管理入侵防护

默认入侵防护设置可保护客户端计算机免受各种威胁的侵害。您可以更改网络的默认设置。
如果在服务器上运行
Symantec Endpoint Protection
,入侵防护可能会影响服务器资源或响应时间。有关详细信息,请参见:
Linux 客户端不支持入侵防护。
管理入侵防护
任务
说明
了解入侵防护
了解入侵防护如何检测和禁止网络及浏览器攻击。
启用入侵防护
为保护您的客户端计算机的安全,应保持入侵防护的启用状态:
  • 网络入侵防护
  • 浏览器入侵防护(仅限 Windows 计算机)
    您也可以配置浏览器入侵防护以仅记录检测结果,但是不将其禁止。由于此配置降低了客户端的安全级别,此配置仅作临时使用。例如,您可以仅在对客户端上的禁止通信进行故障排除时配置“仅记录”模式。在检查攻击日志识别和排除禁止通信的特征后,您应禁用“仅记录”模式。
在组或客户端中运行“
启用网络威胁防护
”命令时,还可以启用两种类型的入侵防护以及防火墙。
创建例外以便更改 Symantec 网络入侵防护特征的默认行为
您可能希望创建例外,以便更改默认 Symantec 网络入侵防护特征的默认行为。默认情况下,某些特征会禁止通信,而其他特征则允许通信。
您无法更改浏览器入侵防护特征的行为。
出于下列原因,您可能希望更改某些网络特征的默认行为:
  • 减少在您的客户端计算机上耗费的资源。
    例如,您可能希望减少禁止通信的特征数目。但是,在将攻击特征排除在禁止范围之外之前,请确保此特征不会造成任何威胁。
  • 允许 Symantec 在默认情况下禁止的某些网络特征。
    例如,当无害网络活动与攻击特征相符时,您可能希望创建例外以便降低误报。如果您确定网络活动安全,则可以创建例外。
  • 禁止 Symantec 允许的某些特征。
    例如,Symantec 包含对等应用程序的特征,并在默认情况下允许通信。您可以创建例外以便禁止通信。
  • 使用审核特征来监控某些类型的通信(仅限 Windows)
    对于某些通信类型(如即时消息应用程序通信),审核特征的默认操作为“
    不记录
    ”。您可以创建例外以记录通信,以便您可以查看日志并在您的网络中监控此通信。然后,您可以使用该例外来阻止通信、创建防火墙规则来阻止通信,也可以不对通信执行任何操作。
    您也可以为通信创建应用程序规则。
您可以使用应用程序控制防止用户在其计算机上运行对等应用程序。
如果您希望禁止收发对等通信的端口,请使用防火墙策略。
创建例外以便忽略客户端计算机上的浏览器特征
(仅限 Windows)
您可以创建例外,以便将浏览器特征排除在 Windows 计算机上的浏览器入侵防护范围之外。
如果浏览器入侵防护导致网络中的浏览器出现问题,您可能希望忽略浏览器特征。
将特定计算机排除在网络入侵防护扫描范围之外
您可能希望将某些计算机排除在网络入侵防护范围以外。例如,内部网络中的某些计算机可能设置为测试之用。您可能希望
Symantec Endpoint Protection
忽略进出这些计算机的通信。
排除计算机时,您还可以将其排除在防火墙提供的拒绝服务防护和端口扫描防护范围以外。
配置入侵防护通知
默认情况下,客户端计算机上将显示针对入侵尝试的消息。您可以自定义此消息。
创建自定义入侵防护特征(仅限 Windows)
您可以编写自己的入侵防护特征以便标识特定威胁。编写自己的特征时,您可以降低此特征导致误报的可能性。
例如,您可能希望使用自定义入侵防护特征来禁止和记录网站。
您必须安装并启用防火墙,才能使用自定义 IPS 特征。
监控入侵防护
定期检查网络中的客户端计算机上是否启用了入侵防护。