入侵防御设置

入侵防御模块可保护计算机免遭已知和零时差漏洞攻击、SQL 注入攻击、跨站点脚本攻击和其他 Web 应用程序漏洞利用。它可屏蔽漏洞，直至代码修复完成。它可识别访问网络的恶意软件，并增加对访问网络的应用程序的可见性，或者增加对其的控制。

CPU 使用率和 RAM 率因 IPS 配置而异。要在趋势科技服务器深度安全防护系统客户端上优化 IPS 性能，请参阅 IPS 的性能提示。

计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。的“入侵防御”部分包含以下选项卡式部分：

常规
高级
事件

常规

入侵防御

可以将此策略或计算机配置为从其父策略继承入侵防御打开或关闭状态，也可以本地锁定设置。

将入侵防御行为设置为“阻止”或“检测”。

如果是首次应用一组新的入侵防御规则，则可以选择将入侵防御行为设置为“检测”。在检测模式下，入侵防御引擎会将所有相同的入侵防御规则应用到通信，而不会丢弃数据包，它将只记录事件并允许该通信通过。使用此行为以确保新入侵防御规则不会干扰合法通信。

仅在网络引擎采用桥接模式下运行时才应用此设置，也就是说，实时通信通过趋势科技服务器深度安全防护系统网络引擎进行流处理。桥接模式的备用选择是分接模式，实时通信在该模式下被克隆，而且网络引擎仅分析该克隆的通信。在分接模式下，由于网络引擎并不控制实时通信流，因此无法使用阻止模式。

要在桥接模式和分接模式之间切换，请打开计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。并转至设置 > 高级 > 网络引擎模式。

已分配的入侵防御规则

显示对此策略或计算机生效的入侵防御规则。要添加或移除入侵防御规则，请单击分配/取消分配。此时将出现一个窗口，显示可从中选择或取消选择规则的所有可用入侵防御规则。

在计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。窗口中，您可以编辑入侵防御规则以便所做更改仅在本地应用到编辑器的上下文，也可以编辑规则以便所做更改全局应用到正在使用该规则的所有其他策略和计算机。

要对规则进行本地编辑，请选择“规则”并单击属性，或右键单击“规则”并单击属性。

要对规则进行全局编辑，请右键单击该规则并单击属性 (全局)。

建议

趋势科技服务器深度安全防护系统可以执行定期“漏洞扫描 (推荐设置)”，“漏洞扫描 (推荐设置)”会扫描计算机，并对各种安全规则的应用提供建议。选择该复选框将会将建议的规则自动分配给计算机，并自动取消分配不需要的规则。

如果选择此选项，还应该选择允许趋势科技服务器深度安全防护系统规则更新自动分配新的入侵防御规则。转至管理 > 系统设置 > 更新，然后选择规则更新区域中的自动将新规则更新应用到策略。

要预设定期“漏洞扫描 (推荐设置)”，请在趋势科技服务器深度安全防护系统管理中心中转至管理 > 预设任务，然后创建新的预设任务。

高级

事件数据

允许入侵防御规则捕获每个规则第一次命中的数据 (以期间为单位)：确定趋势科技服务器深度安全防护系统是否将保存触发入侵防御规则的数据包数据。此设置与高级计算机和策略编辑器设置（可在计算机或策略编辑器可以更改策略或特定计算机的这些设置。要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。 > 设置 > 高级 > 高级网络引擎设置中找到）配合工作。

记录所有数据包数据：记录与特定防火墙规则或入侵防御规则无关的事件的数据包数据。也就是说，记录诸如“丢弃的重新传送量”或“ACK 无效”等事件的数据包数据。
由于事件发生折叠而聚合的事件无法保存其数据包数据。
在期间内仅记录一个数据包：如果已启用此选项且未启用记录所有数据包数据，则大多数日志将仅包含标头数据。将定期附加完整数据包，如在期间内仅记录一个数据包的期间设置所指定。
在期间内仅记录一个数据包的期间：启用在期间内仅记录一个数据包后，此设置会指定日志包含完整数据包数据的频率。
捕获数据包数据时存储的最大数据大小：要添加到日志的标头数据或数据包数据的最大大小。

