一、在线防护的需求

 

现在在网络安全方面存在着许多安全风险,并且呈现不断上升的趋势,这些不断增长的风险包含更多的复杂性和变化性。安全管理员需要一种途径来检测和阻止这些***,并且能够经常了解新的***行为,以便阻止这些***。

wKioL1e-koej1JJXAAAtKBKnJHw026.png

2-1 网络***

FireWall-1 Access Control(访问控制)可以对通过防火墙中的可疑连接进行阻断,但是很多的***是使用被误开放的通道和服务。例如,如果将ICMP pings的服务开启,大量的此类连接就形成了拒绝服务***(DOS),从而阻止了其他有效的访问链接。另外一个例子是SYN的***,它将阻止一台基于TCP/IP的服务器对其他的用户提供服务。这个***是通过在一次握手的连接中不向服务器的SYNACK(同步-应答)响应发送最后的应答,这将导致服务器保持此状态直到最后超时。

内容安全,一般提供病毒检测等功能,但这些是不够的。它还能够检测单个数据报的内容,但是必须是基于某个特定的服务,而且不能检测包含有恶意行为的模式。

 

 

二、SmartDefense的解决方案

 

本节主要内容

1、  SmartDefense的简介

2、  SmartDefense订阅(subscription)服务

3、  SmartDefense功能分类

4、  SmartDefense的工作方式

5、  SmartDefense的树型结构

 

1、  SmartDefense简介

Check Point SmartDefense为识别和防御不同类型的***提供了统一的架构。在安全规则表中没有明确定义保护措施的情况下,SmartDefense也能为网络提供在线防护的能力。它分析通过网络的连接,跟踪潜在的威胁事件并且可选择地进行报警。应用智能安全技术(intelligent security technology)可以保护客户免受全部已知的和大部分未知的网络***。

保持最新的防御措施不需要最新的技术知识。只需要简单地点击就可以从SmartDefenseweb站点上获取所有最新的防御知识库。

SmartDefense提供了一个有以下功能的控制台:

l  选择需要进行防御的***行为,以及获取***行为的详细信息。

l  简单配置针对不同***的参数,包括记录的选项。

l  在受到***时接收实时的信息,更新SmartDefense的最新功能。

注意:SmartDefense只能被部署在安装有Check Point NG FP2和更高版本的网关产品上。前期的版本不能进行任何的智能防护的定义。包含有最新防护库的最新版本只能应用在Check Point网关产品的最新版本中。

 

2、  SmartDefense订阅服务

智能防护功能已经免费包含在FireWall1的产品中。但是,用户需要订购智能防护的订阅服务,以便随时获得及时更新的防护知识库,以下是checkpoint智能防护站点:http://www.checkpoint.com/techsupport/documentation/smartdefense/index.html

1)      HTTPCIFS蠕虫信息;

2)      检测脚本(INSPECT file)更新;

3)      动态***防护。

已经订阅的客户能够通过简单的点击自动进行SmartDefense升级。没有有效的订阅许可的客户不能进行在线的防护知识库更新,但可以手工定义HTTPCIFS的蠕虫防护信息。

 

3、  SmartDefense的功能分类

CheckPoint SmartDefense用户免受***和其他不合理的或可疑的访问连接。它提供以下的分类功能:

l  防御***行为(Defense against attacks

l  隐含防御措施(Implicit Defense)

l  可疑行为分析(Abnormal Behavior Analysis)

一些SmartDefense的特征(featrue 应该是指特征库内的***特征类型的脚本码)提供了不止一个种类的功能。比如,初始序列号码防御(ISN Defender)不仅可以防御一个特定的***行为,而且还可以内置防御。

1)  防御***行为(Defense against attacks)

Check Point SmartDefense保护客户免受已知或未知的***。***行为被截停在网关处,保护作为***目标的目标服务器。

SmartDefense配置简单,并且对于管理员来说,在进行***防御的同时不需要去了解***行为的技术细节。

SmartDefense特征库能够防御以下类型的***行为:

l  拒绝服务***

l  TCP/IP协议***

l  Web和应用的漏洞

l  网络探测

l  HTTP蠕虫

示例:ISN防护

一个TCP连接开始于三次握手的过程。客户端发送一个SYN数据报,服务器回复SYN/ACK,最后客户端发送一个ACK来建立连接。对于每次的SYN/ACK,服务器同时产生一个序列码(SN)来区分不同的连接。

