安全动作

配置阻断

如果设备上同时开启了黑名单功能，则报文的源IP地址被添加到IP黑名单后的老化时间为此阻断参数中配置的阻断时长。报文的源IP地址被加入IP黑名单后，阻断时长之内，后续来自该源IP地址的报文将被丢弃。如果设备上未开启黑名单过滤功能，报文的源IP地址仍会被添加到IP黑名单表项中，但后续来自该源IP地址的报文不会被直接丢弃。有关黑名单功能的详细配置，请参见“攻击防范联机帮助”。

阻断动作参数的具体配置步骤如下：

单击指定安全特性右侧的<编辑>按钮，进入修改阻断页面。
根据实际需求配置阻断时间。
图-1 修改阻断
单击<确定>按钮，完成配置。
单击<恢复缺省>按钮，可将阻断时间恢复为缺省值。
图-2 恢复缺省

配置捕获

当入侵防御或Web应用防护业务执行捕获动作后，设备会对报文进行缓存，并在满足捕获动作参数中设置的限制条件后，根据实际情况将捕获文件上送到如下路径。

表-1 捕获文件上送路径

参数	说明
指定的URL	当用户已设置上传URL，且与设备对接的云平台（即安全威胁发现与运营管理平台）未开启捕获文件上送功能时，设备会将捕获文件上送到指定的URL
硬盘/U盘	当设备检测到硬盘/U盘在位时，会将捕获文件保存到硬盘/U盘中管理员可直接从硬盘或U盘中获取捕获文件，或通过单击监控面板下威胁日志页面中指定日志右侧的<下载>按钮，获取捕获文件
云平台（即安全威胁发现与运营管理平台）	当设备检测到与其对接的云平台已开启捕获文件上送功能时，会通过HTTPS协议将IPS捕获文件上送到云平台

捕获动作参数的具体配置步骤如下：

单击指定安全特性右侧的<编辑>按钮，进入修改捕获页面。

根据实际需求配置捕获动作参数，具体配置内容如下：

图-4 修改捕获

表-2 捕获动作参数配置内容

参数	说明
最大捕获千字节数	设备可缓存的捕获文件的最大千字节数当设备缓存的报文的字节数达到指定的上限值时，系统会将缓存的报文上传到指定的URL上，并清空本地缓存，然后重新开始捕获报文如果配置的捕获报文的最大字节数为0，则系统会将捕获到的报文立刻上传到指定的URL上当设备检测到与其对接的云平台已开启捕获文件上送功能时，本参数将对入侵防御业务失效，其他业务不受影响
上传URL	捕获文件的上送地址，仅支持FTP、TFTP和HTTPS协议，例如ftp://server、ftp://username:password@server、tftp://server或https://server/upload。推荐在配置基于FTP协议的URL时单独使用服务器的用户名和密码，如ftp://server username password 如果未配置上传捕获报文的URL或者URL不可达，则设备依然会上传捕获到的报文，但是会上传失败，本地缓存的捕获文件也会被清空仅入侵防御业务支持HTTPS协议的上送地址当设备检测到与其对接的云平台已开启捕获文件上送功能时，本参数将对入侵防御业务失效，其他业务不受影响
用户名	仅在基于FTP协议的URL时，支持输入FTP服务器的用户名和密码。 FTP服务器的用户名
密码	FTP服务器的密码仅支持输入FTP服务器的明文密码
定时上传时间	周期性上送捕获文件的时间当到达指定的上传时间时，系统将向指定的URL上传缓存的捕获报文，并清空本地缓存当设备检测到与其对接的云平台已开启捕获文件上送功能时，本参数将对入侵防御业务失效，其他业务不受影响
每会话捕获报文的最大千字节数	表示每个会话中支持捕获的报文的最大字节数当每会话缓存报文的总字节数达到设置的每会话捕获报文的最大字节数时，系统会将缓存报文保存到指定的捕获文件中，并清空缓存数据本参数仅对入侵防御业务生效本参数的支持情况与设备型号有关，请以设备实际情况为准
最大缓存占比	表示捕获报文的最大缓存空间占设备总内存空间的百分比当缓存报文的总字节数达到设置的最大缓存占比时，系统会停止新建会话的报文缓存，已缓存的会话不受影响本参数仅对入侵防御业务生效
上传文件格式	捕获报文支持以ZIP压缩包的格式打包上传以及单个报文PCAP文件上传。相对于PCAP格式，ZIP格式可以提升文件上传效率，同时方便管理员对整个事件进行回溯分析当配置入侵防御业务对整条流量进行捕获时，将占用设备大量的内存资源，建议配置以ZIP格式上传捕获文件，减少对设备内存资源的占用，提升上传效率本参数仅对入侵防御业务生效

单击<确定>按钮，完成配置。
单击<恢复缺省>按钮，捕获动作参数将全部恢复为缺省值。
图-5 恢复缺省

安全动作

特性简介

vSystem相关说明

使用限制和注意事项

配置指南

配置准备

配置阻断

配置重定向

配置捕获