Loading...

知识中心


Network Security Platform 的常见问题
技术文章 ID:   KB75269
上次修改时间:  2017/08/3
已评级:


环境

McAfee Network Security Platform (NSP) 8.x

摘要

目录
常规 产品信息和其他主题
兼容性 与其他产品和软件之间的交互
安装/升级 有关安装、升级、迁移和删除的信息
配置 包括最佳做法、优化、配置和自定义
功能 产品特性和功能
共享的密钥 有关共享密钥和 SSL(包括 SSL 密钥续订)的常见问题
NSP 和 GTI 有关 NSP 和 Global Threat Intelligence (GTI) 功能与交互的常见问题
攻击覆盖范围 有关特定攻击的覆盖范围的信息
NSP 和 NAC 有关 NSP 和 Network Access Control (NAC) 搭配工作的问题及解答
异构特征码集 有关异构特征码集的信息
Sensor 无中断重新启动 该功能可减少 Sensor 通电周期的不良影响
高级恶意软件检测 有关高级恶意软件检测的问题
Network Security Platform 8.3 有关 NSP 8.3 中添加的功能的问题


常规

Sensor 和 Manager 多久交换一次信息来确认 Sensor 处于运行状态?
轮询间隔通常是每隔两分钟;但是,当 EMS 检测到故障时,轮询间隔将减少至每隔 30 秒。这样做是为了避免数据包丢失等问题导致故障警报。如果 10 分钟后仍然无法访问 Sensor,轮询频率将恢复为正常值,即每隔两分钟。

 
这种轮询会造成多大的数据传输量?
轮询是通过 SNMP UDP 数据包执行的,将轮询四个 MIB 变量。整个 SNMP 应用程序请求负载大约为 100 字节。

 
可能在多久之后,Manager 会在系统状况中将 Sensor 标记为已断开连接?
由于初始轮询每隔两分钟执行一次,而正常的超时为 60 秒,因此,最好的情况是能在 60 秒内识别出故障,而最长可能需要 180 秒 (120 + 60) 才能识别出故障。


失效打开套件是否会执行 Auto-MDIX?
否。这是安装在 Sensor 上的 McAfee SFP 的 Auto-MDIX 的功能。


铜线失效打开套件与光学旁路单一模式 (SM) 和多模式 (MM) 失效打开套件的工作方式是否相同?
失效打开套件(光纤旁路开关)不会跨越 TX/RX 对。请参阅 Sensor/Sensor 软件版本适用的《Gigabit Optical Fail-Open Bypass Kit Quick Guide》(Gigabit Optical Fail-Open Bypass Kit 快速入门手册)。该指南中包含有关正确安装的图表,以及有关安装和连接的其他详细信息。

 
将 10/100/1000 铜线主动失效打开 (AFO) 旁路套件模式从串联更改为 TAP 模式后,AFO 将经历通电周期。重新启动后,TAP 模式已禁用。为什么?
AFO 的行为方式与设计一致。 TAP 模式设置不会保存到 AFO。对 AFO 执行通电周期时,默认设置(TAP 模式关闭)将会还原。这是由设计决定的。


“ARP: MAC 地址触发器”警报只在 CIDR 接口级别显示;为何此警报不显示子接口名称?
只会针对 IPv4 数据包 (PTYPE = 0x800) 执行基于 CIDR 的子接口支持查找。由于 ARP 不属于此类别,只会为 ARP 数据包记录基于端口和 VLAN 级别的接口分类。这是预期的行为。


Sensor 日志文件为何加密?
Sensor 日志文件主要用于记录技术支持和开发团队所需的信息,方便他们在必要的情况下进行故障排除。由于这些文件的主要受众在 McAfee 内部,这些文件有时可能包含本质是供内部使用或专属的详细信息。因此,必须将这些文件加密。NSP 确实提供所有关键事件,您需要使用 Sensor CLI 命令了解这些事件。McAfee 欢迎提交 PER 获取所需的但目前尚未提供的任何信息。然后,这些请求将整合到后续的 NSP 维护版本中。


在时间同步期间,NSP 是否会补偿网络延迟?
不会。在时间同步期间,NSP 不会补偿地址网络延迟问题。

如果 Sensor 与 Manager 之间存在 100 毫秒的网络延迟,则 Sensor 时间将比 Manager 上的实际时间慢 100 毫秒。Sensor 上的内部时钟可从 Manager 获取其时间设置,使 Sensor 与 Manager 保持同步。如果 Sensor 与 Manager 之间断开连接,该内部时钟会定期更新 Sensor 上的时间。Sensor 与 Manager 之间的时间延迟是特定 Sensor 与 Manager 之间的网络滞后延迟。Manager 与部署的其他 Sensor 之间可能存在或长或短的延迟。

Sensor 上没有电池后备时钟,因此会将时间写入其自身的闪存。如果发生断电,则当 Sensor 重新启动并恢复联机时,Sensor 可能无法立即连接到其关联的 Manager。在这种情况下,Sensor 将使用它最近保存在闪存中的时间。Sensor 只会从闪存中检索此时间;否则,保存在闪存中的时间没有任何作用。


Sensor 如何处理已隔离的主机的流量?
在提供补救功能的访问权限时,IPS 隔离功能可让 Sensor 隔离不合规的主机。在启用 IPS 隔离的情况下,如果在 Sensor 串联监视端口上检测到攻击,则仅当主机未列在 NAC 排除项列表中时,Sensor 才会针对主机的来源 IP 地址创建隔离规则。Sensor 永远不会阻止 NAC 排除项列表中的主机所发出的流量。如果主机未列在 NAC 排除项列表中,则在指定的时间范围内,它将一直位于隔离表中。