序列码(SN)一般由某些种类的密钥来产生,对于一些操作系统来说,我们可以从上一个的SN猜测出下一个SN。一个通过猜测获得有效SN的外部客户端可以通过这个SN来发送一个SYN/ACK的数据报,以便建立连接。这个连接可能来自于一个实际不存在的IP地址,也有可能携带有害的数据内容。

SmartDefenseISN防护通过使用本身产生的SN(使用强加密的密钥)替代服务器生成的SN来防御这类的***。

 

2)隐含防护(Implicit Defense)

隐含防护措施可以保护包括互联网的内部网络实体的信息,这些信息将被重新定义。

例如,当一台内部的服务器建立一个TCP连接,它将发送连续的序列号(SN)。对于某些操作系统来说,这些SN可以判断操作系统类型。SmartDefense使用“指纹欺骗”来保证外部客户端不能判断内部服务器使用的操作系统类型,这主要通过指纹的替代来实现。

 

3)可疑行为分析

SmartDefense提供报表和分析网络访问行为模式。它通过分析由FireWall1执行点模块发到管理模块的日志来检测这些行为模式。如果检测到一个可疑的行为,管理员可以通过日志或其他方式的报警来跟踪当前访问,具体的方式由配置的设定决定。

例如,有一个连续的事件被侦测到,从而许多类的连续事件都将被配置定义。对于每一类的连续事件来说,如果此类访问的行为在一个给定的时间段里的重复次数超过了定义的次数,那它将被认为是可疑的活动。

 

4SmartDefense的树形结构

SmartDefense控制台被划分为一个树状结构,用来分类SmartDefense的防护功能。下面概述了树型结构的主要分类。

注意:SmartDefense的更新功能被添加到树型结构的一个分类当中,与***防护分类相同。

 

1Anti-Spoofing Configuration Status(防欺骗配置情况)

        这个页面说明如何在网关中配置防欺骗的设置。它主要存在于Checkpoint网关的防欺骗未激活的情况中,例如,在接口卡的“IP address behind this interface”属性设为“Not Dfined”。在重新配置某个网关时你可以改变这个设定。

2)  Network Security (网络安全)

Denial of Service

拒绝服务(DoS)***的目的是通过向目标服务器发送大量的伪造数据,导致目标服务器不能响应合法的请求。这类***利用操作系统的漏洞以达到远程***机器的目的。

IP and ICMP

这个页面允许激活有关第三层尝试的详细序列(IP ICMP协议)。例如,当企图使用分片越过防火墙或发起拒绝服务***时,分片的超时记录会在发现这些数据包的同时进行日志的记录。

TCP

       ×××1/FireWall1进行基于IP和基于协议的鉴别,也能够通过分析数据报来确认是否包含允许选定的内容。

为了检测TCP的数据报是否合法,将执行以下的测试:

l  协议类型检测

l  协议头分析

l  协议标记分析和验证

SYN***防护可以保护服务器免受来自TCP连接的SYN包可能导致的拒绝服务***。

序列验证是一种在TCP连接中匹配TCP数据报的序列号的机制。在一个TCP会话中,匹配连接的数据报如果包含有不正确的序列,数据报将被丢弃或被剥离。

Fingerprint Scrambling

在某些情况下可以根据操作系统或连接的指纹特征来判断机器的操作系统类型或模拟一个已存在的连接。SmartDefense通过误报指纹信息来使这个情况变得不可能。

Successive Events

       Successive Events detection(连续事件侦测,从前的恶意活动检测)提供了用来检测可疑和恶意的访问行为的机制,并且及时通知安全管理员。

       连续事件侦测运行在SmartDefense服务器上,并且分析来自×××/FireWall执行模块的日志,以日志中的数据匹配***特征。

       安全管理员能够修改***侦测的参数,开关对某些特定***的侦测,甚至将Successive Event特征库全部关闭。

       那些不发送到SmartCenter服务器的日志(例如本地日志和发送到日志服务器的日志)将不会被分析。

Dynamic Ports

    一部分应用(例如重负载的FTP以及SIP协议)在建立连接的时会动态打开端口。如果这些端口与在SmartDashboard中预先定义的端口相同,那么这些端口将被关闭。使用这个页面的选项可以定义将一个连接打开的动态端口关闭(drop),无论这个端口是否与预定义的端口相同。也可以选择只要是被动态打开的低端口(小于1024)都将被关闭。

3Application Intelligence(应用智能)

