可疑活动 是 Network 应用程序内安全部分的一项功能，可以检测和阻止所有或选定网络潜在的有害流量，并在 UniFi 网关遇到任何可疑情况时，在系统日志中显示通知。此功能又可称为入侵检测系统和入侵防御系统或 IDS/IPS。

要求

• 下一代 UniFi 网关或 UniFi 云网关主机

可选项

可疑活动可以配置为：

• 仅检测流量并显示通知。
• 检测并阻止流量并显示通知。
• 使用不同的检测级别（低、中、高）或 自定义 类别。
• 选择一个或多个网络启用该功能。
• 配置应排除的 IP 地址或子网。

1. 测试

   测试可疑活动检测功能，首先将 检测敏感度 设置为 高，然后在 UniFi 网关下 LAN 网络的客户端设备上打开终端会话或命令提示符。在客户端运行以下命令：

   curl -A "BlackSun" http://www.example.com

   注意：测试时，客户端设备应通过 UniFi 网关发送流量才能访问互联网。如果未显示安全检测，请检查检测 敏感度 是否设置为 高，并稍等片刻，以便在系统日志部分中显示通知。

2. 隐私保证

   启用可疑活动后，将为网关生成令牌。只要签名匹配，就会通过 加密连接 发送以下信息：

   • 时间戳
   • 接口
   • 源 IP
   • 源端口
   • 目的 IP
   • 目的端口
   • 协议
   • 签名

   在 UniFi 网络应用程序下载信息之前，数据只是暂时存储。应用程序下载信息后，除攻击者的 IP 外，其他数据将从云端删除。获取攻击者的 IP 信息，可以帮助 Ubiquiti 为全球所有 Ubiquiti 用户维护最新且有效的攻击者列表。

   Ubiquiti 将使用这些信息来改进其产品和服务，包括生成 IP 信誉列表、恶意 IP 地址、威胁信息以及为 Ubiquiti 设备创建黑名单和新签名。

常见问题

1. 1. 我收到了威胁检测警报。应该怎么办？

   根据可疑活动设置，您可能会收到有关 UniFi 安全检测的通知。这些通知的存在表明您的 网关正在保护网络。

   如果您收到威胁警报，也不必过于担心。安全检测通常是无害的，只是启用可疑活动后的检测提示。

   在可疑活动配置中，您可以选择 仅检测 或 检测并阻止 威胁。如果选择后者，阻塞将持续 5 分钟。这是为了确保错误检测不会永久阻止来自客户端设备或网站的无害流量。

   如果需要永久阻止或者是允许签名流量，那么请通过 System Log 系统日志 部分中威助条目可选项：

   • 阻止此连接 - 阻止源 IP 地址和目标 IP 地址之间的流量。
   • 阻止此 IP - 完全阻止来自源 IP 地址的输入和输出流量。
   • 允许此威胁签名 - 允许此签名，不再为其生成安全检测。视为误报。
   • 允许此 IP - 允许此源 IP，不再为其生成安全检测。视为误报。
2. 2. 如何才能减少收到的通知？

   有四个 检测敏感度级别，用于控制检测和阻止类别（流量类型）。如果敏感度设置为 “高”，将会显示更多通知。

   如果您配置了端口转发到 LAN 上的客户端设备，那么会出现更多通知，因为 UniFi 网关会检查来自互联网上试图访问转发端口的设备流量。我们建议仅在必要时配置转发端口。

3. 3. 使用检测并阻止时，流量会被阻塞多长时间？

   阻塞将持续 5 分钟。这是为了确保错误检测不会永久阻止来自客户端设备或网站的无害流量。

   要永久阻止或者是允许签名，那么请通过 System Log 系统日志 部分中的可选项来进行设置。

4. 4. 启用可疑活动是否会影响性能或速度？

   可疑活动可能会降低速度或性能。可启用该功能的最大网络数量取决于使用的 UniFi 网关型号限制。

   • UDR / UDM - 10 个网络
   • UDM-Pro / UDM-SE / UXG-Pro / UDW - 20 个网络