Sensor 会根据隔离表检查通过端口的所有流量,并阻止从隔离主机发出的所有数据包。这可以防止不合规的主机损害网络中的其他系统。您可以使用主机被隔离时允许访问的特定 IP 地址来配置 IPS 网络访问区域(例如,补救门户或 DNS 服务器)。这样,隔离的主机便可以访问补救材料,且不会降低网络的整体安全性。可以通过匹配 NAC 策略或者匹配已启用隔离响应选项的特征码,将主机添加到隔离表。


如果 NSM 上安装了两个已在 Manager Disaster Recovery (MDR) 中进行过配置的 Manager,则必须同时在这两个 Manager 中更新 Sensor 警报数据。Sensor 如何与 NSM 通信以更新警报信息?
Sensor 会尝试将警报发送到 MDR 配置中的两个 NSM。如果将警报成功发送到了其中一个 NSM,则您可以从 Sensor 缓冲区中删除警报。如果 Sensor 无法将警报发送到任一 NSM,该警报将保存在 Sensor 缓冲区中。两个 Manager 在下次通信时,会相互同步其数据库,以更新其中一个 Manager 上可能未收到的所有警报。每条警报标有独特的属性,以帮助在 Manager 之间进行同步。


NSP 中的 IPS 隔离与访问控制列表 (ACL) 功能有什么差别?

  • IPS 隔离规则的处理独立于 ACL 规则,并且在 ACL 规则之前评估。
  • IPS 隔离规则会丢弃来源 IP 发来的所有流量,而 ACL 规则可能对丢弃的流量类型有更具体的要求。
  • IPS 隔离规则是动态创建的。创建策略时,必须显式添加 ACL 规则。
  • 在经过预定义的时间后,可以动态删除 IPS 隔离规则。必须通过策略更新显式删除 ACL 规则。


Threat Analyzer 中如何显示僵尸网络攻击?
遇到流量时,系统会根据僵尸网络 DAT 文件查找地址,以确定 IP 或域名是否为已知的僵尸网络地址。

如果数据匹配,则会触发警报,并将命令和控件 (C&C) IP 或域标记为攻击方。 攻击方地址将被放入 Threat Analyzer 中的来源 IP 列。 正在连接到 C&C 地址的主机地址将被标记为受攻击方。 受攻击方地址将显示在 Threat Analyzer 的目标 IP 列中。

流量方向根据连接发起方确定,指示发起流量是入站还是出站的。


为何会在未进行配置更新的情况下立即启用 Manager 操作设置?
当系统管理员在策略编辑器中更改 Manager 的任何操作设置(例如“自动确认”、“SNMP”和“Syslog”)时,需要进行配置更新。但是,这些设置会在未进行配置更新的情况下立即启用。该行为与设计一致。当前的 NSP 设计会根据策略的粒度级跟踪配置更改,对策略进行任何更改都表明需要为 Sensor 推送特征码文件。为了改善 Sensor 的特征码文件更新,开发人员为 NSP 付出了大量努力,并引入了缓存和增量更新。当前的计划是专注于改善特征码文件的推送效率,而不是以更高的粒度级跟踪策略更改。

立即启用的项目 攻击严重性*、通知、电子邮件、脚本、自动确认、寻呼机、SNMP、Syslog
配置更新所需的项目 攻击严重性*、Sensor 操作、日志记录

*“攻击严重性”更改由 Manager 和 Sensor 同时使用。Manager 部分(例如 Threat Analyzer 中显示的严重性更改)会立即生效。Sensor 部分(例如 NAC)需要更新 Sensor。


Real Time Threat Analyzer (RTTA) 中为何不显示“低”严重性和“信息”警报?
这是由设计决定的。 使用 Historical Threat Analyzer 可查看“低”严重性和“信息”警报。 


我可以在策略编辑器中配置要阻止的攻击,但为何即使取消选择了攻击对应的“向 Manager 发送警报”选项,Sensor 仍会向 Manager 发送警报?
这是由设计决定的。 由于攻击被阻止,因此无论向 Manager 发送警报设置为何,Sensor 都会发送警报,让管理员知道是哪个 Sensor 阻止了攻击。


在 RTTA 中,“入站/出站 UDP 数据包量过高”警报详细信息屏幕的“DoS 分析”部分显示“DoS IP 范围”和“前 3 个攻击 IP 范围”。但此部分为何有时空白,而不显示“IP 范围”信息。
这是由设计决定的。当 Sensor 检测到攻击时,会立即启动 IP 地址收集。 但是,如果攻击随后立即停止,则 Sensor 不会获取任何 IP 地址信息,此时会引发警报但不报告 IP 地址。


NSP Sensor 或其他硬件的默认设置是什么?
硬件 波特率 数据 奇偶校验 停止 流控制 默认用户 默认密码 SSH 端口
I 系列 9600 8 1 admin admin123 22
M 系列 38400 8 1 admin admin123 22
N 系列 38400 8 1 admin admin123 22
NS 系列 115200 8 1 admin admin123 22
NTBA 9600 8 1 admin admin123 22
XC240 115200 8 1 admin admin123 22
AFO 套件 19200 8 1 McAfee McAfee  