Web

HTTP是一个用来连接互联网上服务器的信息传输协议。它的主要功能是与Web服务器建立连接,并且向客户端的浏览器传送HTML页面。

       在这个页面中允许你配置关于HTTP协议的不同防护措施。例如,general HTTP Worm Catcher可以消除大部分使用HTTP服务器和客户端安全漏洞的企图,使用正确的表达来匹配HTTP头。

这也使得可以不在规则表中进行配置就可以对全部HTTP访问激活security server(CheckPoint的一项安全服务)防护。

Mail

SMTP security server允许严格执行SMTP协议。它能够防止恶意的邮件,通过集中地提供SMTP协议的安全来防止通过邮件转发来跳过规则表设定,预防拒绝服务以及垃圾邮件的***。一般情况下security server在安全规则表(Security Rule Base)的resources(资源)和authentication(验证)规则中进行定义。

在这个页面中允许你选择哪种类型的操作将被应用到通过security serverSMTP连接上。点击Configuration applies to all connections把所有的SMTP连接都执行在SMTP security server中设置的安全检验,即使在规则表中没有定义resource。点击Configuration apply only to connections related to rule base defined objects会将这些配置应用到在规则表中定义了resourceSMTP连接。

FTP

这个页面中允许你配置有关FTP协议的保护内容。例如,防止FTP端口溢出检验,以及阻止企图使用FTP服务器成为其他恶意操作的代理端。

       DNS

DNS协议用来通过服务器别名识别其IP地址。DNS的协议信息可以通过TCPUDP协议进行传输。选择这个选项表示所有使用UDP协议以及DNS端口进行的连接都是与DNS有关的。另外,强制DNS的查询和应答数据的类型是符合要求的。

       VoIP

SIPSession Initiation Protocol)是VOIP的协议,使用UDP协议。如果选择这个选项并且在规则表中有明确的SIP规则,SmartDefense将检验SIP的头以确保其内容的有效性。

       5SmartDefense的工作方式

FireWall1的网关作为一个执行点部署在网络边界时,它控制着所有经过网络边界的访问。SmartDefense的一些功能在单个网关上执行或者是由SmartCenter服务器制定到安全策略(Security Policy)中,以分布到每个执行点中。在FireWall1的网关上SmartDefense使用CheckPoint的状态检测技术(Stateful Inspection Technology)来阻断各种***。

 

 

三、设置SmartDefense需要考虑的问题

       SmartDefense是一套简单易用的系统。在计划安装时需要考虑的问题是,选择某个SmartDefense的规则是依据性能的开销还是为了更加有利于客户组织的安全性。

对于HTTPSecurity Server而言,通过FireWall1的核心进行大部分的安全检测能够获得更好的性能,尽管在核心中并不能进行全部Security Server所具备的检测功能。

对于FTP和邮件的Security Server,你可以选择在所有的连接上使用Security Server进行安全检测,也可以在某个连接上使用在规则表中指定的resource。在所有的连接上进行Security Server检测需要更多的系统资源来保持性能。

 

四、配置SmartDefense

配置SmartDefense非常简单,操作如下:

1、  SmartDashboard的工具栏中,点击SmartDefense图标;

2、  SmartDefense Setting窗口中选择SmartDefense的种类,以查看不同种类的相关信息。要查看特定***的详细内容可以点击“+”,然后选择***类型。

3、  选择你需要进行防护的***类型,然后对各类的***进行配置。

4、  安装安全策略(Security Policy)。如果改变了SmartDefense配置,那么需要重新安装安全策略。

 

获得SmartDefense的最新防护策略更新

SmartDefenseWeb站点上可以获得最新的防护策略,依次点击SmartDefense SettingsGeneral,然后点击Update smartDefense

 

配置实例:对SYN***的防护

SYN***描述:SYN***会阻止一台TCP/IP服务器向其他用户提供服务。这个***在一次握手的连接中不向服务器的SYNACK(同步-应答)响应发送最后的应答,这将导致服务器保持此状态直到最后超时。这个连接的客户端源地址当然是伪造的,SYN潮水般的***会导致服务器超额负载,最终机器崩溃。

SYN***配置:对SYN***的防御可以在所有的执行点模块中由SmartDefense来配置,也可以对每个执行点模块进行指定的SYN***的配置。

1.在SmartDashboard工具栏中点击SmartDefense图标。

2.在smartDefense Settings窗口选择TCP分类,点击“+”展开各个分支,然后选择SYN Attack

3.配置安装。在SmartDefense中选择Orerride module’s SYN Defender configuration来激活对所有模块的保护。选择Activate SYN Attack Protection,然后点击Configure选择期望的参数。

如果你希望在每个模块中制定SYN的防御策略,那么每个模块的设定都可以通过依次点击CheckPoint Gateway对象中的AdvancedSYNDefender,然后进行具体设定。对于没有制定SYNDefender设置的模块可以在Configure的设置中设定为Early Versions SYNDefender configuration

       4.安装安全策略

      

五、SmartDefense  StormCenter模块

 

本节主要内容

1.         与***检测协作的需求

2.         针对Storm Center集成的CheckPoint解决方案

3.         安装计划注意事项

4.         配置部署StormCenter模块

 

1、  与***检测协作的需求

在很多时候***们用来***私有网络的各种技术在不断增加,而很少有用户组织能够获得最新的防护策略来防范最新的***。网络Storm Center通过主动合作来帮助安全管理员进行***的对抗。Storm Centers收集各种***的日志信息。这种通过全球范围的组织主动获得的信息将对大家都有利。Storm Center通过一条立即生效的途径对网络安全进行比较,并给出有关实时威胁的报告。

wKiom1e-kqmSa1AWAABTuk-kTto077.png

2-2Storm Center与各组织之间的协作

 

2、针对Storm Center集成的CheckPoint解决方案

介绍

       SmartDefense Storm Center模式包括了标准的FireWall1的产品安装。它通过两条信息途径在网络Storm Center和需要网络安全信息的组织之间进行信息传递。

主导的Storm Center之一就是SANS Dshield.org http://secure.dshield.orgDShield.orghttp://secure.dshield.org/report.html这个页面收集各种统计信息以及提供一系列的报告。

CheckPoint Smart Defense通过两种方式与SANS DShield.org Storm Center进行集成,如图2-3所示。

l  DShield.org产生一个阻断列表(block list)的报告,在这里包含一个需要阻断的地址范围的列表。这个列表是经常更新的,SmartDefenseStorm Center模块通过一种途径接收这个列表,并将列表加载到安全策略当中使其生效。

l  你可以决定将你的日志传送到Storm Center以帮助其他的组织抵御指向你网络的威胁。你也可以通过在规则中设定将需要传送的日志上传。

 

wKiom1e-kryxNf11AABCSg8VIvg952.png 

2-3 如何接收阻断列表和提交日志

 

如何接收阻断列表

       安全管理员在SmartDashboard中的Dynamic Object定义一个叫CPDShield(该命名是固定的)的对象,然后将这个对象放到一条规则当中。这个对象作为规则的源访问(一般情况下,这个访问将被丢弃),以后将在FireWall1网关中安装策略。

FireWall1网关中的一个代理应用(后台程序)会安装Storm Center 模块,通过HTTPS协议从http://secure.dshield.org/block_list.html接收包含可疑IP地址的阻断列表。在每次更新时段中(一般是三个小时),代理应用自动获得阻断列表,并且将阻断列表中的IP地址转移到动态对象中。这个处理过程会被SmartView Tracker进行日志记录,保存在FireWall1的日志中,如图2-4所示。

 

wKioL1e-ktahSxK8AAEIvuh9KgE971.png

2-4 SmartView Tracker中显示获取阻断列表

 

       如何向Storm Center上传日志

安全管理员可以决定将某些日志上传。例如,可以指定规则4、规则5和规则12的日志进行上传。检测到的HTTP蠕虫日志也可以上传。

管理服务器的日志上传代理(后台程序)将产生两种类型的日志:正式的日志和紧凑的日志摘要,日志摘要只有每个端口被拒绝和丢弃的号码。

Storm Center通知日志上传代理发送正式日志、摘要日志或者全部类型的日志。

日志上传代理发送由安全管理员选定的日志到Storm Center,类型则由Storm Center决定。日志的提交由HTTPS POST来完成。日志上传代理是一个兼容OPSECLEA客户端程序。日志将被压缩进数据库。

 

上传日志包含的内容

上传到Storm Center的日志包含以下信息:

l  连接参数:源IP地址、目标IP地址、源端口、目标端口(确切的说是服务),IP协议(例如UDPTCP或者ICMP)。

l  规则参数:Time(时段),操作(action)。

l  日志的详细描述。

对于HTTP蠕虫,日志中包含有同样的连接参数和规则参数,还包含***定义和探测到的URL信息。

上传的日志就是SmartDefense的日志,如图2-5所示。

wKioL1e-k0qRsqrnAAClRG_rDQ4261.png

2-5 SmartView Tracker中显示上传到Storm Center的日志

 

