防火墙设置

防火墙模块提供双向状态防火墙保护。它可阻止拒绝服务攻击,涵盖所有基于 IP 的协议和帧类型,并且过滤端口以及 IP 和 MAC 地址。

计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。的“防火墙”部分包含以下选项卡式部分:

本文介绍了与趋势科技服务器深度安全防护系统即服务并不提供的趋势科技服务器深度安全防护系统虚拟设备有关的参考资料。

常规

防火墙

可以将此策略或计算机配置为从其父策略继承防火墙打开/关闭状态,也可以本地锁定设置。

防火墙状态配置

选择要应用于此策略的防火墙状态配置。如果您已为此策略定义了多个接口(如上所示),则可以为每个接口指定独立的配置。

端口扫描(仅限计算机编辑器)

不适用于趋势科技服务器深度安全防护系统即服务

上次端口扫描:趋势科技服务器深度安全防护系统管理中心上次在此计算机上运行端口扫描的时间。

扫描的端口:在最近一次端口扫描期间扫描的端口。

打开的端口:本地计算机的 IP 地址下将列出已发现处于打开状态的端口的列表。

扫描打开的端口取消端口扫描按钮使您能够在此计算机上启动或取消端口扫描。趋势科技服务器深度安全防护系统管理中心将扫描计算机或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。 > 设置 > 常规 > 打开的端口 > 要扫描的端口中定义的端口范围。

不论将趋势科技服务器深度安全防护系统管理中心配置为扫描哪些端口,它始终都会扫描客户端或设备上用来侦听来自管理中心的波动信号连接的侦听端口号

已分配防火墙规则

显示对此策略或计算机生效的防火墙规则。要添加或移除防火墙规则,请单击分配/取消分配。此时将出现一个窗口,显示可从中选择或取消选择规则中的所有可用防火墙规则。

计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。窗口中,您可以编辑防火墙规则以便所做更改仅在本地应用到编辑器的上下文,也可以编辑规则以便所做更改全局应用到正在使用该规则的所有其他策略和计算机。

要对规则进行本地编辑,请选择该规则并单击属性 (),或者右键单击该规则并单击属性

要对规则进行全局编辑,请右键单击该规则并单击属性 (全局)

接口隔离

接口隔离

可以将此策略或计算机配置为从其父策略继承接口隔离启用或禁用状态,也可以本地锁定设置。

启用接口隔离之前,请确保您已按照正确顺序配置了接口特征码并已移除或添加了所有相关的字符串特征码。只有与最高优先级特征码相匹配的接口才会允许传输网络通信。其他接口(与列表上剩余的任一特征码相匹配)都将“受限”。除非使用“允许”防火墙规则允许特定流量通过,否则受限接口将阻止所有流量。

接口特征码

启用接口隔离后,防火墙会尝试将正则表达式特征码与本地计算机上的接口名称进行匹配。

趋势科技服务器深度安全防护系统使用 POSIX 基本正则表达式来匹配接口名称。有关基本 POSIX 正则表达式的信息,请访问
http://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap09.html#tag_09_03

只有与最高优先级特征码相匹配的接口才会允许传输网络通信。其他接口(与列表上剩余的任一特征码相匹配)都将“受限”。除非使用允许防火墙规则允许特定的通信通过,否则受限接口将阻止所有通信。

选择限制为一个活动接口将限制仅流向单个接口(即使多个接口与最高优先级特征码相匹配)的网络通信。

侦察

侦察扫描

侦察页面允许您在计算机上启用和配置流量分析设置。此功能可以检测攻击者通常在开始针对性攻击前用来发现攻击对象弱点的疑似侦察扫描。

  • 已启用侦察扫描检测:打开或关闭检测侦察扫描功能。
  • 要对其执行检测的计算机/网络:从列表中选择要保护的 IP。从现有的 IP 列表中选择。(为此,您可以使用策略 > 通用对象 > 列表 > IP 列表页面来专门创建 IP 列表。)
  • 不检测来自以下位置的流量:从一组 IP 列表中选择要忽略的计算机和网络。(同上,您可以为此使用策略 > 通用对象 > 列表 > IP 列表页面来专门创建 IP 列表。)