当网络上出现 MPLS 流量时,SYN Cookie 为何不起作用?
MPLS 流量无法支持 SYN Cookie,因为当 Sensor 代理响应 SYN 数据包时,NSP 不知道要反向使用哪个 MPLS 标记。

 
如果 Sensor 上的一个端口采用 SPAN 配置,可以检测到 MPLS 流量,而另一个端口采用串联配置,检测不到 MPLS 流量,则在这种 Sensor 上启用 SYN Cookie 时,该 Sensor 是否会阻止可能的 SYN 泛滥?
是。 

 
如果在流量中使用 VLAN 标记,是否可以使用 SYN Cookie?例如,如果所有流量包含 VLAN 标记,并且 Sensor 只能检测到来自一个 VLAN 的流量,但无法接收来自其他任何 VLAN 的流量,SYN Cookie 是否仍会起作用,或者说,是否串联流量中完全没有 VLAN 标记才能使 SYN Cookie 发生作用?
SYN Cookie 对带有 VLAN 标记的流量起作用。即使是对于带有 VLAN 标记和不带有 VLAN 标记的混合流量,它也会起作用。 


如果将 Sensor 接口配置为“串联”,当流量通过 Sensor 时,端口之间是否存在任何串扰?
不会。Sensor 不会执行任何流量交换或路由。分组成一个接口对(1A/1B、2A/2B 等)的两个接口以固定的方式相互绑定。一个接口(例如 1A)上的传入流量只能在该对的匹配接口(例如 1B)上离开 Sensor。这是 Sensor 软件中的一个基本设计要素。由于 Sensor 不会做出任何路由或交换决策,因此,Sensor 不支持将数据包转发到设备上的其他任何接口。


任意给定实例上的所有实时流量(入口和出口)的总和是否可能超出给定 Sensor 上的检查能力(例如,NS9100 为 10Gbps IPS 性能)?
不会。检查能力在 Sensor 的所有端口之间是通用/共享的。  正是由这些检查能力确定 Sensor 的额定容量。


如何将 Sensor 的 DOS 检测强制/更改为学习模式?
依次选择拒绝服务数据管理重建 DoS 配置文件(从头开始学习)。


“侦测关联攻击”与“侦测特征码攻击”之间有什么区别?这两种侦测攻击是否都包含在“默认的侦测策略”中?
这取决于所用的 NSP/NSM 版本。 IPS 策略包含基于特征码的攻击,而侦测策略包含基于关联的攻击。 
为了在 IPS 策略编辑器中区分两者,McAfee 为每种策略引入了特定的攻击类别(“侦测关联攻击”和“侦测特征码攻击”)。


NS7x00 Sensor 的最大功耗为 250W;为何随附了额定功率为 650W 的 PSU?
McAfee 出于 NS7x00 系列装置的外形规格要求使用了这款 650W 的 PSU。


手动隔离主机的 Web 浏览器不显示隔离消息或建议,也不提供到补救门户的重定向。这是为什么?
当您将某个 Sensor 配置为在隔离的客户端上显示浏览器消息或者将此客户端重定向到补救门户时,只会针对该 Sensor 自动隔离的主机实施此配置。这是由设计决定的。当用户通过 Threat Analyzer 手动隔离某个主机时,系统既不会提供浏览器消息,也不会提供补救门户,执行的唯一操作就是将该主机放入相应的隔离区域。

返回目录

 

兼容性

M 系列 Sensor 支持哪些 XFP?
M 系列 Sensor 仅支持以下 XFP:

  • IAC-1550-CG1(大范围单模式 1550nm XFP)
  • IAC-1310-CG1(远距离单模式 1310nm XFP)
  • IAC-X850-CG1(短距离多模式 850nm XFP)

重要说明:不支持第三方 XFP。


是否需要使用失效关闭硬件保护装置来配置采用失效关闭或 SPAN 模式的 M-1250 和 M-1450 Sensor 上的监视端口?
不需要。与 I 系列 Sensor 不同,您不需要在 M-1250 和 M-1450 Sensor 中插入失效关闭硬件保护装置,即使其采用失效关闭或 SPAN 模式。硬件保护装置功能现已整合到监视端口自身中。


为何无法从非英语版移动设备访问 NSM?
如果您从非英语版移动设备访问 NSM,NSM 将无法正常工作,因为只有语言设置为英语的设备才受支持。要访问 Manager,请将操作系统语言设置更改为“英语”。


NSM 支持哪个版本的 Nessus?
使用 Nessus 4 和 Nessus 5.x 扫描程序生成的 Nessus 报告可成功导入 NSM。如果生成的报告包含完全限定域名 (FQDN) 或 NetBIOS 名称形式的主机 IP,则 NSM 无法解析报告中的目标主机 IP,并且无法将这些主机的漏洞导入 Manager 数据库。采用 .nessus 格式且包含有效点分隔式主机 IP 地址的 Nessus 4 或 Nessus 5.x 报告可成功导入 Manager 数据库。


对流量进行 PPPoE 封装后,为何 Sensor 检测不到任何攻击?
支持 PPPoE。Sensor 会转发所有经过 PPPoE 封装的数据包,但不会对其进行任何检测。 


将 NSM 配置为在所有设备上自动部署下载的特征码集后,自动部署可在 NSP Sensor 上正常进行,但无法在 Network Threat Behavior Analysis (NTBA) Sensor 上进行。为什么?
NSM 8.1 及更高版本才支持 NTBA 上的自动部署。若要实现自动部署,请升级到 NSM 8.1.3.6 或更高版本。