规则更新

按照已更新的应用程序类型和入侵防御规则关联的要求自动分配新的入侵防御规则：安全更新有时包括新的或已更新的应用程序类型和入侵防御规则（需要分配辅助入侵防御规则）。如果在安全更新期间向策略或计算机分配的应用程序类型或入侵防御规则需要这些规则，此设置将允许趋势科技服务器深度安全防护系统自动分配这些规则。

SSL 配置（仅限计算机编辑器）

趋势科技服务器深度安全防护系统管理中心支持 SSL 流量的入侵防御分析。“SSL 配置”页面允许您为一个或多个接口上的指定凭证-端口对创建 SSL 配置。证书可以使用 P12 或 PEM 格式导入，Windows 计算机可以选择直接使用 Windows CryptoAPI。

要创建新的 SSL 配置，请单击新建并遵循 SSL 配置向导中的步骤。

如果在托管趋势科技服务器深度安全防护系统管理中心的计算机上安装要配置的计算机，该向导将允许您使用趋势科技服务器深度安全防护系统管理中心中已存储的凭证。

双击现有配置以显示其属性窗口。

分配

常规信息：SSL 配置的名称和描述，以及在此计算机上是否已启用。
接口分配：要应用此配置的接口。
IP 分配：应用此配置的一个或多个 IP。
端口选择：应用此配置的端口。

凭证

凭证选项卡中列出了当前凭证，并提供了分配新的凭证按钮，可用于更改这些凭证。

只有趋势科技服务器深度安全防护系统客户端支持过滤 SSL 流量，趋势科技服务器深度安全防护系统设备不支持。客户端不支持过滤实行 SSL 压缩的 SSL 连接。

有关设置 SSL 过滤的信息，请参阅检查 SSL 流量。

NSX 安全标记

不适用于趋势科技服务器深度安全防护系统即服务

一旦检测到恶意威胁，趋势科技服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM。NSX 安全标记可与 NSX Service Composer 一起使用，以自动执行某些任务，例如隔离受感染的 VM。有关 NSX 安全标记和动态 NSX 安全组分配的更多信息，请查看您的 VMware NSX 文档。

NSX 安全标记是 VMware vSphere NSX 环境的一部分，并且不能与趋势科技服务器深度安全防护系统事件标记混淆。有关趋势科技服务器深度安全防护系统事件标记的更多信息，请参阅应用标记来标识和分组事件。

入侵防御事件具有一个严重性级别，由造成该事件的入侵防御规则的严重性级别确定。

可以在规则属性 > 常规选项卡上配置入侵防御规则的严重性级别。

入侵防御规则严重性级别与 NSX 标记的映射关系如下所示：

IPS 规则严重性	NSX 安全标记
严重	IDS_IPS.threat=high
高	IDS_IPS.threat=high
中	IDS_IPS.threat=medium
低	IDS_IPS.threat=low

您可以指定将造成 NSX 安全标记应用到 VM 中的入侵防御规则的最低严重性级别，从而配置标记机制的敏感度。

触发应用 NSX 安全标记的最低规则严重性设置的选项如下：

缺省 (无标记)：未应用任何 NSX 标记。
严重:如果触发了严重性级别为严重的入侵防御规则，NSX 标记将应用于 VM。
高：如果触发了严重性级别为高或严重的入侵防御规则，NSX 标记将应用于 VM。
中：如果触发了严重性级别为中、高或严重的入侵防御规则，NSX 标记将应用于 VM。
低:如果触发了严重性级别为低、中、高或严重的入侵防御规则，NSX 标记将应用于 VM。

为在阻止模式下运行的规则和在仅检测模式下运行的规则提供独立设置。

IPS 规则是在阻止模式还是在仅检测模式下运行，不仅取决于入侵防御模块设置（计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。 > 入侵防御 > 常规选项卡），还取决于单个规则本身的配置（规则属性 > 常规选项卡 > 详细信息）。

事件

除了只显示与此策略或特定计算机相关的事件外，日志审查事件的显示方式与它们在趋势科技服务器深度安全防护系统管理中心主窗口中的显示方式相同。