入侵防御

当保护虚拟机抵御入侵时，Kaspersky Security 可执行以下操作：

• 检测受保护虚拟机上的网络攻击。

  如果启用反网络攻击，当 Kaspersky Security 在受保护虚拟机上检测到网络攻击企图时，它会执行策略设置中定义的操作。例如，应用程序可终止从虚拟机到发起网络攻击的 IP 地址的连接，或终止连接并阻止来自该 IP 地址的流量以自动保护虚拟机抵御今后可能来自此地址的网络攻击。

• 在受保护虚拟机的流量中检测可疑网络活动。受保护虚拟机的流量中的可疑网络活动可能表示存在针对受保护的基础架构的入侵行为。虚拟机流量分析将应用 Kaspersky Security 应用程序数据库中包含的可疑网络活动识别规则。

  如果启用网络活动扫描，当 Kaspersky Security 检测到可疑网络活动时，它会执行策略设置中定义的操作。例如，应用程序可以终止与显示可疑网络活动的 IP 地址的连接，也可以终止连接并阻止来自此 IP 地址的流量。

如果配置了 Kaspersky Security 以阻止发起网络攻击或可疑网络活动的 IP 地址的流量，默认阻止时间长度为 60 分钟。您可以更改流量阻止时间长度。当指定的时间到期时，流量将自动解除阻止。

当确定网络攻击或可疑网络活动的来源时，应用程序将考虑流量是否来自虚拟 LAN (VLAN)。Kaspersky Security 仅在检测到网络攻击或可疑网络活动的 VLAN 中阻止来自 IP 地址的流量。

由托管网络威胁防护组件的每个 SVM 阻止的网络威胁源列表显示在此 SVM 上安装的应用程序属性中。当在应用程序设置中定义的阻止时间到期时，网络威胁源将自动从列表中删除。如有必要，您可以取消阻止来自选定 IP 地址的流量，而无需等待它们被自动取消阻止。

您可以配置 Kaspersky Security 将用来把特定 IP 地址的流量排除在扫描之外或处理此类流量时应用特殊操作的网络威胁防护排除规则。

在 VMware NSX-V Manager 管理的基础架构中，当 Kaspersky Security 检测到网络攻击或可疑网络活动时，它会将安全标签 IDS_IPS.threat=high 分配给其流量显示具有网络攻击特征的活动或可疑网络活动的虚拟机。