M 系列 Sensor 是否支持 GTP 解析?
不支持。只有 NS 系列 Sensor 才支持 GTP 解析。

 
NSP 是否可以使用此协议检查经过 GRE 封装的流量检测攻击?
NSP 可以检查经过 GRE 封装的流量和检测攻击。但是,必须启用此功能,因为默认的 Sensor 配置是不检查通过 GRE 隧道传输的流量。

 
NSP 是否支持扫描新的 HTTP/2 协议 (HTTP 2.0)?
NSP 目前不支持 HTTP/2;但是,我们已计划在将来的 NSP 版本中支持此协议。


如果网络交换机支持 AutoMDI/MDI-X,Sensor 是否可以使用 AutoMDI/MDI-X 在交换机与 Sensor 之间建立链接?
可以,但是,如果在 Sensor 端口上禁用了自动协商,则 AutoMDI/MDI-X 不会正常工作。  使用 AutoMDI/MDI-X 在交换机与 Sensor 之间设置链接之前必须在 Sensor 端口上启用自动协商。

返回目录

 

安装/升级

是否可以通过装置 RMM 软件执行 NSM 装置软件的安装?
不能。不支持通过装置 RMM 软件使用 NSM 装置安装 DVD。尝试通过装置随附的 Intel RMM 软件使用 NSM 装置安装 DVD 时,可能会发生意外且不利的结果。必须通过在服务器位置直接插入服务器的键盘和鼠标来访问安装媒体接口。

是否可以在单个安装中聚合或合并多个 NSM 许可证?例如,如果我持有标准许可证,是否可以购买一个入门包来配置 8 个托管设备?
不可以,因为 NSM 许可证不可累积。要从单个 NSM 管理 6 个以上的 Sensor,必须购买一个“全局 NSM”许可证。


升级 Manager 后,出现了 Sensor 更新过程,而我并没有对此过程采取手动措施。运行 downloadstatus 命令时,Sensor 未显示任何活动的下载,并且 Manager 上出现了最新的特征码集。如果我重新启动 Manager,更新过程会在一段时间后重新启动,Ems.log 中未显示任何明确的推送事件,并且 Sudit 日志未显示用户向 Sensor 推送已更新配置的活动。为何出现此更新过程?
升级 Manager 后,NSM 会编译最新的特征码集并将其自动推送到 Sensor。

注意:如果 Sensor 中已包含最新的特征码集,则此项更新将会失败。
 
返回目录



配置

是否可对处于 SPAN 模式的监视端口运行 Sensor 故障转移配对?
不可以。仅当监视端口已置于串联模式时,才能创建故障转移对。创建该对后,将无法更改或修改端口模式。


在 NSM 中无法删除哪些默认的基于身份的访问控制策略?
无法删除以下策略,但可以编辑其设置,以指定在授予网络访问权限时是否要考虑系统状况,以及要授予的实际访问级别:

  • 默认
  • 来宾用户
  • 自我注册

是否可以创建忽略规则但不添加任何攻击名称?
不可以。忽略规则必须包含攻击名称,否则 Sensor 无法识别此类警报过滤器。 


如何从检查项中排除特定的 IP 地址?
添加一个防火墙规则并将操作设置为无状态忽略。这样就会转发所有与该规则匹配的数据包,但不执行任何检查(FW 规则查找/匹配除外)。


是否可以使用 NSP Sensor 实现主动-主动高可用性?
Sensor 始终具备主动-主动高可用性;Sensor 的使用模式是主动-被动(阻止一条网络路径)还是主动-主动由对等网络设备确定。


如何阻止 TOR 和 TOR 变体?
McAfee 建议使用防火墙策略来创建访问规则,用于定义要阻止、允许或不检查的层面/对象。 您可以创建自己的应用程序组,并在其中包含这些应用程序以及您不想允许的任何 OTHER P2P 应用程序。

使用该应用程序组并结合来源/目标设置可阻止大部分 TOR 连接和变体。


我创建了忽略规则以忽略侦测攻击(通过漏洞扫描程序扫描),并在其中将内部网络指定为来源(攻击方),将“任何”指定为目标;但是,RTTA 中仍然出现了警报。为什么?
使用忽略规则是解决漏洞扫描程序的错误方法。 



功能

NSP UDS 编辑器是否支持 NOT 运算?
不支持。UDS 编辑器不支持 NOT 运算。Sensor 模式匹配加速硬件必须针对所有字符串执行字符串匹配,但随 NOT 表达式一起指定的字符串除外。
McAfee 建议不要执行此类搜索,因为这可能会导致严重的性能问题,并且并非有效的解决方法。


UDS 编辑器是否支持通配符搜索?
不支持。因为在搜索中仅使用通配符会导致从数据库检索所有记录。


是否可以在托管 NSP 的服务器上关闭 DCOM 服务?
可以。可以关闭 DCOM,这不会影响 NSP Manager 的运行。有关禁用 DCOM 服务以及此操作对其他程序和服务的影响的信息,请访问 http://support.microsoft.com/default.aspx?kbid=825750


如何使用 UDS 编辑器检测单个空格字符?
如果您需要检测表达式中的单个空格(例如“xyz xyz”),可以通过键入 xyz xyz 执行字符串搜索。McAfee 建议不要仅仅搜索单个空格或极短的字符串,因为这可能会导致性能问题,并产生误报。


