Loading...

Knowledge Center


Network Security Platform 常見問題
技術文章 ID:   KB75269
上次修改:  2017/8/3
已評分:


環境

McAfee Network Security Platform (NSP) 8.x

摘要

目錄
一般 產品資訊與其他主題
相容性 其他產品與軟體間的互動
安裝/升級 有關安裝、升級、遷移及移除的資訊
組態 包含最佳實務、最佳化、設定及自訂
功能 產品功能
共用秘密金鑰 共用秘密金鑰與 SSL (包括 SSL 金鑰續訂) 常見問題
NSP 與 GTI NSP 與 Global Threat Intelligence (GTI) 功能和互動常見問題
攻擊範圍 特定攻擊範圍相關資訊
NSP 與 NAC NSP 與 Network Access Control (NAC) 共同運作的問題與解答
異質特徵碼組 異質特徵碼組相關資訊
無衝擊 Sensor 重新開機 降低 Sensor 週期影響的功能
進階惡意軟體偵測 進階惡意軟體偵測相關問題
Network Security Platform 8.3 NSP 8.3 中新增功能相關問題


一般

Sensor 與 Manager 每隔多久會交換資訊以確認 Sensor 為啟用?
輪詢間隔通常為每兩分鐘,但是當 EMS 偵測到失敗時,輪詢間隔會縮短成每 30 秒。這麼做是為了避免發生問題,例如遺失封包造成發出失敗警示。如果 Sensor 在 10 分鐘後仍無法連線,則輪詢頻率會回復為其正常值,亦即兩分鐘。

 
此輪詢會造成多少資料傳輸?
輪詢是透過 SNMP UDP 封包執行的,並會輪詢四個 MIB 變數。整個 SNMP 應用程式請求承載為約 100 位元組。

 
可能需要多久時間,Manager 才會在系統健康中將 Sensor 標示為已中斷連線?
由於初始輪詢每兩分鐘一次,正常逾時時間為 60 秒,因此最佳的失敗指示案例為 60 秒,儘管最長可以是 180 秒 (120 + 60)。


故障開啟套件是否會執行 Auto-MDIX?
否。此為安裝在 Sensor 中的 McAfee SFP Auto-MDIX 功能。


銅線故障開啟套件的作業方式是否與光纖旁路單一模式 (SM) 及多重模式 (MM) 故障開啟套件相同?
故障開啟套件 (光纖旁路交換器) 不會跨越傳送/接收對數。請參閱《Gigabit 光纖故障開啟旁路套件快速指南》以取得您的 Sensor/Sensor 軟體版本。本手冊包含正確安裝的圖表,以及其他安裝和連線的詳細資訊。

 
將 10/100/1000 銅線主動式故障開啟 (AFO) 旁路套件模式從內置變更為 TAP 模式後,AFO 會電源循環。重新開機後,TAP 模式已停用。為什麼?
AFO 依照設計運作。 TAP 模式設定不會儲存至 AFO。將 AFO 電源循環時,會還原預設設定 TAP 模式關閉。此為正常運作方式。


ARP: MAC Address Flip-Flop (ARP:MAC 位址突然變更) 警示只會顯示在 CIDR 介面層級;為何此警示不會顯示子介面名稱?
只會對 IPv4 封包 (PTYPE = 0x800) 執行子介面支援的 CIDR 型搜尋。因為 ARP 未歸入此類別,所以將只為 ARP 封包記錄以連接埠與 VLAN 層級為基礎的介面分類。這是預期的。


Sensor 記錄檔為何加密?
Sensor 記錄檔主要是為了視需要記錄技術支援與開發團隊疑難排解所需資訊而設計。由於這些檔案的主要適用對象是 McAfee 內部人員,因此檔案有時候會包含性質上為對內或專屬的詳細資料,因此必須加密。NSP 不提供您使用 Sensor CLI 命令必須知道的所有嚴重事件。McAfee 歡迎您提交 PER 以取得任何您需要但目前尚未提供的資訊。在後續的 NSP 維護版本中會納入這些請求。


NSP 是否會補償同步處理期間的網路延遲?
否。NSP 不會補償以處理同步處理期間的網路延遲問題。

如果 Sensor 與 Manager 之間的網路延遲為 100 msec,Sensor 時間會比 Manager 上的實際時間慢 100 msec。Sensor 的內部時鐘會從 Manager 取得時間設定,因此 Sensor 與 Manager 會保持同步。如果 Sensor 與 Manager 之間的連線中斷,內部時鐘會定時更新 Sensor 的時間。Sensor 與 Manager 之間的時間延遲,會是特定 Sensor 與 Manager 之間的網路延遲。Manager 與其他所部署 Sensor 之間的延遲時間可能更長或更短。

Sensor 會將該時間寫入自己的快閃記憶體中,因為 Sensor 沒有電池備份時鐘。停電期間,當 Sensor 重新開機並回復上線時,Sensor 可能無法立即與其相關聯的 Manager 連線。在此狀況下,Sensor 將使用它最後一次儲存到快閃的時間。這是唯一一次 Sensor 會從快閃取出時間,否則儲存在快閃中的時間會沒有相關性。


Sensor 如何處理已隔離主機的流量?
IPS 隔離功能允許 Sensor 隔離不合規的主機,同時可供存取修補資料。IPS 隔離啟用時,當在 Sensor 內置監視連接埠上偵測到攻擊時,Sensor 只有在主機未列在 NAC 排除清單時,才會針對該主機的來源 IP 位址建立隔離規則。Sensor 絕對不會封鎖 NAC 排除清單中主機的流量。如果主機不在 NAC 排除清單中,則會放置在隔離表中達指定的時間長度。

Sensor 會對照隔離表檢查通過連接埠的所有流量,然後封鎖任何從隔離主機傳送的封包。這會讓不合規的主機無法傷害網路上其他的系統。您可以設定 IPS 網路存取區域中有當主機遭到隔離時可存取的特定 IP 位址 (例如,修補入口網站或 DNS 伺服器)。這允許遭隔離的主機存取修補資料,但不會危害網路的整體安全性。在隔離表中可以新增主機,做法是比對 NAC 原則或比對其隔離回應選項已啟用的特徵碼。


