网络威胁防护
网络威胁防护组件(也称为入侵检测系统)监测入站网络流量以查找网络攻击的活动特征。当 Kaspersky Endpoint Security 检测在用户计算机上检测到网络攻击企图时,它将阻止与攻击计算机的网络连接。Kaspersky Endpoint Security 数据库提供了当前已知类型的网络攻击以及应对方法的描述。“网络威胁防护”组件检测到的网络攻击列表在数据库和应用程序模块更新期间更新。
网络威胁防护组件设置
参数 | 描述 |
|---|---|
将端口扫描和网络 Flooding 视为攻击 | 网络 Flooding 是对网络资源或组织(例如 Web 服务器)的攻击。该攻击包括发送大量的请求以让网络资源过载。当发生此类事情时,用户无法访问组织的网络资源。 端口扫描攻击包括扫描计算机上的 UDP 端口、TCP 端口和网络服务。该攻击允许攻击者识别计算机的漏洞程度,然后再发起更危险的网络攻击。端口扫描也允许攻击者识别计算机上的操作系统并选择针对性的网络攻击。 若选中此复选框,则 Kaspersky Endpoint Security 将监控网络流量以检测这些攻击。如果检测到攻击,应用程序会通知用户并将相应事件发送到 Kaspersky Security Center。该应用程序提供有关攻击计算机的信息,这是及时威胁响应操作所必需的。 如果一些您允许的应用程序执行了类似某些类型攻击的操作,您可以禁用对这些类型攻击的检测。这将帮助避免误报。 |
阻止攻击设备 N 分钟 | 如果启用此选项,“网络威胁防护”组件将把攻击计算机添加至阻止列表。这意味着,“网络威胁防护”组件将会在攻击计算机的首次网络攻击尝试后的指定时间段内,阻止与该计算机的网络连接。此阻止动作将会自动保护计算机免受以后来自同一地址的更多攻击。攻击计算机必须保持在阻止列表中的最短时间为一分钟。最长时间为 999 分钟。 您可以在网络监控工具窗口查看阻止列表。 当应用程序重启和网络威胁防护设置被更改时,Kaspersky Endpoint Security 清空阻止列表。 |
排除项 | 该列表包含某些 IP 地址,“网络威胁防护”不会阻止这些 IP 地址发起的网络攻击。 您可以添加指定端口和协议的 IP 地址。 应用程序不会记录有关来自排除列表中的 IP 地址的网络攻击的信息。 |
MAC 欺骗防护 | MAC 欺骗攻击包括更改网络设备(网卡)的 MAC 地址。结果,攻击者可以将发送到某台设备的数据重定向到另一台设备,并获得对该数据的访问权限。Kaspersky Endpoint Security 允许您阻止 MAC 欺骗攻击并接收关于攻击的通知。 |