是否可以在 Sensor 的同一个接口对上使用光纤 GBIC 和铜线 GBIC 的串联形式?
不可以。不能在同一个接口对上使用不同的 GBIC。


Sensor 是否支持由不同 SFP+ 模块的两个连接(SR 和 LR 光纤连接)构成的以太通道?
Sensor 可支持由这些连接构成的以太通道。


如何检查来自 MySQL 的错误代码?
在 MySQL 中,可以使用 perror 命令检查生成的错误代码。打开命令行会话(依次单击开始运行,键入 CMD 并单击确定),然后在 mysql\bin 目录下键入命令 perror <错误代码> 并按 ENTER。例如,perror 28 Error code 28: No space left on device


NSP Manager 或 Sensor 如何为警报过滤定义内部或外部地址?
内部或外部地址是根据配置的模式定义的:

  • TAP/INLINE 模式:在端口配置下,指定哪个端口是内部的,哪个端口是外部的。警报过滤器使用相同的规范来分别定义内部或外部。
  • SPAN 模式:要检测和标记 SPAN 的内部/外部,用户必须配置基于 CIDR 的 VIDS。如果没有基于 CIDR 的 VIDS,Sensor 会将数据包标记为未知。

为何双向 DoS 警报不包含“数据包率”选项卡?
分类为双向的“统计 DoS 警报”之所以没有“数据包率”选项卡,是因为:
  • 这些统计警报涉及到多个数据包类型。
  • 两个方向的数据包流量不同。


“Threat Analyzer 攻击结果状态”中的“成功”与“可能成功”之间有什么区别?
为了确定某项攻击是否成功,NSP 会同时考虑到该攻击的检测和检测后的各个方面。NSP 根据线路上的响应判断攻击是否成功:

成功 攻击成功
可能成功 未知结果,NSP 无法确定攻击是否成功


Sensor 是否支持在 RJ-45 端口上配置外部铜线旁路开关?
是。目前,可以在 RJ-45 端口上配置外部铜线旁路开关,前提是在以下 Sensor 型号上将该端口配置为失效关闭模式:
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
使用以下步骤配置失效关闭模式:
  1. 在 Manager 中,依次选择设备列表Sensor 名称物理 Sensor端口设置
  2. 在监视端口中,选择要配置的带编号端口。
    此时会出现配置监视端口窗口,其中显示了当前端口设置。
  3. 运行模式下拉列表中,选择串联失效关闭(端口对)

    注意:外部铜线旁路开关的状态不会显示在 Manager 中。同样,通过 Sensor CLI 执行 show intfport 命令也不会显示状态。
Network Security Platform 是否可以识别来自 Akamai 等内容交付网络的流量的真正客户端 IP 地址?
可以。启用 X-forwarded-for (XFF) 选项后,Network Security Sensor 可以基于真正客户端 IP 检测并阻止攻击。
注意:此功能仅适用于 HTTP。


NSP 是否支持使用经过 SHA-2 签名的证书中嵌入的私钥?
是。支持经过 SHA-2 签名的证书。入站 SSL 解密功能只会执行服务器证书的原始数据匹配,而不会验证该证书;因此,NSP 可以使用经过 SHA-2 签名的证书中嵌入的私钥进行解密。


运行 clrstat 命令清除 Sensor 统计信息,然后运行 show sensor-load 命令时,Sensor-load 会列出极大的值(例如 90%),即使几乎没有任何流量流经 Sensor。为什么?
这是由设计决定的。用于计算 Sensor 上负载的计数器已被 clrstat 清除。要让 Sensor 生成最新的计数器并反映准确的负载,请等待大约 20-30 秒,然后再次运行 show sensor-load。


是否所有 Sensor 型号都支持 TIE/DXL 集成?
否。只有 NS 系列 Sensor 才支持这些功能。
 

是否可以通过命令行 (CLI) 获取 Sensor 电源 (PSU) 的序列号?
不能。目前没有任何命令可以列出 Sensor 序列号。


是否可以通过将 MD5 文件哈希上传到 NSP 来阻止文件?
可以。这是 NSP 的一个固有功能,不需要您创建自定义的攻击定义。NSP Sensor 维护哈希的黑名单和白名单,并根据恶意软件策略的指示将这些黑名单和白名单应用到从 HTTP、SMTP 和 FTP 流量中提取的文件。有关如何导入哈希值的说明,请参阅所用版本的《IPS Administration Guide》(IPS 管理手册)的“Advanced Malware Policies”(高级恶意软件策略)一章


是否可以使用 Sensor 响应端口将 Sensor 连接到 NTBA 装置?
不能。您无法将响应端口用作监视端口。


NSP 是否可以阻止 Skype 流量?
NSP 目前无法阻止 Skype 流量,但将来的版本会包含此功能。


NSP 如何确定高级恶意软件策略的文件类型?
NSP 结合使用内容类型、文件扩展名、文件属性和专有 McAfee 技术。


从 Sensor 端口中拔下网线后,该端口将被禁用,必须通过 Manager 将它重新启用,是这样吗?
是。这是由设计决定的。由于 Sensor 不知道端口“故障”的原因,因此会将端口标记为已禁用,解决链接故障后,您可以重新启用该端口。
如果 Sensor 尝试自动启用端口,您可能会遇到网络不稳定的情况,该端口将被启用、发生故障,然后在基本问题未得到解决的情况下又被重新启用。


是否可以修改此行为?
如果使用了被动失效打开套件(外部或内置),则可以修改此行为。
有关更多信息,请参阅所用版本的 CLI 指南中有关 setfailopencfg restore-inline 命令的信息。


