خيارات لتقليل التطفل الإيجابي المزيف

خيارات التنزيل

  • PDF     (353.0 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (193.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (161.3 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٠ يوليو ٢٠١٤
معرّف المستند:117909

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

قد يؤدي نظام منع الاقتحام إلى توليد تنبيهات مفرطة حول قاعدة معينة من قواعد الشخر. قد تكون التنبيهات موجبة صحيحة أو موجبة خاطئة. إذا كنت تتلقى العديد من التنبيهات الإيجابية الخاطئة، هناك العديد من الخيارات المتوفرة لك لتقليلها.  تقدم هذه المقالة ملخصا لمزايا وعيوب كل خيار.

خيارات لتقليل التنبيهات الإيجابية الخاطئة

ملاحظة: عادة لا تكون هذه الخيارات هي الخيار الأفضل، ويمكن أن تكون هي الحل الوحيد تحت ظروف محددة.

1. التقرير إلى دعم Cisco التقني

إذا عثرت على قاعدة تشفير تعمل على تشغيل التنبيهات حول حركة المرور الحميدة، فيرجى الإبلاغ عنها إلى دعم Cisco التقني.  وبمجرد الإبلاغ عنها، يقوم مهندس دعم العملاء بتصعيد المشكلة إلى فريق أبحاث الثغرات (VRT). ويقوم فريق إعادة التأهيل والتدريب المهني بالبحث عن التحسينات الممكنة لهذه القاعدة. تكون القواعد المحسنة متاحة عادة للمراسل بمجرد توفرها، وتضاف أيضا إلى التحديث الرسمي التالي للقواعد.

2. قاعدة الثقة أو السماح

يتمثل الخيار الأفضل للسماح لحركة المرور الموثوق بها بالمرور عبر جهاز أمان Sourcefire دون فحص في تمكين الثقة أو السماح بالعمل دون وجود نهج إقتحام مقترن. لتكوين قاعدة ثقة أو السماح، انتقل إلى السياسات > التحكم في الوصول > إضافة قاعدة.

ملاحظة: قواعد Trust أو Allow المطابقة لحركة المرور التي لم يتم تكوينها لمطابقة المستخدمين أو التطبيقات أو عناوين URL سيكون لها تأثير أقل على الأداء الإجمالي لجهاز Sourcefire لأنه يمكن معالجة هذه القواعد في جهاز FirePOWER.

117909-config-sourcefire-00-00.png

شكل: تكوين قاعدة ثقة

3. تعطيل القواعد غير الضرورية

يمكنك تعطيل قواعد الشخير التي تستهدف نقاط الضعف القديمة والتي تم تصحيحها. فهو يحسن الأداء ويقلل الإيجابيات الخاطئة. يمكن أن يساعد إستخدام توصيات FireSIGHT في هذه المهمة.  بالإضافة إلى ذلك، قد تكون القواعد التي تؤدي في كثير من الأحيان إلى إنشاء تنبيهات أو تنبيهات ذات أولوية منخفضة والتي لا يمكن إتخاذ إجراءات بشأنها، بمثابة مرشحين جيدين لإزالتها من نهج التطفل.

4. العتبة

يمكنك إستخدام الحد الفاصل لتقليل عدد أحداث التسلل. هذا خيار جيد أن يشكل عندما يتوقع أن تؤدي قاعدة بانتظام إلى تشغيل عدد محدود من الأحداث على حركة المرور العادية، غير أن يمكن أن يكون إشارة إلى مشكلة إذا كان أكثر من عدد معين من الحزم يطابق القاعدة.  يمكنك إستخدام هذا الخيار لتقليل عدد الأحداث التي يتم تشغيلها بواسطة قواعد الضوضاء. 

117909-config-sourcefire-00-01.png

شكل:  تكوين الحد

5 - القمع

يمكنك إستخدام القمع لإزالة إخطار الأحداث بالكامل. تم تكوينها على نحو مشابه لخيار الحد.

تحذير: قد يؤدي القمع إلى حدوث مشاكل تتعلق بالأداء، لأنه في حالة عدم إنشاء أي أحداث، يظل على Snort معالجة حركة المرور.

ملاحظة: لا يمنع القمع قواعد الإسقاط من إسقاط حركة المرور، لذلك قد يتم إسقاط حركة المرور بصمت عندما تتطابق مع قاعدة الإسقاط.

6 - قواعد المسار السريع

وكما هو الحال مع قواعد الثقة والسماح الخاصة بنهج التحكم في الوصول، يمكن لقواعد المسار السريع أيضا تجاوز الفحص.  لا يوصي الدعم الفني من Cisco بشكل عام باستخدام قواعد المسار السريع لأنه يتم تكوينها في نافذة المتقدم من صفحة الجهاز وقد يكون من السهل تجاهلها بينما تكون قواعد التحكم في الوصول كافية دائما تقريبا. 

117909-config-sourcefire-00-02.png

شكل: خيار قواعد المسار السريع في النافذة المتقدمة.

الميزة الوحيدة لاستخدام قواعد المسار السريع هي أنها يمكن أن تتعامل مع حجم أكبر من حركة المرور.  تعمل قواعد المسار السريع على معالجة حركة مرور البيانات على مستوى الأجهزة (المعروفة باسم NMSB) ويمكنها نظريا معالجة حركة مرور البيانات بسرعة تصل إلى 200 جيجابت في الثانية.  وعلى النقيض من ذلك، يتم ترقية إجراءات الثقة والسماح إلى محرك تدفق الشبكة (NFE) ويمكنها معالجة الحد الأقصى لحركة مرور البيانات الذي يبلغ 40 جيجابت في الثانية.

ملاحظة: تتوفر قواعد المسار السريع فقط على أجهزة 8000 Series و 3D9900.

7. قواعد المرور

لمنع قاعدة معينة من تشغيل حركة المرور من مضيف معين (بينما يلزم فحص حركة مرور أخرى من ذلك المضيف)، أستخدم قاعدة Snort من نوع pass. وفي الواقع، هذه هي الطريقة الوحيدة لانجازه.  في حين أن قواعد المرور فعالة، إلا أنه من الصعب الحفاظ عليها لأن قواعد المرور مكتوبة يدويا.  بالإضافة إلى ذلك، إذا تم تعديل القواعد الأصلية لقواعد المرور بواسطة تحديث القاعدة، فيجب تحديث جميع قواعد المرور المرتبطة يدويا. وإلا فقد تصبح غير فعالة.

8. متغير snort_bpf

يتيح متغير snort_bpf في سياسة التسلل لحركة مرور معينة تجاوز الفحص.  بينما كان هذا المتغير هو أحد الخيارات الأولى على إصدارات البرامج القديمة، يوصي الدعم الفني من Cisco باستخدام قاعدة سياسة التحكم في الوصول لتجاوز الفحص، لأنه أكثر دقة ووضوحا وأكثر سهولة في التكوين.

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
10-Jul-2014
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Nazmul Rajib
    Cisco TAC Engineer
  • Nathan Jones
    Cisco TAC Engineer

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات