eTrust Intrusion Detection) 允许阻塞两种交互式网络游戏 — Doom 和 Quake。
阻塞网络游戏:
1. 在“功能”菜单上选择“阻塞网络游戏”。
2. 选择“Doom”或“Quake”,或两者。阻塞游戏旁将出现选中标记。
5.6 排除服务
入侵检测 (eTrust Intrusion Detection) 允许用户选择不监控某些服务。用户可以排除特定服务的所有站或者排除选定的站。
5.6.1 排除服务
1. 从“功能”菜单中选择“排除服务”。如图所示。
2. 在出现的对话框中单击“编辑排除服务”按钮。
3. 从菜单中选择“新建”。然后选择在窗格中当前选中的规则之前或之后插入新规则。
4. 在规则单元中键入新规则名,然后按回车键。
5. 在“客户”对话框中双击文件夹展开树。选择客户,然后单击“下一步”。
6. 在“服务器”对话框中,从网络对象树中选择服务器。单击“下一步”。
7. 在“服务”对话框中,从列表中选择服务。单击“下一步”。
8. 在“时间”对话框中选择激活规则的时间。单击“总是”可以进行不间断跟踪,或者在“星期”框和“时间”框中定义特定的时间。
9. 在“描述”对话框中键入规则的简短说明。单击“完成”。现在可以在窗格中查看新规则。
友好提示 — 也可以直接从“统计”窗口中排除其它服务流量,方法是选择服务,然后单击鼠标右键。从出现的菜单中选择“排除服务”。
5.6.2 编辑排除服务
排除服务以对话框和窗格的形式出现。双击单元可以查看与该单元有关的属性。也可以添加、删除、重命名、复制、移动、启用/禁用或编辑排除服务规则。
编辑排除服务:
1. 在“功能”菜单上选择“排除服务”。
2. 双击规则对话框中的特定单元。出现的对话框显示该参数的属性。
3. 修改属性,然后单击“应用”。规则中将出现新的详细信息。
或者,
1. 在“功能”菜单上选择“排除服务”。“排除服务”对话框出现。
2. 选择规则,然后单击“编辑排除服务”按钮。从出现的菜单中选择“编辑排除服务”。
3. 在出现的对话框中选择选项卡之一以修改下列参数:客户、服务器、服务、时间或说明。
4. 在修改了特定参数的属性后单击“应用”。
5. 单击“确定”实现改动。
友好提示 — 有关其它编辑选项,请单击“编辑排除服务”按钮。
5.7 创建分类 URL 列表
入侵检测 (eTrust Intrusion Detection) 包括了许多预定义的URL分类。入侵检测 (eTrust Intrusion Detection) 用这些 URL 来进行报告和阻塞。用户可以更改现有 URL 的类别或地址,或者添加新 URL 分类。
5.7.1 添加新URL 分类
1. 在“功能”菜单上单击“定制分类的URL列表”。
2. 单击“添加”添加新 URL。“URL 属性”对话框出现。
3. 在“地址”框中输入完整的 URL 地址。
4. 输入 IP 地址或者允许入侵检测 (eTrust Intrusion Detection) 查找站点。新的 URL 将出现在“自定义分类 URL 列表”对话框中。
5. 对新 URL 指定类别。为此,请按下面的指导做。
? 如果 URL 没有在程序中定义,那么请选择 URL,然后在“分配给 URL 的类别”框中选择类别。
? 如果 URL 已经在程序中定义,那么可以更改指定的类别。
? 单击“默认”对入侵检测 (eTrust Intrusion Detection) 提供的 URL 定义默认类别。
? 单击“清除”可以清除选定的该URL的全部类别。
6. 要从列表中删除 URL,方法是选择 URL,然后单击“删除”。程序将提示是否要删除。单击“是”。
7. 单击“确定”实现所有改动。
5.7.2 编辑和查看 URL 属性
请按照下面的指导来查看和编辑现有 URL 的属性。
l 选择 URL,然后单击“IP 地址”可以查看和编辑该 URL 的 IP 地址。
l 选择 URL,然后单击“属性”可以编辑该 URL 的属性。您可以更改 URL地址,给 新URL 分配新的 IP 地址。
5.8 入侵检测 (eTrust Intrusion Detection) 订购
入侵检测 (eTrust Intrusion Detection) 包括了下列内置列表:
l 分类 URL 列表。
l 用于病毒检测的已知病毒列表
l 入侵探测规则列表。
用户可以从 Computer Associates 订购以便定期更新这些列表。在订购之后,用户可以收到密码,然后就可以从 Computer Associates web 站点下载更新后的列表了。
更新订购组件:
1. 从 web 站点下载更新列表,然后将它们保存到入侵检测 (eTrust Intrusion Detection) 目录中。
2. 在“功能”菜单上选择“预订更新”。然后选择“病毒检测库更新”、“URL 控制列表更新”或者“入侵探测规则更新”。对应于选择内容的文件列表将出现。
3. 选择文件,然后单击“打开”替换列表。
0
相关文章
关注我们
