全局配置”,在该页面配置<IPS模式>选项。入侵防御系统(Intrusion Prevention System)简称IPS,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。StoneOS支持许可证控制的IPS功能,即为支持IPS功能的StoneOS安装IPS许可证后,IPS功能才可使用。
StoneOS的IPS功能能够实现完整的基于状态的检查,从而极大降低误报率。当设备开启多项应用层数据检测功能时,启用IPS功能不会导致设备性能的明显下降。另外,系统每天通过特征服务器自动更新特征库,保证特征的完整性和正确性。
StoneOS的IPS功能对协议的检测流程包括两部分,分别是协议解析和引擎匹配。协议解析过程对协议进行分析,发现协议异常后,系统会根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员;分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测,发现与特征库中特征相匹配的数据包后,系统根据配置处理数据包(记录日志、重置、屏蔽),并产生日志信息报告给管理员。系统生成的IPS日志信息中包含错误信息ID,即为特征库中的特征ID,用户可以根据该ID查看错误的具体信息(IPS在线帮助)。
StoneOS支持两种IPS工作模式,分别是IPS在线模拟模式和IPS模式。IPS在线模拟模式提供协议异常和网络攻击行为的告警、日志功能,不对检出攻击做重置和阻断操作;IPS模式在提供协议异常和网络攻击行为的告警、日志功能的同时,还对检出攻击做重置和阻断操作。系统默认情况下工作在IPS模式下。切换IPS工作模式,在全局配置模式下,ips mode {ips-logonly | ips}命令,或者访问WebUI页面“IPS全局配置”,在该页面配置<IPS模式>选项。
关于IPS功能的详细说明,请参考以下各节: