管理入侵預防

預設入侵預防設定可保護用戶端電腦免受各種威脅的侵害。您可以變更網路的預設設定。
如果您在伺服器上執行
Symantec Endpoint Protection
,則入侵預防可能會影響伺服器資源或回應時間。如需詳細資訊,請參閱:
Linux 用戶端不支援入侵預防。
管理入侵預防
工作
說明
了解入侵預防
瞭解入侵預防如何偵測和攔截網路及瀏覽器攻擊。
啟用入侵預防
為確保用戶端電腦安全,您應該讓入侵預防保持啟用狀態。
  • 網路入侵預防
  • 瀏覽器入侵預防 (僅限 Windows 電腦)
    您也可以將瀏覽器入侵預防架構為只記錄偵測但不攔截它們。您應該暫時使用此組態,因為它會降低用戶端的安全性設定檔。例如,只有當您對用戶端上遭攔截的流量進行疑難排解時,您才會架構只記錄模式。在檢閱攻擊日誌以識別及排除攔截流量的特徵之後,請停用只記錄模式。
在群組或用戶端上執行「
啟用網路威脅防護
」指令時,您也可以啟用這兩種類型的入侵預防以及防火牆。
建立例外以變更賽門鐵克網路入侵預防特徵的預設行為
您可能希望建立例外﹐以變更預設賽門鐵克網路入侵預防特徵的預設行為。根據預設﹐某些特徵會攔截流量﹐某些特徵會允許流量。
您無法變更瀏覽器入侵預防特徵的行為。
基於下列原因﹐您可能希望變更某些網路特徵的預設行為﹕
  • 減少用戶端電腦上的資源消耗。
    例如﹐您可能希望減少攔截流量的特徵數目。但是﹐請確定攻擊特徵不會造成任何威脅後,再排除攔截該特徵。
  • 允許賽門鐵克預設攔截的某些網路特徵。
    例如﹐當無害網路活動與攻擊特徵相符時﹐您可能希望建立例外以降低誤報。如果您確定網路活動是安全的﹐則可以建立例外。
  • 攔截賽門鐵克允許的某些特徵。
    例如﹐賽門鐵克包含點對點應用程式的特徵﹐並且預設允許通訊。您可以建立例外來攔截流量。
  • 使用稽核特徵來監控某些類型的流量 (僅限 Windows)
    稽核特徵對於某些流量類型 (例如來自即時訊息應用程式的流量) 的預設動作為「
    不記錄
    」。您可以建立例外以記錄流量,以便您可以檢視日誌並在您的網路中監控此流量。然後,可以使用該例外來攔截流量、建立防火牆規則來攔截流量,或是略過流量。
    您也可以針對流量建立應用程式規則。
您可以使用應用程式控制來防止使用者在其電腦上執行點對點應用程式。
如果您希望攔截傳送和接收點對點流量的通訊埠,請使用「防火牆」政策。
建立例外以略過用戶端電腦上的瀏覽器特徵
(僅限 Windows 用戶端)
您可以建立例外,在 Windows 電腦上將瀏覽器特徵排除在瀏覽器入侵預防範圍之外。
如果瀏覽器入侵預防會導致網路中的瀏覽器發生問題,不妨忽略瀏覽器特徵。
將特定電腦排除在網路入侵預防掃描範圍以外
您可能希望將某些電腦排除在網路入侵預防範圍以外。例如,內部網路某些電腦的用途可能設定為測試之用。您可能希望
Symantec Endpoint Protection
略過進出這些電腦的流量。
排除電腦時,還會將其排除在服務阻斷防護和防火牆提供的通訊埠掃描防護範圍以外。
架構入侵預防通知
依據預設﹐用戶端電腦會顯示有關入侵嘗試的訊息。您可以自訂這個訊息。
建立自訂入侵預防特徵 (僅限 Windows)
您可以撰寫自己的入侵預防特徵以識別特定威脅。撰寫自己的特徵時﹐您可以降低此特徵導致誤報的可能性。
例如,您可能希望使用自訂入侵預防特徵來攔截和記錄網站。
您必須安裝並啟用防火牆,才能使用自訂 IPS 特徵。
監控入侵預防
定期檢查網路中的用戶端電腦是否啟用了入侵預防。