 

       删除上传日志中的识别信息

通过掩盖指定的包含特定数值的位(bits),可以在上传日志中将来自目标IP地址字段中的识别信息进行删除。日志一般会收集指向内部IP地址并且来自于外部网络的***信息,所以,目标IP地址信息中显示的是网络内部IP地址。

掩码可以将内部IP地址的大部分位(bits)进行期望中的删除替换。一个零位的掩码可以隐藏整个IP地址。使用32位的掩码能够表示一个完整的IP地址。使用8位的掩码可以替代8个有效位而转换为一个IP地址,可以将192.168.46.88转换为0.0.0.88

 

如何保证真实性

阻断列表和上传日志通过SSL进行鉴别并安全传输。由Storm Center认证中心发送给Storm Center模块的证书被保存在本地。本地保存的证书有两个目的:

1)        通过校验接收到的阻断列表中的证书的有效性来检查发放阻断列表的源机构的真实性。

2)        在上传日志时,与Storm Center建立一个SSL的连接来保证日志被正确地传送到Storm Center

SANS DShield.org的证书中心是Equifax。本地保存的证书的名字是equifax.cer,在Storm Center模块安装时这个文件保存在conf的目录下。

DShield.org将鉴别日志上传者的用户名和口令,用户名和口令是上传者在DShield.org进行注册时获得的。

 

日志尺寸和对FireWall1性能的影响

接收阻断列表基本不会影响FireWall1的性能,因为系统只用接收非常小的数据内容。上传的日志只是全部SmartDefense日志的一个子集,并且是被压缩的。日志的尺寸取决于记录日志的间隔事件以及日志数据库的最大尺寸。粗略计算,10000行的日志约有200KB

 

3、安装计划注意事项

       在哪里存放包含阻断列表的规则

正确的存放阻断列表规则对于Storm Center模块的有效发挥是非常重要的。在安全规则表中尽可能地将阻断列表规则放置在前面执行,但是,必须在所有认证(authentication)规则和任何一个你能确认包含有重要源对象的规则后面。如果规则放置的太靠后,那么起到的效果将会很有限。如果放置的太靠前,也会导致有效的用户被阻断。

需要发送到Storm Center 的日志

Storm Center感兴趣的日志部分主要有:

1)  对网络内部不必要的80端口的访问。

2)  丢弃所有访问的规则(就是规则表中的最后一条规则,它将所有在前面没有明确定义允许的访问进行丢弃)。

3)  包含有Dynamic Object的规则,这个规则将丢弃所有来自阻断列表中的访问。

4)  SmartDefenseGeneral HTTP Worm Catcher捕获的HTTP蠕虫。

 

不需要发送到Storm Center的日志

对于记录内部访问的日志是不需要发送的。

 

需要从上传日志中删除的识别信息

在上传日志中你可以隐藏内部网络IP地址的部分信息。所有的内部地址可能都是私有的、非路由的地址,你觉得没有必要去隐藏这些地址,但是,从另一个方面来说,非路由的地址也可能暴露内部网络结构的拓扑信息。

 

4、配置Storm Center模块

1你必须在http://secure.dshield.org上注册才能够向DShield.org发送日志信息。注册后你可以获得用户名和口令。但是接收阻断列表不需要进行注册。

2然后在安装由Storm Center模块的机器上配置以下内容

l  FireWall1网关上的阻断列表的接收代理

l  在管理服务器上的日志上传代理(只有当你愿意给Storm Center上传日志时设置)

FireWall1网关和管理服务器安装在同一个机器上时,你可以同时配置日志上传和阻断列表接收的参数。

 

配置阻断列表接收代理

3)如果你想改变阻断列表接收的缺省参数,那么在安装有Storm CneterFireWall1 网关的机器上修改%FWDIR/conf目录下的Stormcenter.conf配置文件。主要参数如下:

wKioL1e-k4mwtpeKAAAdmiRv-3w918.png

4)在%FWDIR/bin的目录下启动阻断列表接收(下载)代理。

wKioL1e-k57hcEvGAAAEwZ3C060002.png

注意:为了关闭日志上传(上载)代理以及运行阻断列表接收(下载)代理,可以在执行cprestart后再执行stormc config down操作。

5)需要通过停止再启动FireWall1(使用cpstopcpstart)来激活修改的配置。当机器重启时,代理程序会和FireWall1一起被启动。

 