当 Sensor 阻止攻击数据包时,为何 NSP 不检索其 X-Forwarded-For (XFF) 标头信息?
当 NSP Sensor 阻止攻击数据包时,无法查看 Forwarded Layer7 信息。这是由设计决定的。


如果我创建一个自定义 UDS,此 UDS 将放置在其他所有特征码之前还是末尾?
自定义 UDS 可帮助定义攻击/特征码,将添加到所有攻击的列表中;但是,与防火墙 ACL 规则不同,攻击检测不会遵循特定的顺序。


是否可以将故障转移 (FO) 装置转换为备用装置?
不可以,这不可能。可以将 FO 模型升级到标准模型,但无法将 FO 模型降级为备用模型。有关更多信息,请咨询您的销售联系人。
 

在“前 10 个攻击来源国家/地区”报告中,有一个条目的标题为“AP”- 它代表什么?
当具体的来源国家/地区未知时,将使用“AP”。有关更多信息,请参阅:http://dev.maxmind.com/geoip/legacy/codes/iso3166/


故障转移 Sensor 是否可以在主动-主动设置下工作,或者,它是否可以在主动-待机设置下工作,并使用检测信号触发故障转移操作?
NSP Sensor 始终采用主动-主动配置;故障转移电缆随时会将每个 Sensor 中的所有流量复制到另一个 Sensor。这样,流量便始终都会保持流动,即使发生了故障。


Sensor 是否路由流量?
否,Sensor 不参与流量的路由/故障转移,此操作完全由网络交换/路由体系结构执行。

NSP 是否可将 PNG、JPG 或其他类型的图片文件提交到 ATD 供扫描?
NSP 无法从流中提取图片文件。可将这些文件包含在 zip 文件中,然后由 NSP 提取并发送到 ATD,但是,NSP 不会提取独立的图片文件。

返回目录


共享的密钥

 

在哪种条件下可以使用“重新导入”将 SSL 密钥导入 Manager?
仅当重新导入 Manager 中已存在的密钥时,才可以使用重新导入。如果 SSL 更新尚未推送到 Sensor,则您可以多次使用“重新导入”来替换 Manager 中的现有密钥。不要使用“重新导入”将旧 SSL 密钥替换为新密钥。


先从 Sensor 中手动删除旧 SSL 密钥,然后导入新 SSL 密钥,这是正确的续订过程吗?
是。 


导入/重新导入新 SSL 密钥并将其从 Manager 推送到 Sensor 后,是否需要重新启动 Sensor?
仅当在 Sensor 上启用或禁用 SSL 功能时,才需要重新启动 Sensor。导入/重新导入 SSL 密钥后不需要重新启动。


替换 SSL 密钥后,为何 Alert Manager 中显示“SSL: 错误状态转换警报(0x00006000)”?
如果在将新 SSL 证书推送到 Sensor 时存在活动的 HTTP 流,则 Alert Manager 中会显示这些警报。如果此行为持续发生,请联系技术支持,并提交 SSL 密钥导入/续订期间及之后捕获的数据包。

 
为何 Alert Manager 中显示“SSL: 错误状态转换警报(0x00006000)”?它是否为误报的检测项?
请根据 KB55743 中所述收集给定警报的证据报告,然后使用 Wireshark 等数据包探查程序打开证据报告中生成的数据包日志,并检查所用的 TLS/SSL 版本。  
 

通过 Sharedsecretkey 命令设置的共享密钥是否有大小限制?
NSP 共享密钥的长度必须至少为 8 个字符,并且不能超过 25 个字符。密钥不能以感叹号开头,且不能包含空格。

返回目录
 

NSP 和 GTI

什么是 GTI?
GTI 是全局消息传递与通信行为的全局威胁关联引擎和智能库,当出现各种威胁领域的已知和新涌现电子威胁时,它能为客户提供保护。


GTI 使用哪些端口?
 
说明
协议
发起端
来源端口
目标端口
用于发送参与信息
TCP
Manager
随机
HTTPS/443
 
 
说明
协议
发起端
来源端口
目标端口
目标地址
用于发送 McAfee IP 信誉查询
TCP
Manager 和/或 Sensor
随机
HTTPS/443
tunnel.web.trustedsource.org
用于发送 McAfee 文件信誉查询 UDP Sensor 随机 DNS/53 avqs.mcafee.com

注意:
  • IP 信誉以前称为 TrustedSource
  • 文件信誉以前称为 Artemis

Sensor 在 GTI 查询中使用哪些信息?
连接 5 元组(来源 IP、目标 IP、来源端口、目标端口和协议)。


NSP Manager 在 GTI 查询中使用哪些信息?
5 元组以及可用的其他任何攻击信息:攻击名称、攻击时间、类别、计数、目标 OS、检测机制、攻击方向、恶意软件 URL、NSP 攻击 ID、结果、特征码 ID、来源 OS、子类别和攻击类型。

注意:有关所发送内容的详细视图,请参阅 Manager 中的“GTI 参与”页。依次选择配置集成GTI 参与
 
GTI 查询发送到何处?
Sensor 向 mcafee.com 执行特殊 DNS 查询。Manager 查询的地址为 https://tunnel.web.trustedsource.org
 