當安裝的 NSM 有兩個在 Manager 嚴重損壞復原 (MDR) 中設定的 Manager 時,系統必須更新這兩個 Manager 的 Sensor 警示資料。Sensor 如何與 NSM 通訊以更新警示資訊?
Sensor 會嘗試將警示傳送到 MDR 組態中的這兩個 NSM。如果警示已成功傳送至一個 NSM,您可以將該警示從 Sensor 緩衝區中移除。如果 Sensor 無法將警示傳送到其中一個 NSM,則警示會儲存在 Sensor 緩衝區中。這兩個 Manager 會互相同步處理其資料庫,藉此在它們下次通訊時更新另一個 Manager 上尚未收到的任何警示。每個警示皆以唯一屬性標記,以協助 Manager 之間進行同步處理。


NSP 中的 IPS 隔離功能與存取控制清單 (ACL) 功能有何不同?

  • 系統會將 IPS 隔離規則獨立於 ACL 規則之外處理,並在 ACL 規則之前評估。
  • IPS 隔離規則會丟棄來源 IP 中的所有流量,而 ACL 規則對丟棄流量的類型則較為具體。
  • IPS 隔離規則為動態建立,而 ACL 規則是您在建立原則時必須明確新增的規則。
  • IPS 隔離規則可在預先定義的時間量過後動態移除,ACL 規則必須透過原則更新明確地移除。


Threat Analyzer 中如何顯示殭屍網路攻擊?
當碰到流量時,系統會對照殭屍網路 DAT 檔案來搜尋位址,以判斷 IP 或網域名稱是否為已知的殭屍網路位址。

如果資料符合,便會觸發警示,並將命令與控制 (C&C) IP 或網域標記為攻擊者。 攻擊者位址將會放到 Threat Analyzer 內的來源 IP 欄中。 正連線至 C&C 位址的主機位址將標示為受害者。 受害者會顯示在 Threat Analyzer 的目的地 IP 欄中。

流量的方向是根據誰啟動了連線而定,並將指出啟動的流量為入埠或出埠。


為何組態無須更新就會立即啟用 Manager 動作設定?
當系統管理員在原則編輯器上變更 Manager 的任何動作設定 (例如自動認可、SNMP 及 Syslog) 時,必須更新組態。然而無須更新,這些設定會立即啟用。這是經過設計的行為。目前的 NSP 設計會追蹤原則細微度的變更,而原則的任何變更則表示 Sensor 需要特徵碼檔案推送。我們對 NSP 投入相當大的心力,引進了快取與增量更新,以改善 Sensor 的特徵碼檔案更新。目前的計劃是集中改善特徵碼檔案推送效率,而非追蹤更高細微度的原則變更。

立即啟用的項目 攻擊嚴重性*;通知;電子郵件;指令碼;自動認可、呼叫器、SNMP、Syslog
組態更新必要項目 攻擊嚴重性*;Sensor 動作;記錄

*Manager 與 Sensor 皆會使用攻擊嚴重性變更。Manager 部分,例如 Threat Analyzer 中顯示的嚴重性變更,會立即生效。Sensor 部分,例如 NAC,則需要 Sensor 更新。


為何 Real Time Threat Analyzer (RTTA) 中未顯示低警示與資訊警示?
此為正常運作方式。 使用 Historical Threat Analyzer 可檢視低警示與資訊警示。 


我可以在原則編輯器中設定欲封鎖的攻擊,因此為何 Sensor 會將警示傳送到 Manager,即使取消選取攻擊的 [Send Alert to the Manager] (傳送警示至 Manager) 亦是如此?
此為正常運作方式。 由於封鎖了攻擊,因此無論 Send Alert to the Manager (傳送警示至 Manager) 設定為何,Sensor 都會傳送警示,讓管理員會收到 Sensor 已封鎖攻擊的通知。


在 RTTA 中,警示入埠/出埠 UDP 封包數量過高其警示詳細資料畫面的 DoS 分析區段中,會顯示 DoS IP 範圍與排名前 3 名的攻擊 IP 範圍。此區段為何有時候空白,未顯示 IP 範圍資訊?
此為正常運作方式。當 Sensor 看到攻擊時,便立即開始收集 IP 位址。 Sensor 會先等待一段時間,再引發警示,如此一來也會報告 IP 位址資訊。但如果攻擊後來立即停止,Sensor 便無法取得任何 IP 位址,並引發無 IP 位址的警示。


我的 NSP Sensor 或其他硬體的預設設定為何?
硬體 傳輸速率 資料 同位檢查 停止 流量控制 預設使用者 預設密碼 SSH 連接埠
I 系列 9600 8 1 admin admin123 22
M 系列 38400 8 1 admin admin123 22
N 系列 38400 8 1 admin admin123 22
NS 系列 115200 8 1 admin admin123 22
NTBA 9600 8 1 admin admin123 22
XC240 115200 8 1 admin admin123 22
主動式故障開啟組件 19200 8 1 McAfee McAfee  


為何當網路上有 MPLS 流量時,SYN Cookie 不會運作?
由於 NSP 不知道當 Sensor Proxy 對 SYN 封包回應時,要在傳回方向中使用哪一個 MPLS 標記,因此無法在 MPLS 流量上支援 SYN Cookie。

 
當您在 Sensor 上啟用 SYN Cookie 時,而 Sensor 中某個連接埠是在 SPAN 中設定,可看見 MPLS 流量,另一個連接埠則設定為內置,看不見 MPLS 流量,此時 Sensor 是否將防止可能的 SYN 洪流?
是。 SYN Cookie 將繼續運作,讓內置連接埠配對上有正常流量。

 
如果我在流量中使用 VLAN 標記,我是否可以使用 SYN Cookie?例如,如果所有的流量皆包含 VLAN 標記,且 Sensor 只看見來自某個 VLAN 的流量,但收不到來自任何其他 VLAN 的流量,則 SYN Cookie 是否仍將運作,或者所有的內置流量上不應有 VLAN 標記,SYN Cookie 才能運作?
SYN Cookie 會為 VLAN 標記的流量運作。即使是混合了 VLAN 與非 VLAN 標記的流量也將運作。 如果封包透過相同的介面再次傳回,會有一些限制。


若 Sensor 介面設定為內置,當流量通過 Sensor 時,連接埠之間是否會有交叉對話?
否。Sensor 不會執行流量的任何交換或路由。兩個組成介面配對 (1A/1B、2A/2B 等等) 的介面會以固定的方式互相繫結。介面 (例如 1A) 上的傳入流量只會將 Sensor 留在該配對的相符介面上 (例如 1B)。這是 Sensor 軟體中的基本設計因素,由於 Sensor 不會做出任何路由或交換決策,因此 Sensor 中不支援將封包轉寄到裝置上任何其他介面。


在任何指定例項所有流量 (包括 Ingress 與 Egress) 的總和是否會適時地大於所指定 Sensor 的檢查容量 (例如,NS9100 為 10Gbps IPS 效能)?
否。Sensor 的所有連接埠有著共同/共用的檢查容量,  而且就是這些檢查容量決定了 Sensor 的額定容量。


我如何將 Sensor DOS 偵測強制執行/變更為學習模式?
依序選取 Denial of Service (阻絕服務)、Data Management (資料管理),然後選取 Rebuild DoS Profile (重建 DoS 設定檔) (從頭開始學習)。


「事前勘查關聯攻擊」與「事前勘查特徵碼攻擊」之間有何差異?這兩種事前勘查攻擊是否皆為「預設事前勘查原則」的一部分?
這取決於正在使用的 NSP/NSM 版本。 若為 8.1 以下的版本,IPS 原則與事前勘查原則皆會使用。IPS 原則包含特徵碼型攻擊,事前勘查原則包含關聯型攻擊。 但自 8.2 版起便不再有事前勘查原則,特徵碼型與關聯型事前勘查攻擊則在 IPS 原則中。
為了在 IPS 原則編輯器中區分這兩種攻擊,McAfee 已分別為這兩者引進專有的攻擊類別 (事前勘查關聯攻擊與事前勘查特徵碼攻擊)。


NS7x00 Sensor 的耗電量上限為 250W;為何所提供的 PSU 額定為 650W?
McAfee 會使用此 650W 的 PSU,是因為 NS7x00 系統裝置的外形需求之故。


手動隔離的主機其網頁瀏覽器不會顯示隔離的訊息或通告,且不會提供修補入口網站的重新導向。為什麼?
當您設定 Sensor 在隔離的用戶端上顯示瀏覽器訊息,或重新導向至修補入口網站時,系統只會為 Sensor 自動隔離的主機這麼實作。此為正常運作方式。當使用者手動將主機從 Threat Analyzer 隔離時,不會提供瀏覽器訊息,也不會提供修補入口網站,唯一會採取的動作就是將主機放入對應的隔離區域中。

返回目錄

 

相容性

M 系列 Sensor 上支援哪些 XFP?
M 系列 Sensor 上僅支援以下 XFP:

  • IAC-1550-CG1 (延長距離,單一模式,1550nm XFP)
  • IAC-1310-CG1 (長距離,單一模式,1310nm XFP)
  • IAC-X850-CG1 (短距離,多重模式,850nm XFP)

重要事項:不支援協力廠商 XFP。


是否需要故障關閉硬體鎖,才能在故障關閉或 SPAN 模式中設定 M-1250 與 M-1450 Sensor 上的監視連接埠? 
否。不同於 I 系列 Sensor,您不必將故障關閉的硬體鎖放置在 M-1250 與 M-1450 Sensor 的監視連接埠上,即使是在故障關閉或 SPAN 模式中。硬體鎖功能現在已併入監視連接埠本身。


為何我無法從非英語的行動裝置存取 NSM?
如果您從非英語的行動裝置存取 NSM,NSM 將無法正確運作,因為僅支援設定為英語的裝置。若要存取 Manager,請將作業系統語言設定變更為英文。


NSM 支援哪些 Nessus 版本?
使用 Nessus 4 與 Nessus 5.x 掃描程式產生的 Nessus 報告可成功地匯入至 NSM。如果所產生的報告包含主機 IP 作為完整網域名稱 (FQDN) 或 NetBIOS 名稱,則 NSM 無法解析報告中的目標主機 IP,且無法將這些主機的漏洞匯入至 Manager 資料庫。採用 .nessus 格式的 Nessus 4 或 Nessus 5.x 報告包含採用點格式的有效主機 IP 位址,可成功地匯入至 Manager 資料庫。


當流量是封裝的 PPPoE 時,為何 Sensor 偵測不到任何攻擊?
支援 PPPoE。所有 PPPoE 封裝的封包會由 Sensor 轉寄,無須經過任何偵測。 此為正常運作方式。


當 NSM 設定為將下載的特徵碼組自動部署至所有的裝置上時,NSP Sensor 的自動部署會運作,但 Network Threat Behavior Analysis (NTBA) Sensor 的不會。為什麼?
NSM 8.1 以上版本支援 NTBA 的自動部署。若要部署自動部署,請升級至 NSM 8.1.3.6 以上版本。


是否支援 M 系列 Sensor 的 GTP 剖析?
否。僅支援 NS 系列 Sensor 的 GTP 剖析。

 
NSP 是否會使用此通訊協定檢查 GRE 封裝的流量並偵測攻擊?
NSP 會檢查 GRE 封裝的流量並偵測攻擊。然而,此功能必須啟用,因為預設的 Sensor 組態為不檢查 GRE 通道流量。

 
NSP 是否支援新 HTTP/2 通訊協定 (HTTP 2.0) 的掃描?
NSP 目前不支援 HTTP/2,但目前排定的 NSP 未來版本支援。


當網路交換器支援 AutoMDI/MDI-X 時,Sensor 是否使用 AutoMDI/MDI-X 在切換器與 Sensor 之間建立連結?
是,但如果 Sensor 連接埠的自動交涉為停用,則 AutoMDI/MDI-X 將不會正確運作。  您必須啟用 Sensor 連接埠上的自動交涉,才能使用 AutoMDI/MDI-X 設定交換器與 Sensor 之間的連結。

返回目錄

 

安裝/升級

我可以透過裝置 RMM 軟體執行 NSM 裝置軟體的安裝嗎?
否。不支援透過裝置 RMM 軟體使用 NSM 裝置安裝 DVD。當嘗試透過裝置隨附的 Intel RMM 軟體使用 NSM 裝置安裝 DVD 時,可能會有非預期與不想要的結果。安裝媒體介面必須透過在伺服器位置直接插入伺服器的鍵盤與滑鼠存取。

我是否可以將多個 NSM 授權彙總或結合至單一安裝中?例如,如果我有標準授權,我是否可以購買入門套件以達到 8 個受管理的裝置?
否,因為 NSM 授權不是累計式。若要從單一 NSM 管理超過 6 個 Sensor,您必須購買全域 NSM 授權。


在我升級 Manager 後,我看到一個尚未對其手動採取動作的 Sensor 更新程序。Sensor 在 downloadstatus 命令執行時不會顯示任何現有的下載,Manager 上則會有最新的特徵碼組。如果我將 Manager 重新開機,更新程序會在一段時間後重新啟動,Ems.log 不會顯示任何清除推送,且 Sudit log 未顯示任何將已更新組態推送至 Sensor 的使用者活動。是什麼原因造成此更新程序?
在 Manager 升級後,NSM 會編譯最新的特徵碼組,並自動將它推送至 Sensor。

附註:如果 Sensor 已經有最新的特徵碼組,此更新將會失敗。
 
返回目錄



組態

我是否可以透過 SPAN 模式中的監視連接埠執行 Sensor 容錯移轉配對?
否。當監視連接埠為內置模式時,您只能建立容錯移轉配對。在您已建立該配對後,您無法變更或修改連接埠模式。


在 NSM 中無法刪除哪些預設的識別型存取控制原則?
您無法刪除下列原則,但您可以編輯其設定,以指定當授予網路存取權時是否考量系統健康,並指定要授予存取權的實際層級:

  • Default (預設)
  • Guest User (訪客使用者)
  • Self Registered (自我註冊)

我是否可建立略過規則,且不新增任何攻擊名稱?
否。略過規則必須有攻擊名稱,因為 Sensor 無法瞭解此類型的警示篩選器。 


我如何將特定的 IP 位址排除檢查?
新增一個動作設定為 Stateless Ignore (無狀態略過) 的防火牆規則。這將轉寄所有符合規則但未執行任何檢查的封包,但 FW 規則搜尋/比對除外。


我是否可以使用 NSP Sensor 實作主動-主動高可用性?
Sensor 一律為主動-主動高可用性;它是對等網路裝置,可判斷是否正以主動-被動 (封鎖一個網路路徑) 或主動-主動方式使用 Sensor。


我要如何封鎖 TOR 與 TOR 變體?
McAfee 建議使用防火牆原則建立存取規則,以定義用於封鎖、允許或無檢查的層面/物件。 在現有規則物件下已定義了數個 TOR 與 TOR 變體應用程式。您可以透過這些應用程式以及任何您不想要允許的其他 P2P 應用程式,來建立自己的應用程式群組。

將該應用程式群組與您的來源/目的地設定一起使用,以停止大多數的 TOR 連線與變體。


我將內部網路作為來源 (攻擊者),以任何作為目標,建立一個略過規則以忽略事前勘查規則 (從漏洞掃描程式掃描),但我仍在 RTTA 中看見警示。為什麼? 
使用略過規則是處理漏洞掃描程式的錯誤方式, 而是應該將存取規則新增至防火牆原則漏洞掃描程式的所有流量 (使用 [Stateless Ignore] (無狀態略過)),以及使用其他規則讓所有流量,掃描程式中略過 (兩個規則)。



功能

NSP UDS 編輯器是否支援 NOT 作業?
否。UDS 編輯器不支援 NOT 作業。比對加速硬體的 Sensor 模式必須對 NOT 運算式所指定字串以外的所有字串執行字串比對。
但 McAfee 建議您不要執行這一類型的搜尋,因為它會造成嚴重的效能問題,並不是有效的解決方案。


UDS 編輯器是否支援萬用字元搜尋?
否。不支援的原因是因為在搜尋中只使用萬用字元會造成取出資料庫中所有的記錄。


是否可以在代管 NSP 的伺服器上關閉 DCOM 服務?
是。可關閉 DCOM,而不會影響 NSP Manager 的執行。如需停用 DCOM 服務的資訊,以及其他程式與服務的含義,請前往 http://support.microsoft.com/default.aspx?kbid=825750


您該如何使用 UDS 編輯器偵測單一空格字元?
如果您必須偵測運算式中的單一空格 (例如,xyz xyz),您可以鍵入 xyz xyz 以執行字串搜尋。McAfee 建議您不要只搜尋單一空格或非常短的字串,因為會造成效能方面的問題,並產生誤判。


我是否可以在 Sensor 的同一個介面配對上使用內置的光纖 GBIC 與銅線 GBIC?
否。您無法在相同的介面配對上使用不同的 GBIC。


Sensor 是否支援由不同 SFP+ 模組的兩個連線 (SR 與 LR 光纖連線) 組成的 Etherchannel?
是,Sensor 支援由這兩條連線組成的 Etherchannel。


我該如何檢查 MySQL 中的錯誤碼?
在 MySQL 中,您可以使用 perror 命令檢查產生的錯誤碼。開啟命令列工作階段 (依序按一下開始執行,鍵入 CMD,然後按一下確定),進入 mysql\bin 目錄,鍵入命令 perror <錯誤碼>,再按 ENTER。例如,perror 28 Error code 28: No space left on device (perror 28 Error code 28:裝置沒有剩餘空間)。


NSP Manager 或 Sensor 如何定義警示篩選器的內部或外部位址?
內部或外部位址是根據設定的模式所定義:

  • TAP/INLINE 模式:在連接埠組態下方,可指定哪一個連接埠是內部,哪一個是外部。警示篩選器會使用相同的規格分別定義內部或外部位址。
  • SPAN 模式:若要偵測並標示 SPAN 的內部/外部位址,使用者必須設定 CIDR 型 VIDS。如果沒有 CIDR 型 VIDS,Sensor 會將封包標示為未知。

為何雙向 DoS 警示未包含封包速率標籤?
歸類為雙向的統計 DoS 警示沒有封包速率標籤,因為:
  • 這些統計警示涉及了多個封包類型。
  • 兩個方向之間的封包流量不同。


Threat Analyzer 攻擊結果狀態中的成功與可能成功之間有何差異?
為了判斷攻擊是否成功,NSP 涵蓋攻擊的偵測與後置偵測層面。NSP 會根據在線路上看見的回應來識別攻擊是否成功:

成功 攻擊成功
可能成功 結果未知,NSP 無法判斷攻擊是否成功


Sensor 是否支援 RJ-45 連接埠上的外部銅線旁路交換器組態?
是。目前可在 RJ-45 連接埠上設定外部銅線旁路交換器,前提是該連接埠在下列 Sensor 模型上設定為故障關閉模式:
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
可使用下列步驟設定故障關閉模式:
  1. 在 Manager 中,依序選取 Device List (裝置清單)、Sensor Name (Sensor 名稱)、Physical Sensor (實體 Sensor)、Port Settings (連接埠設定)。
  2. 在監視連接埠中,選取要設定的連接埠數目。
    您會看見 Configure Monitoring Port (設定監視連接埠) 視窗顯示目前的連接埠設定。
  3. Operating Mode (作業模式) 下拉式清單中,選取 In-line Fail-Closed (Port Pair) (In-line 故障關閉 (連接埠配對))。

    附註:在 Manager 中不會顯示外部銅線旁路交換器的狀態。同樣的,從 Sensor CLI 執行 show intfport 命令將不會顯示狀態。
Network Security Platform 是否會識別來自如 Akamai 等內容傳送網路的流量其真實的用戶端 IP 位址?
是。透過啟用 X-forwarded-for (XFF) 選項,Network Security Sensor 可根據真實的用戶端 IP 偵測與封鎖攻擊。
附註:此功能僅適用於 HTTP。


NSP 是否支援使用內嵌在 SHA-2 簽署之憑證中的私密金鑰?  
是。支援 SHA-2 簽署的憑證。入埠 SSL 解密功能僅執行伺服器憑證的原始資料比對,不會驗證憑證;因此 NSP 可使用內嵌在 SHA-2 簽署之憑證中的私密金鑰來解密。


當您執行命令 clrstat 清除 Sensor 統計資料,然後執行命令 show sensor-load 時,Sensor-load 會列出非常大的值 (如 90%),即使幾乎沒有流量通過 Sensor 亦是如此。為什麼?
此為正常運作方式。clrstat 清除了用於計算 Sensor 上負載的計數器。請等待約 20-30 秒,讓 Sensor 產生最新的計數器及要反應的準確負載,然後再次執行 show sensor-load。


所有的 Sensor 模型是否皆支援 TIE/DXL 整合?
否。僅 NS 系列的 Sensor 支援這些功能。
 

我是否可以從命令列 (CLI) 取得 Sensor 電源供應器 (PSU) 的序號?
否。目前沒有命令可列出 Sensor 序號。


我是否可以透過將 MD5 檔案雜湊上傳至 NSP 來封鎖檔案?
是。這是 NSP 固有的功能,而且不需要建立自訂攻擊定義。NSP Sensor 會維護雜湊演算法的黑名單與白名單,並在惡意軟體原則指示下將這些名單套用到從 HTTP、SMTP 與 FTP 流量擷取的檔案。如需如何匯入雜湊值的指示,請參閱您版本《IPS 管理指南》中的<進階惡意軟體原則>一章


我是否可以使用 Sensor 回應連接埠將 Sensor 連接到我的 NTBA 裝置?
否。您無法使用回應連接埠作為監視連接埠。


NSP 是否會封鎖 Skype 流量?
NSP 目前不會封鎖 Skype 流量,但未來的版本中將包含此功能。


NSP 如何判斷進階惡意軟體原則的檔案類型?
NSP 會使用內容類型、副檔名、檔案屬性及 McAfee 專利技術的組合。


我拔出插在 Sensor 連接埠的網路纜線後,連接埠會停用,且必須透過 Manager 重新啟用。這是否正確?
是。此為正常運作方式。由於 Sensor 不知道連接埠「故障」的理由,因此將它標示為停用,在解決連結故障的問題後,您便可以重新啟用該連接埠。
如果 Sensor 嘗試自動讓連接埠啟用,您可能會碰到網路拍動的狀況,連接埠會啟用、故障,然後重新啟用,無須解決基本的問題。


我是否可以修改此行為?
如果有使用被動故障開啟套件 (外部或內建),您可以修改此行為。
如需進一步資訊,請參閱您版本所適用 CLI 指南中有關 setfailopencfg restore-inline 命令的資訊。


當 Sensor 封鎖攻擊封包時,為何 NSP 不取出其 X-Forwarded-For (XFF) 標頭資訊?
當 NSP Sensor 封鎖攻擊封包時,無法檢視 Forwarded Layer7 資訊。此為正常運作方式。


如果我建立自訂 UDS,則此 UDS 是否將放置在所有其他特徵碼之上,或在所有其他特徵碼的結尾?
自訂 UDS 會新增至所有攻擊清單,可協助定義攻擊/特徵碼,但沒有攻擊偵測順序,這與防火牆 ACL 規則不同。


我是否可以將容錯移轉 (FO) 裝置轉換成備用?
否,不行。您可以將 FO 模型升級成標準模型,但您無法將 FO 模型降級成備用。如需進一步資訊,請連絡您的銷售連絡人。
 

在前 10 個攻擊來源國家/地區報告中,其中一個項目名為 AP - 這代表什麼?
此項目用於特定來源國家/地區未知時。如需進一步資訊,請參閱:http://dev.maxmind.com/geoip/legacy/codes/iso3166/


容錯移轉 Sensor 是否可在主動-主動設定中運作,或在主動-待命中運作並有會觸發容錯移轉動作的活動訊號?
NSP Sensor 一律為主動-主動;容錯移轉纜線會時時刻刻將每個 Sensor 的所有流量複製至其他的 Sensor。這讓流量能夠永遠流動,即使是發生故障。


Sensor 是否會路由流量?
否,Sensor 不參與流量的路由/容錯移轉,這完全由網路交換/路由架構執行。

NSP 是否會將 PNG、JPG 或其他圖片類型的檔案提交至 ATD 進行掃描?
NSP 無法從流量中擷取圖片檔案。這些檔案是 zip 檔案的一部分,NSP 會將 zip 檔案解壓縮並傳送到 ATD,但 NSP 不會解壓縮獨立的圖片檔案。

返回目錄


共用秘密金鑰

 

我在哪些狀況下可以使用重新匯入將 SSL 金鑰匯入至 Manager?
只有在您將 Manager 上已經存在的金鑰重新匯入時,才能使用重新匯入功能。當 SSL 更新尚未推送至 Sensor 時,您可以使用重新匯入數次,以取代 Manager 上現有的金鑰。請使用重新匯入將舊 SSL 金鑰取代成為新金鑰。


正確的續訂程序是否為將舊 SSL 金鑰從 Sensor 中刪除,然後在手動刪除後匯入新 SSL 金鑰?
是。 McAfee 建議您將新的 SSL 金鑰匯入 Manager,然後在舊 SSL 金鑰已刪除後將 SSL 更新推送至 Sensor。


在新 SSL 金鑰已從 Manager 匯入/重新匯入並推送至 Sensor 後,是否需要將 Sensor 重新開機?
只有在您啟用或停用 Sensor 上的 SSL 功能時,Sensor 才必須重新開機,匯入/重新匯入 SSL 金鑰後則不需要。


已取代 SSL 金鑰後,為何我會在 Alert Manager 中看見「SSL:不正常狀態轉換 (0x00006000)」?
當正將新 SSL 憑證推送至 Sensor 時,如果有使用中 HTTP 流量,您便會在 Alert Manager 中看見這些警示。如果持續發生此行為,請與技術支援連絡,並在 SSL 金鑰匯入/續訂期間及之後提交封包擷取。

 
為何我會在 Alert Manager 中看見「SSL:不正常狀態轉換警示 (0x00006000)」?這是誤判的偵測嗎?
請依照 KB55743 中的說明收集所指定警示的證據報告,然後開啟證據報告中由封包探查程式 (如 Wireshark) 產生的封包記錄,並檢查所使用的 TLS/SSL 版本。 NSP Sensor 目前不支援 TLS v1.1 與 v1.2,並會觸發此警示。 請建立攻擊篩選器以略過此流量,或使用支援的 SSL/TLS 版本 (SSLv2、SSLv3、TLSv1.0)。
 

當透過 Sharedsecretkey 命令設定共用秘密金鑰時,是否有長度限制?
NSP 共用秘密金鑰的長度必須至少為 8 個字元,最多為 25 個字元。金鑰不能以驚嘆號開頭,也不能有任何空格。

返回目錄
 

NSP 與 GTI

何謂 GTI?
GTI 是全域威脅關聯引擎與情報,以全域訊息與通訊行為為基礎,能夠保護客戶在所有威脅區域之間對抗已知與新興的電子威脅。


GTI 使用哪些連接埠?
 
說明
通訊協定
啟動程式
來源連接埠
目的地連接埠
用於傳送參與資訊
TCP
Manager
隨機
HTTPS/443
 
 
說明
通訊協定
啟動程式
來源連接埠
目的地連接埠
目的地位址
用於傳送 McAfee IP 信用評價查詢
TCP
Manager 和/或 Sensor
隨機
HTTPS/443
tunnel.web.trustedsource.org
用於傳送 McAfee 檔案信用評價查詢 UDP Sensor 隨機 DNS/53 avqs.mcafee.com

附註:
  • IP 信用評價先前稱為 TrustedSource
  • 檔案信用評價先前稱為 Artemis

Sensor 在 GTI 查詢中使用什麼資訊?
連線 5 元組 (來源 IP、目的地 IP、來源連接埠、目的地連接埠及通訊協定)。


NSP Manager 在 GTI 查詢中使用什麼資訊?
5 元組及任何其他可用的攻擊資訊:攻擊名稱、攻擊時間、類別、計數、目的地作業系統、偵測機制、攻擊方向、惡意軟體 URL、NSP 攻擊 ID、結果、特徵碼 ID、來源作業系統、子類別及攻擊類型。

附註:請參閱 Manager 中的 GTI 參與頁面,以取得傳送內容的詳細檢視。選取 Configure (設定)、Integration (整合)、GTI Participation (GTI 參與)。
 
在何處傳送 GTI 查詢?
Sensor 會執行對 mcafee.com 的特殊 DNS 查詢。Manager 查詢的處理位置為:https://tunnel.web.trustedsource.org
 
 
我如何看見特定網站或位址的信用評價?
使用可從 www.trustedsource.org 取得的搜尋工具。
 
 
為何我搜尋的位址會顯示不同的信用評價?
GTI 使用許多因素來判斷特定連線的信用評價。如果連線為連接埠 80 或 8080,則使用 Web 信用評價。如果連線為連接埠 25,則使用郵件信用評價。所有其他的連接埠會使用 IP 信用評價,此信用評價是 Web 與郵件信用評價的結合,經過一段時間後因為收集到更多的資料,而會有唯一的值。
 
 
McAfee 是否會調整特定 IP 位址的信用評價?
在對 www.trustedsource.org 執行查詢後,會有威脅回饋的選項。使用此表單可請求檢閱。或者,您可以透過電子郵件請求檢閱特定的 IP。如需 Web 信用評價,請連絡 sites@mcafee.com。如需網路與郵件信用評價,請連絡 trusign-feedback@mcafee.com。請一律包含 IP 位址、連接埠及正在使用的流量類型。
 
我在何處可以找到更多有關 GTI 的資訊?
請參閱您產品版本適用的《Network Security Platform 整合指南》,或前往 www.trustedsource.org


NSP Sensor 是否會對它看到的所有流量執行 GTI IP 搜尋?
預設值為不執行。您可以透過啟用端點信用評價分析,將 Sensor 設定成會對所有的流量執行 GTI 搜尋。
 
 
附註:目前 NSP 可透過智慧型封鎖連線限制功能來運用 IP 信用評價資訊。 NSP 目前無法偵測含 IP 信用評價的回撥。


我無法開啟 NSP 內由 GTI 偵測到檔案來做進一步分析。為什麼會發生此狀況及我該如何開啟 GTI 證明的檔案?
這些檔案已經過加密,即使是透過 GUI 匯出時亦是如此。您必須使用 MalwareDecrypter.bat 公用程式將檔案解密。此公用程式的檔案位置是:

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

附註:如果您執行此檔案時未使用任何參數,則將顯示可用的選項。
 
 
我在何處可以找到其他有關解密檔案的資訊?
請參閱《Network Security Platform Manager Administration Guide》(Network Security Platform Manager 管理指南) 其<Archive malware files>(封存惡意軟體檔案) 一節中的 MalwareDecryptor 公用程式相關資訊,以及您產品版本的《Network Security Platform IPS 管理指南》。
攻擊範圍
VU922681 (通用隨插即用 libupnp SSDP 請求遠端程式碼執行) 中描述的漏洞是否是由 NSP IPS 特徵碼偵測?
是。VU922681 在以下攻擊的範圍內:0x47a00100 “UPnP:一般緩衝區溢位”。

返回目錄
 

NSP 與 NAC

預設的識別型存取控制原則何時用於 NSP 中?
當 IBAC 設定在 NSP 中時,會在下列狀況下使用預設的識別型存取控制 (IBAC) 原則:
  • 當有問題的使用者名稱不符合任何其他已定義 (非預設) 的 IBAC 原則。
  • 在 Sensor 與 Manager 之間連線中斷的特殊個案中。
     


NSP 中的 NAC 與 802.11Q 實作是什麼?
NSP 上 NAC 的目前實作支援的 NAC 位於來自在 NAC 監視連接埠上監視到多個 VLAN 的流量上。Sensor NAC 監視連接埠設有一個 VLAN;然而,本機基礎架構必須支援 Sensor NAC 監視連接埠上的 VLAN 與所有其他擁有需要 NAC 監視或強制執行之主機的 VLAN 之間的 VLAN 間通訊 (VLAN 間路由)。


NSP NAC 隱含信任的主機是什麼?
Network Security Sensor 會自動將下列 IP 位址從 NAC 強制執行中排除:

  • Sensor 監視連接埠 IP
  • Sensor 管理連接埠 IP
  • NSM IP (如果在 MDR 模式中,則會新增兩個 Manager)
  • McAfee NAC 伺服器 IP
  • Guest Client Portal IP
  • Remediation Portal IP
  • VPN 集訊器 IP
     

NSP DHCP NAC 模式支援哪些 DHCP 伺服器實作?
當設定 NSP 在 DHCP NAC 模式中作業時,有兩種 DHCP 伺服器實作方法:

  • 整合式 DHCP 伺服器
    在此實作中,單一 DHCP 伺服器會將 IP 位址指派給健康與不健康的主機。DHCP 伺服器設有使用者類別,並會根據 DHCP 探索封包中的使用者類別欄位來指派 IP 位址。每個使用者類別都會有對使用者類別獨一無二的已定義參數,例如 DNS IP、預設閘道及靜態路由。使用者類別可針對生產、隔離及許可前網路定義,每一個都有自己的已定義 IP 集區與參數。
     
  • 分開的 DHCP 伺服器
    此方法會為健康 (生產 IP 集區) 與不健康 (許可前與隔離) 的主機設定兩個分開的 DHCP 伺服器。每個 DHCP 伺服器會有獨立的組態資訊。其中的一個伺服器適用於健康的主機,另一個則適用於不健康的主機。
返回目錄
 

異質特徵碼組

什麼是異質特徵碼組?
舊版的 NSP 需要您執行與 Sensor 相同點版本的 NSM 軟體 (8.x、7.x)。如果您管理多個點版本的 Sensor 軟體,則您需要 Sensor 軟體每個點版本不同的 NSM。 為了解決此問題,McAfee 在 NSM 中新增了可管理舊版 Sensor 軟體的功能。 例如,NSM 8.3 可管理安裝有 8.x 與 7.x 軟體的 Sensor。 為了支援此功能,McAfee 開發了異質特徵碼組,可包含每一版 Sensor 軟體的所有特徵碼。

異質特徵碼組是一種格式,此格式將所有的主要版本包含在單一的統一特徵碼組中。管理員會下載與套用 Manager 將用來控制任何 Sensor 的單一特徵碼組。 

NSM 7.x 以上版本僅支援異質特徵碼組,不支援同質 (單一版本) 特徵碼組。


所有的特徵碼組是否將進一步成為異質?
McAfee 是否已停止發佈同質特徵碼組?
是。 McAfee 已停止發佈同質特徵碼組,所有的特徵碼組現在都是異質。


異質特徵碼組包含什麼、編號方案為何,以及您可以從特徵碼組中取得的進一步資訊為何?
異質特徵碼組中包含兩個以上採用新統一格式的個別主要版本。編號方案如下所示:sigsetW.X.Y.Z,其中:
  • W 表示所支援最新的 Sensor 軟體版本。
  • X 表示所支援最舊的 Sensor 軟體版本。
  • Y 表示特徵碼組版本號碼。
  • Z 表示組建號碼。