配置日志上传代理

如果你想上传日志到Storm Center,在安装有Storm Center的管理服务器上执行以下步骤,在进行操作时需要root的权限:

6)编辑%FWDIR/conf目录下的Stormcenter.conf文件,然后配置相关日志上传的参数。主要参数如下:

wKiom1e-k7KRnl1QAAAl3x2rUVI046.png

部分上传日志的缺省配置参数是可以修改的。在:LogRules”3 4 12”)条目中你必须指定适当的规则号。

注意:如果需要上传的规则号变化,那么需要重新配置Stormcenter.conf文件。例如,当删除规则和增加规则时,会导致规则号的变化。

同时在下面的参数中也必须指定与之相适应的参数:

       :LogWormPatterns  (1)

1”是进行Worm Catcher日志的收集与发送,“0”则不做处理。

       :UserName(john)

       :Password(doe)

       :DestIPMask(0)

7)为了获得来自SmartView Tracker的日志,需要编辑conf/stormc_opsec.conf文件,将其中的lea_serverela_server的参数修改为与管理服务器一致的IP地址。这是stormc_opsec.conf的范例:

wKioL1e-k8iQ4arxAAAXWh03ntw695.png

8)在%FWDIR/bin启动日志上传(上载)代理:

wKiom1e-k9vgh8wWAAAEtWU76G0085.png

注意:为了关闭日志上传(上载)代理以及运行阻断列表接收(下载)代理,你可以在执行cprestart以后执行stormc config down的操作。

 

9)停止再重启FireWall1(执行cpstopcpstart)可以激活改变的配置。在重启时,代理会自动与FireWall1一起启动。

10)停止FireWall1,然后重启(执行cpstopcpstart)。

 

配置安全策略

安装和配置Storm Center模块后,接着进行安全策略的配置:

11)安装有Storm Center模块的FireWall1网关和管理服务器必须能够使用HTTPS连接到Storm Center。如果需要的话就定义一个适当的策略保证以上的通讯。

12)需要在安全策略当中定义一个名为CPDShield(该名称区分大小写)的Dynamic Object来接收阻断列表。

13)增加一个阻断列表规则,见图2-6。这条规则尽可能地放置在规则表的前面,但是必须在所有的认证规则和能够确认有明确源地址访问规则的后面(详见“如何部署阻断列表规则”)。

wKioL1e-k_aCcfexAAAX9XzXFqc053.png

2-6 阻断规则列表

警告:如图2-6所示,包含有Dynamic Object的阻断列表规则只能安装在有Storm CenterFireWall1网关上。

14)在决定进行日志上传的规则中,Track的选项不能是NONE。如果有可能,最好建立一条合适的规则。

15)安装下发安全策略。

 

Storm Center参数

阻断列表接收参数

DataURL

用来接收IP阻断列表的URL

CertificateFileName

Storm Center证书中心发放的证书的文件名。这个证书是用来通过SSL验证DataURL的。证书必须放置在产品安装目录的conf目录下(也可以指定全路径名)。

SignatureURL and SigPubKeyFileName

将来使用

RefreshInterval

使用分钟来定义一个时间间隔,获取最新的阻断列表以及更新dynamic object。允许的范围:1-10080

ExpireDataAfter

以天数来定义一个时间,在这个时间之后删除检索到的地址(换句话说,在这个时间之后,阻断列表中的地址将被允许通过),或者发布一个阻断列表的超期日期(在此之后不再使用),允许范围:1-365

日志上传参数

UploadURL

指定收集的数据需要上传到的URL

CertificateFileName

与阻断列表接收的参数相同。

UploadInterval

以分钟定义一个时间间隔进行数据的上传,允许范围:1-10080

UploadDBName

定义一个存储日志信息的文件的文件名。

MaxDBsize

KB为单位定义收集日志文件的大小。当达到这个限制时,将暂停收集日志,在清理处空间后可以继续收集信息(例如,清理已经上传的数据)。

LogRules

定义收集哪条规则的日志(指定规则的Track项不能是NONE)。

LogWormPatterns

1”为收集和发送Worm Catcher日志,“0”为不做处理。

UserName,Password

在上传数据时,必须分别包含用户名和口令(在注册到StormCenter时获得)。

DestIPMask

在收集到的日志当中用来隐藏目标IP地址的位的数值。一个零位的掩码可以隐藏整个IP地址。一个32位的掩码可以完整地显示内部IP地址。如果该位定义为24,那么地址10.11.12.13变为0.11.12.13进行发送。