在运行网络威胁防护任务时,应用程序会扫描入站网络流量,以查找网络攻击的典型活动。Kaspersky Endpoint Security 从当前的应用程序数据库中接收 TCP 端口号,并扫描这些端口的传入流量。任务开始时,将重置所拦截的 TCP 端口的当前连接。
为了扫描网络流量,“网络威胁防护”任务从应用程序数据库接收端口号,并接受通过所有这些端口的连接。在网络扫描过程中,它可能看起来像是设备上的一个开放端口,即使系统上没有任何应用程序正在侦听此端口。建议通过防火墙关闭未使用的端口。
检测到针对您的设备的网络攻击尝试时,应用程序会阻止攻击设备的网络活动并记录相应的事件。应用程序将来自攻击方设备的网络流量阻止一小时。您可以在任务设置中更改阻止持续时间。您可以使用--get-blocked-hosts命令查看网络威胁防护任务阻止的设备列表,并使用--allow-hosts 命令手动取消阻止这些设备。
Kaspersky Endpoint Security 会将一个特殊的允许规则链 (kesl_bypass) 添加到 iptables 和 ip6tables 实用程序的 mangle 表中。该允许规则链允许从应用程序的扫描中排除流量。如果链中配置了流量排除规则,则会影响“网络威胁防护”任务的操作。例如,要排除传出 HTTP 流量,您需要添加以下命令:iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT。
该表介绍了您可以为网络威胁防护任务指定的所有设置的所有可用值和默认值。
“网络威胁防护”任务设置
|
设置 |
描述 |
值 |
|---|---|---|
|
|
在检测到属于典型网络攻击的网络活动时执行的操作。 将此设置的值从 |
|
|
|
阻止攻击设备的网络活动。 |
|
|
|
指定攻击方设备将被阻止的时长(以分钟为单位)。 |
1 – 32768 默认值:60。 |
|
|
在检测到网络攻击时不会阻止其网络活动的 IP 地址列表的使用。应用程序将只记录来自这些设备的危险活动信息。 您可以使用 |
|
|
|
指定一个 IP 地址,其网络活动将不会被应用程序阻止。 |
默认值为未定义。 |