使用网络威胁防护组件,您可以扫描入站网络流量,查找典型的网络攻击活动。
KESL 容器不支持此功能。
Kaspersky Endpoint Security 从当前的应用程序数据库中接收 TCP 端口号,并扫描这些端口的传入流量。
为了扫描网络流量,“网络威胁防护”任务从应用程序数据库接收端口号,并接受通过所有这些端口的连接。在网络扫描过程中,它可能看起来像是设备上的一个开放端口,即使系统上没有任何应用程序正在侦听此端口。建议通过防火墙关闭未使用的端口。
启用“网络威胁防护”后,拦截的 TCP 端口的当前连接将被重置。
如果启用了网络威胁防护,在检测到受保护设备上的网络攻击尝试时,应用程序将阻止攻击设备的网络活动并创建“检测到网络攻击”事件。该事件包含有关攻击设备的信息。
默认情况下,来自攻击设备的网络流量会被阻止一小时。一旦阻止时间到期,应用程序就会解除对设备的阻止。
如果设备上的“网络威胁防护”设置是通过策略定义的,则默认启用网络威胁防护。如果在设备上应用本地配置的设置,则默认禁用网络威胁防护。
您可以启用或禁用网络威胁防护,还可以配置防护设置:
您可以在命令行中使用管理受阻止设备的命令来查看受阻止的设备列表,并手动解除对这些设备的阻止。除“检测到网络攻击”事件外,Kaspersky Security Center 不提供用于监控和管理被阻止设备的工具。
Kaspersky Endpoint Security 会将一个特殊的允许规则链 (kesl_bypass) 添加到 iptables 和 ip6tables 实用程序的 mangle 表中。该允许规则链允许从应用程序的扫描中排除流量。如果链中配置了流量排除规则,则会影响“网络威胁防护”任务的操作。例如,要排除传出 HTTP 流量,您需要添加以下命令:iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT。