入侵是对计算机的直接攻击。 通常这种攻击会利用应用程序中的漏洞。 创建这些攻击的目的是损坏网络、获取敏感信息或用计算机来攻击其他网络。
Intrusion Prevention Service (IPS) 提供实时保护,可防止各种威胁(包括间谍软件、SQL 注入、跨站点脚本执行和缓冲区溢出)。 识别新攻击后,将记录入侵攻击的独有特征。 所记录的这些特点称为签名。 IPS 使用这些签名来识别入侵攻击。
默认情况下,启用并配置 IPS 时,IPS 配置全局应用至所有流量。 还可以选择基于每个策略禁用 IPS。
IPS 会基于威胁的严重性将 IPS 签名分为五个威胁级别。 从最高到最低的严重性级别如下:
启用 IPS 时,将丢弃默认设置并记录匹配“严重”、“高”、“中”或“低”威胁级别的流量。 默认情况下,将允许并且不记录符合信息威胁级别的流量。
要在 XTM 设备上启用 IPS,必须:
Internet 上经常会出现新的入侵威胁。 要确保 IPS 为提供最佳保护,必须经常更新签名。 可以配置 XTM 设备使其自动从 WatchGuard 更新签名,如配置 IPS 更新服务器中所述。
XTM 2 Series 型号使用 IPS 签名的标准集。 其他 XTM 设备型号使用扩展的签名集。
在“仪表板” > “订阅服务”页面中,可以查看有关当前 IPS 活动的统计信息并更新 IPS 签名。 有关详细信息,请参阅订阅服务状态和手动签名更新。