    例如,特徵碼組 8.7.1.1 表示此特徵碼組支援 8.x 與 7.x 版的 Sensor。
     
McAfee 如何偵測異質特徵碼組?
McAfee 有全方位的測試方法可測試異質特徵碼組,以確定與所有 Sensor 軟體版本的相容性。除了所有透過一般特徵碼組執行的測試外,McAfee 還會執行其他測試個案,以確定異質特徵碼組在使用多個 Sensor 軟體版本的異質環境中可正常運作。


我是否需要變更我的 Manager 組態以使用異質特徵碼組?
否。


每個主要版本是否將有不同的異質特徵碼組 (例如 7.x8.x)?
將只會有一個異質特徵碼組包含所有目前所支援 Sensor 版本的所有特徵碼。(例如,8.7.1.1 將支援所有執行 8.x 與 7.x 版的 Sensor)

返回目錄
 


無衝擊 Sensor 重新開機
什麼是無衝擊 Sensor 重新開機?
NSP 目前支援無衝擊重新開機與升級。 這會縮短 Sensor 重新開機所需的時間,防止流量中斷。


無衝擊重新開機如何運作?
無衝擊重新開機只會重新啟動 Sensor 上挑選的處理程序。Sensor 會進入第 2 層通過模式,並在資料路徑繼續傳遞流量時重新開機。重新開機時間也會大幅縮短,因為 Sensor 不會整個停機。


無衝擊重新開機會在什麼狀況下發生?
Sensor 如果必須從內部錯誤回復,便會一直嘗試無衝擊重新開機。您也可以從 Sensor 命令列或 NSM 啟動無衝擊重新開機。如果無法執行無衝擊重新開機,則會將一則通知傳送到 Manager,並發生完全重新開機。


所有的 Sensor 升級是否將是無衝擊升級?
這取決於 Sensor 軟體變更是否需要完全重新開機。當 Sensor 升級完成後,您會看見無衝擊重新開機選項,這視軟體版本而定。


無衝擊重新開機有何限制?
當軟體程式碼中有內部交換或核心層級變更時,升級便不支援無衝擊重新開機。此外,如果 Sensor 無法從內部錯誤回復,而且在 15 分鐘內已嘗試過三次自動復原,則在下次嘗試自動復原時,Sensor 會保持在第 2 層或關閉以進行完整重新開機。


無衝擊重新開機失敗有哪些常見原因?
如果 Sensor 上的資料路徑無法初始化,且未報告就緒狀態時,無衝擊重新開機就會失敗。
 
 

進階惡意軟體偵測

是否會封鎖 FTP 檔案傳輸?
否,Sensor 不會一致地封鎖 FTP 檔案傳輸。 對於 FTP,系統會盡力執行封鎖,且封鎖是因為 FTP 通訊協定中的限制所造成的。

檔案大小資訊不適用於 FTP 傳輸,因此 Sensor 無法確實地知道傳輸何時完成。
Sensor 可判斷大小的唯一方法就是在資料連線終止時 (收到 TCP FIN)。但這表示已傳輸檔案。

無論 Threat Analyzer 中的攻擊結果為何,FTP 檔案傳輸皆不支援封鎖。我們不將此視為問題,但這是 FTP 通訊協定所造成的限制。 Sensor 仍會擷取檔案,分析檔案是否為惡意軟體,然後引發警示。

返回目錄


Network Security Platform 8.3
我如何在 NSM 8.3 中 Real-time Threat Analyzer?
在 NSM 8.3 以上版本中,Real-time Threat Analyzer 已由 Threat Explorer 所取代。如果您必須啟用 Real-time Threat Analyzer,請執行以下步驟:
  1. 在 Manager 伺服器上,使用 Windows 檔案總管瀏覽至:C:\Program Files\McAfee\Network Security Manager\App\config
    附註:如果您將 NSM 安裝在另一個位置上,則此路徑會不同。
  2. 找出 ems.properties 檔案並使用 Windows 記事本開啟。
  3. 新增以下項目:

    iv.ui.ta.display.isEnabled=true
     
  4. 儲存檔案,然後重新啟動 NSM 服務。

NSM 8.3 支援哪些 Sensor 模型,以及哪些 Sensor 模型支援 NSM 8.3 部署的特徵碼組?
NSM 8.3 支援最新的特徵碼區段,並能夠自動將這些區段部署至 M 系列NS 系列VM 系列 Sensor。
附註:I 系列不支援,且為 EOL


我該如何匯入先前匯出的忽略規則?
此功能已於 NSM 8.3 更新,舊版的忽略規則匯入步驟也已變更。若要將先前匯出的忽略規則匯入至 NSM 8.3,請依序選取 Policy (原則)、Intrusion Prevention (入侵防禦)、Advanced (進階)、Policy Import (原則匯入)、Ignore Rules (忽略規則)。


我該如何匯入先前匯出的自訂攻擊?
此功能已於 NSM 8.3 中更新。 若要匯入先前匯出的自訂攻擊,請依序選取 Policy (原則)、Policy Types (原則類型)、IPS Policies (IPS 原則)、Custom Attacks (自訂攻擊)、Other Actions (其他動作)、Import (匯入)。


在升級成 NSM 8.3 後,攻擊記錄未顯示任何舊警示。我該如何檢視舊警示?
當您正在執行升級時,如果您看到要執行額外指令碼的警告提示 (如果您的資料庫有超過一百萬個警示,便會發生此狀況),請執行《Network Security Platform 8.3 Installation Guide》(Network Security Platform 8.3 安裝指南) (PD26343) 中<Run additional scripts>(執行額外指令碼) 一節所記載的指令碼,否則您將無法看見舊的攻擊記錄。
 
如果您沒有看到任何有關超過警示資料的警告,且/或您在檢視攻擊記錄時碰到問題,請向技術支援開啟案例,以得到解決此問題的進一步協助。
 
  

免責聲明

本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

為本文件評分

Beta Translate with

Select a desired language below to translate this page.