UniFi 网关 - 入侵检测与防御(IDS/IPS)
UniFi 入侵检测与防御系统(IDS/IPS)是一项提升网络安全的关键功能。该系统作为防线,能够发现和防御威胁,防止安全隐患造成损害。
如需了解 UniFi 网络与网络安全 能力的完整介绍,请参见此处。
如需了解 UniFi 流量与策略管理 能力的完整介绍,请参见此处。
什么是入侵检测与防御?
- 入侵检测系统(IDS):监控网络流量中的可疑活动并向管理员发出警报。
- 入侵防御系统(IPS):与 IDS 类似,但还能主动阻止已检测到的威胁。
IPS 和 IDS 为什么重要?
- 威胁检测与防御:识别恶意流量,防止潜在损害。实时签名更新确保您始终防御新型和不断变化的威胁。
- 持续监控与分析:提供详细的安全事件日志,帮助您更好地理解网络趋势。
- 合规性:有助于满足安全标准和合规要求(如 PCI-DSS、HIPAA 等)。
什么是威胁签名?
IDS/IPS 通过扫描网络流量中特定的模式(即 签名 )来检测已知威胁。系统采用深度包检测(DPI),全面检查数据包在网络通信各层的内容:
- 第 3 层(网络层):IP 地址
- 第 4 层(传输层):端口和协议
- 第 7 层(应用层):应用数据载荷
某些签名可能匹配单层或多层的多个元素,可以在单个或多个数据包、甚至整个会话中识别。例如某个签名可能会检测特定 IP 地址在特定端口上发送多个指定大小的数据包。
UniFi 内置成千上万条签名,按 威胁类别分类,便于灵活调整防护策略以适配组织需求。
IDS/IPS 配置方法
配置 IDS/IPS,请按照以下步骤:
- 进入 网络设置 > 安全 > 防护。
- 启用 入侵防御开关。
- 选择 需要应用 IPS/IDS 的网络。
- 配置 检测模式为“仅通知(IDS)”或“通知并阻止(IPS)”。
- 选择 要应用的检测项。
CyberSecure 威胁签名扩展
CyberSecure 是一项按站点订阅服务,大幅扩展了 IDS/IPS 入侵检测与防御使用的威胁签名数据库。请参见 CyberSecure 相关文章以获取详细信息。
针对检测采取响应
检测到威胁时,IPS 与 IDS 都会生成邮件及移动推送通知。而 IPS 还会自动阻断已检测到的威胁。
- 查看检测日志:
- 前往“系统日志 > 安全检测”或“洞察 > 检查”标签页查看检测详情。
- 识别重要告警信息:
- 识别受影响客户端、威胁源 IP、协议、签名、威胁类别、日期/时间及其他相关信息或描述。
- 核查威胁详情:
- 查询威胁签名:查找网络安全领域专家的分析,或查阅权威数据库与社区了解更加详细及最新的信息。
- 判断流量是否正常:根据 IP 所属于的实体判断其流量是否可信,从而判断是否为误报。注意:媒体和游戏类流量常见误报。
- 检查受影响客户端:检查设备是否存在明显异常,例如变慢、不响应或弹窗广告等。
- 确认操作系统关联:若某签名与特定操作系统相关,确认设备是否运行该 OS,否则大概率为误报。
- 采取相应措施:
IDS/IPS 测试方法
请按以下步骤测试 IDS/IPS:
- 确认 黑客与漏洞 分类中的 恶意 User Agent 项已启用。
- 在已接入 UniFi 网络的客户端打开终端或命令提示符。
- 执行以下测试命令:
curl -A "BlackSun" http://www.example.com
- 检查“系统日志 > 威胁”或“洞察 > 流量 > 威胁”是否有相关告警。
常见问题解答(FAQ)
-
UniFi 是否支持实时签名更新?是的,UniFi 的 IPS/IDS 签名数据库实时更新,持续保障您免受新型与变化中的威胁。
-
每条签名中显示的高级信息是什么?在 Flows 页面,每个签名均包含高级信息,显示触发该签名的具体条件,包括用于通信的源/目的 IP 和端口。
-
每个签名显示的风险等级是指?在 Flows 页面,签名包含风险等级(高、中、低、信息类),用于指示威胁的严重程度。检测项应加以甄别,以确定是真威胁还是误报,并采取相应措施。
-
启用入侵防御是否影响速度或性能?
启用该功能会提升 CPU 和内存占用。因此我们会限制其可同时作用的网络数量。
由于流量被主动检测,最大路由速率可能下降。详情请参见 techspecs.ui.com。
-
我的信息是私有的吗?
是的,UniFi 保证您的数据安全与隐私。仅会保存 攻击者的 IP 地址以完善威胁数据库。
注意:安全检测触发时,包括时间戳、IP 地址、端口、协议和签名等元数据会临时通过云端加密通道,之后会被彻底删除。