 
如何查看特定站点或地址的信誉是什么?
使用 www.trustedsource.org 上提供的查找工具。
 
 
查找的地址为何显示不同的信誉?
GTI 使用许多因素来确定特定连接的信誉。如果连接的目标是端口 80 或 8080,则使用网站信誉。如果连接的目标是端口 25,则使用邮件信誉。其他所有端口使用 IP 信誉,它可能是网站信誉和邮件信誉的混合形式,随着收集的数据增多,该信誉将趋向一个唯一值。
 
 
McAfee 是否可以调整特定 IP 地址的信誉?
针对 www.trustedsource.org 执行查询后,可以使用一个选项来提供威胁反馈。使用此表格可以请求审查。或者,可以通过电子邮件请求审查某个特定的 IP。有关网站信誉,请联系 sites@mcafee.com。有关网络和邮件信誉,请联系 trusign-feedback@mcafee.com。请始终包含 IP 地址、端口以及使用的流量类型。
 
在哪里可以找到有关 GTI 的更多信息?
请参阅所用产品版本适用的《Network Security Platform Integration Guide》(Network Security Platform 集成手册),或访问 www.trustedsource.org


NSP Sensor 是否针对它检测到的所有流量执行 GTI IP 查找?
默认情况下不会。您可以通过启用“端点信誉分析”,将 Sensor 配置为针对所有流量执行 GTI 查找。
 
 
注意:目前,NSP 可以通过智能阻止连接限制功能利用 IP 信誉信息。 


我无法在 NSP 中打开 GTI 检测到的某个文件做进一步分析。这是为什么,我要如何才能打开 GTI 判定为有害的文件?
即使通过 GUI 导出这些文件,它们也会处于加密状态。您必须使用 MalwareDecrypter.bat 实用工具解密这些文件。此实用工具的文件路径为:

<NSM 安装目录>/diag/MalwareUtil/MalwareDecrypter.bat

注意:如果不结合任何参数运行该文件,将显示可用的选项。
 
 
在哪里可以找到有关解密文件的更多信息?
有关 MalwareDecryptor 实用工具的信息,请参阅《Network Security Platform  Manager Administration Guide》(Network Security Platform Manager 管理手册)的“Archive malware files”(存档恶意软件文件)一节以及所用产品版本适用的《Network Security Platform IPS Administration Guide》(Network Security Platform IPS 管理手册)。
攻击覆盖范围
NSP IPS 特征码是否能检测出 VU922681(通用即插即用 libupnp SSDP 请求远程代码执行)中所述的漏洞?
可以。攻击涵盖 VU922681:0x47a00100“UPnP: 常规缓冲区溢出”

返回目录
 

NSP 和 NAC

NSP 中何时使用默认的基于身份的访问控制策略?
在 NSP 中配置基于身份的访问控制策略 (IBAC) 后,出现以下情况时,将使用默认的 IBAC 策略:
  • 有问题的用户名与其他任何定义的(非默认)IBAC 策略都不匹配。
  • 在特殊情况下,Sensor 与 Manager 之间的连接断开。
     


NSP 中的 NAC 和 802.11Q 实施是什么?
NSP 上的当前 NAC 实施支持对来自 NAC 监视端口上检测到的多个 VLAN 中的流量执行 NAC。Sensor NAC 监视端口上配置了一个 VLAN;但是,本地基础结构必须支持在 Sensor NAC 监视端口上的 VLAN 与需要 NAC 监视或实施的主机所在的其他所有 VLAN 之间进行相互 VLAN 通信(VLAN 间的路由)。


什么是 NSP NAC 隐式受信任主机?
以下 IP 地址将自动从 Network Security Sensor 的 NAC 实施项中排除:

  • Sensor 监视端口 IP
  • Sensor 管理端口 IP
  • NSM IP(如果处于 MDR 模式,并且添加了上述两个 Manager)
  • McAfee NAC 服务器 IP
  • Guest Client Portal IP
  • Remediation Portal IP
  • VPN 集中器 IP
     

NSP DHCP NAC 模式支持哪些 DHCP 服务器实施?
将 NSP 配置为以 DHCP NAC 模式运行后,可以使用两种 DHCP 服务器实施方法:

  • 集成的 DHCP 服务器
    在这种实施中,将由一台 DHCP 服务器向正常和不正常的主机分配 IP 地址。DHCP 服务器上配置了用户类,它会根据 DHCP 发现数据包中的用户类字段分配 IP 地址。可为每个用户类定义唯一参数,如 DNS IP、默认网关和静态路由等。可为生产、隔离和预先许可网络定义用户类,每个类具有各自的定义 IP 池和参数。
     
  • 独立的 DHCP 服务器
    使用此方法时,将为正常(生产 IP 池)和不正常(预先许可和隔离)的主机配置两台独立的 DHCP 服务器。每台 DHCP 服务器具有独立的配置信息。其中一台服务器用于正常的主机,另一台用于不正常的主机。
返回目录
 

异构特征码集

什么是异构特征码集 (sigset)?
早期版本的 NSP 要求运行与 Sensor 相同的 NSM 软件单点版本(8.x、7.x)。如果您要管理多个 Sensor 软件单点版本,则需要为每个 Sensor 软件单点版本单独配置一个 NSM。   

