四，动作集——IPS生效的关键：

　　当我们通过UTM设置IPS入侵防御参数时有一个是非常重要的，这就是“动作集”。众所周知IPS的核心功能就是可以针对符合特征代码的攻击进行过滤与追踪，我们都希望能够通过IPS阻止攻击。这就需要“动作集”的配置。我们通过UTM的ips下的规则管理可以看到一条条过滤条目的设置信息。(如图4)

图4

　　在这里我们可以看到每个攻击特征类别后面都会跟着一个“动作集”，该动作集是针对UTM发现符合特征代码时对数据包的操作，动作集中有多个选项提供给我们，例如permit容许通过,notify通知用户,tracert追踪数据包,block阻止数据通过等。(如图5)

图5

　　那么为什么说“动作集”是IPS生效的关键呢?因为当IPS发现有类似攻击特征代码的数据包时他会根据“动作集”中的设置进行操作，这里就会产生一个非常大的问题，即“动作集”一旦设置为permit或nofity或tracert这三项，那么UTM将不会对数据包进行隔离和丢弃操作，相关攻击数据包可以堂而惶之的进入到内网中。一定要注意的是只有设置为block动作后该攻击才会取消，数据才会被丢弃。所以我们在配置UTM的IPS功能时一定要减少permit或nofity或tracert这三项的出现，增加block动作才是实施IPS防范入侵的关键。(如图6)

图6