配置入侵防护

默认情况下,入侵防护在计算机上运行。入侵防护会截取网络层中的数据。它使用特征扫描数据包或数据包流。通过查找与网络攻击或浏览器攻击相对应的模式,入侵防护可以单独扫描各个数据包。入侵防护是位于防火墙之后的用于保护客户端计算机的另一层防护。入侵防护有时称为入侵防护系统 (IPS)。
入侵防护和防火墙是网络威胁防护的一部分。网络威胁防护和内存漏洞利用缓解是网络和主机漏洞利用缓解的一部分。
要管理入侵防护,请执行以下操作:
  1. 确保已下载最新的 IPS 特征。
    默认情况下,会将最新特征下载到客户端。但您可能希望立即手动下载 IPS 特征。
  2. 保持入侵防护处于启用状态。
    您应保持入侵防护始终处于启用状态。
    Symantec Endpoint Protection
    将入侵尝试和事件记录在安全日志中。
    Symantec Endpoint Protection
    可能还将入侵事件记录在数据包日志中(如果管理员将其配置为这种设置)。
  3. 如果您认为检测纯属误报,请通知管理员。
    不要假定意外事件为误报。
管理员可能已将这些选项配置为不可用。
启用入侵防护
入侵防护包括两种类型:
  • 网络入侵防护
    网络入侵防护使用特征标识客户端计算机上的攻击。对于已知攻击,入侵防护将自动丢弃与特征匹配的数据包。
  • 浏览器入侵防护
    浏览器入侵防护监控 Internet Explorer 和 Firefox 上的攻击。所有其他浏览器均不支持浏览器入侵防护。有关浏览器入侵防护保护的浏览器的最新信息,请参阅:浏览器入侵防护支持的浏览器版本
您还可以启用或禁用客户端检测到网络攻击时的通知。
要启用入侵防护:
  1. 在客户端的边栏中,单击“
    更改设置
    ”。
  2. 在“
    网络和主机漏洞利用缓解
    ”旁边,单击“
    配置设置
    ”。
  3. 在“
    入侵防护
    ”选项卡上,确保选中以下选项:
    • 启用网络入侵防护
    • 启用浏览器入侵防护
      您也可以配置浏览器入侵防护以仅记录检测结果,但是不将其禁止。由于此配置降低了计算机的防护级别,此配置仅作临时使用。例如,您可以在对禁止的通信进行疑难解答时配置“仅记录”模式。在检查安全日志识别和排除禁止通信的特征后,您应禁用“仅记录”模式。
  4. (可选)若要启用入侵防护通知,请确保在“
    通知
    ”选项卡上选中“
    显示入侵防护和内存漏洞利用缓解通知
    ”。
  5. 单击“
    确定
    ”。