异构特征码集是一种格式,它在单个统一的特征码集中包含所有主要发行版。管理员可以下载并应用单个特征码集,让 Manager 控制所有 Sensor。 

NSM 7.x 及更高版本仅接受异构特征码集,而不支持同构(单一版本)特征码集。


今后的所有特征码集是否都是异构的?
McAfee 是否已停止发布同构特征码集?
是。 


异构特征码集包含哪些内容,编号方案是什么,从特征码集编号中可以进一步获得哪些信息?
异构特征码集包含采用新统一格式的两个或更多个单独的主要版本特征码集。编号方案如下:sigsetW.X.Y.Z,其中:
  • W 表示支持的最高 Sensor 软件版本。
  • X 表示支持的最低 Sensor 软件版本。
  • Y 表示特征码集发行版本号。
  • Z 表示内部版本号。

    例如,sigset 8.7.1.1 表示此特征码集支持 8.x 和 7.x Sensor。
     
McAfee 如何测试异构特征码集?
McAfee 采用综合性的测试方法来测试异构特征码集,以确保与所有 Sensor 软件版本兼容。除了针对普通的特征码集执行所有测试以外,McAfee 还执行附加的测试方案来确保异构特征码集能够在使用多个 Sensor 软件版本的异构环境中正常工作。


是否需要更改 Manager 配置才能使用异构特征码集?
不需要。


每个主要发行版(例如 7.x8.x)是否有不同的异构特征码集?
只有一个异构特征码集,其中包含当前支持的所有 Sensor 版本的所有特征码。(例如,8.7.1.1 支持运行版本 8.x 和 7.x 的所有 Sensor)

返回目录
 


Sensor 无中断重新启动
什么是 Sensor 无中断重新启动?
NSP 现在支持无中断重新启动和升级。 


无中断重新启动的工作原理是什么?
无中断重新启动只会选择 Sensor 上的进程。Sensor 将进入第 2 层直通模式并重新启动,同时可让数据路径继续传递流量。重新启动时间也会大大减少,因为整个期间 Sensor 不会关闭。


在哪种条件下会发生无中断重新启动?
如果 Sensor 需要在发生内部错误后恢复,则它始终会尝试无中断重新启动。您也可以通过 Sensor 命令行或 NSM 启动无中断重新启动。如果无法实现无中断重新启动,系统会向 Manager 发送通知,并执行完整重新启动。


所有 Sensor 升级都是无中断升级吗?
这取决于 Sensor 软件更改是否需要完整重新启动。Sensor 升级完成后,根据所用的软件版本,您会看到无中断重新启动的选项。


无中断重新启动有何限制?
如果软件代码中包含内部开关或内核级别的更改,则升级不支持无中断重新启动。另外,如果 Sensor 无法在发生内部错误后恢复,并且在 15 分钟期限内尝试自动恢复三次,则下一次尝试自动恢复时,Sensor 将保留在第 2 层,或者关闭以进行完整重新启动。


无中断重新启动失败有哪些常见原因?
如果 Sensor 上的数据路径无法初始化,并且未报告就绪状态,则无中断重新启动就会失败。
 
 

高级恶意软件检测

是否可以阻止 FTP 文件传输?
不能,Sensor 无法持续阻止 FTP 文件传输。 

由于无法获得 FTP 传输的文件大小信息,Sensor 无法可靠地知道传输何时完成。
只有数据连接终止(已收到 TCP FIN)时,Sensor 才能确定传输大小。但是,这也意味着文件已开始传输。

不管 Threat Analyzer 中的攻击结果如何,FTP 文件传输都不支持阻止。不应将此视为一个问题,它只是 FTP 协议存在的一个限制。 

返回目录


Network Security Platform 8.3
如何在 NSM 8.3 中启用 Real-time Threat Analyzer?
在 NSM 8.3 及更高版本中,Real-time Threat Analyzer 已由 Threat Explorer 取代。如果必须启用 Real-time Threat Analyzer,请执行以下步骤:
  1. 在 Manager 服务器中,使用 Windows 资源管理器导航到 C:\Program Files\McAfee\Network Security Manager\App\config
    注意:如果将 NSM 安装在其他位置,则此路径可能不同。
  2. 找到 ems.properties 文件并使用 Windows 记事本将它打开。
  3. 添加以下条目:

    iv.ui.ta.display.isEnabled=true
     
  4. 保存文件,然后重新启动 NSM 服务。

NSM 8.3 支持哪些 Sensor 型号,哪些 Sensor 型号支持由 NSM 8.3 部署特征码集?
NSM 8.3 支持 M 系列NS 系列VM 系列 Sensor,并会自动在其中部署最新的特征码段。
注意:I 系列 Sensor 不受支持,并且已停产


如何导入以前导出的忽略规则?
此功能已在 NSM 8.3 中更新,导入忽略规则的步骤与以前的版本不同。要将以前导出的忽略规则导入 NSM 8.3,请依次选择策略入侵防护高级策略导入忽略规则


如何导入以前导出的自定义攻击?
此功能已在 NSM 8.3 中更新。 


升级到 NSM 8.3 之后,攻击日志不显示任何旧警报。如何查看旧警报?
如果您在执行升级时看到一条警告,提示您运行附加的脚本(如果数据库引发的警报超过 100 万条,则会发生此情况),请根据《Network Security Platform 8.3 Installation Guide》(Network Security Platform 8.3 安装手册,PD26343)的“Run additional scripts”(运行附加脚本)一节中所述运行脚本;否则,您无法查看旧的攻击日志。
 
如果没有任何警告指出超过了警报数据,并且/或者您在查看攻击日志时遇到问题,请向技术支持人员开启一个案例,以获得进一步的帮助来解决该问题。
 
  

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

对此文档进行评级

Beta Translate with

Select a desired language below to translate this page.