对于每一种攻击,可指示客户端或设备趋势科技服务器深度安全防护系统客户端和趋势科技服务器深度安全防护系统虚拟设备是强制执行用户定义的趋势科技服务器深度安全防护系统策略的组件。 客户端直接部署在计算机上。 设备用于在 VMware vSphere 环境中提供无客户端防护。设备不适用于趋势科技服务器深度安全防护系统即服务。将信息发送给趋势科技服务器深度安全防护系统管理中心,这里将会触发警报。您可以将管理中心配置为在触发警报时发送电子邮件通知。(请参阅管理 > 系统设置 > 警报。警报包括:“检测到网络或端口扫描”、“检测到计算机操作系统指纹探测”、“检测到 TCP Null 扫描”、“检测到 TCP FIN 扫描”和“检测到 TCP Xmas 扫描”。)请对此选项选择立即通知 DSM

要使“立即通知 DSM”选项发挥作用,必须将客户端和设备配置为执行客户端或设备启动的通信或双向通信(在计算机或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。 > 设置 > 常规中设置)。启用后,一旦检测到攻击或探测,客户端或设备会立即对趋势科技服务器深度安全防护系统管理中心启动波动信号。

检测到攻击后,您可以指示客户端和设备阻止来自源 IP 的流量一段时间。使用阻止流量列表可设置分钟数。

  • 计算机操作系统指纹探测:客户端或设备检测到查找计算机操作系统的尝试。
  • 网络或端口扫描:如果客户端或设备检测到有远程 IP 以异常的 IP-端口比访问系统,客户端或设备会报告网络或端口扫描。客户端或设备计算机通常只会看到流向自身的网络通信,因此,端口扫描是最常检测到的探测类型。计算机或端口扫描检测使用的统计分析方法源自在 2006 年的 IPCCC 上汇报的“骨干网上的无连接端口扫描检测”论文中提出的“TAPS”算法。
  • TCP Null 扫描:客户端或设备会检测未设置标志的数据包。
  • TCP SYNFIN 扫描:客户端或设备会检测只设置了 SYN 和 FIN 标志的数据包。
  • TCP Xmas 扫描:客户端或设备会检测只设置了 FIN、URG 和 PSH 标志或只具有 0xFF 值(设置了每个可能的标志)的数据包。
“网络或端口扫描”与其他类型的侦察不同,因为它无法通过单个数据包加以识别,并且需要趋势科技服务器深度安全防护系统对流量进行一段时间的监测。
如果客户端或设备检测到有远程 IP 以异常的 IP-端口比访问系统,客户端或设备会报告“计算机或端口扫描”。客户端或设备计算机通常只会看到流向自身的网络通信,因此,端口扫描是最常检测到的探测类型。但是,如果计算机充当路由器或网桥,则可以看到其他许多计算机的网络通信,所以客户端或设备可以检测到计算机扫描(例如,在整个子网络中扫描已打开端口 80 的计算机)。
检测这些扫描可能需要几秒的时间,因为客户端或设备需要能够跟踪不成功的连接,并能够在比较短的时间内判断来自单台计算机的不成功连接数有异常。
在装有浏览器应用程序的 Windows 计算机上运行的趋势科技服务器深度安全防护系统客户端由于从已关闭的连接中接收了剩余的网络通信,有时会误报侦察扫描。

有关如何处理侦察警告的信息,请参阅警告:检测到侦察

高级

事件

设置是否生成“不允许的策略”的数据包的事件。这些数据包由于未得到允许防火墙规则的明确允许而受到阻止。将此选项设置为可能会生成大量事件,具体取决于生效的防火墙规则。

事件

除了只显示与此策略或特定计算机相关的事件外,防火墙事件的显示方式与它们在趋势科技服务器深度安全防护系统管理中心主窗口中的显示方式相同。