|
|
Когда клиент Symantec Endpoint Protection обнаруживает атаку из сети, он автоматически блокирует соединение, чтобы обеспечить безопасность компьютера. Клиент активирует активный ответ, в результате чего все соединения с IP-адресом атакующего компьютера автоматически блокируются на заданный интервал времени. IP-адрес атакующего компьютера блокируется в одном расположении.
Обновление сигнатур IPS, сигнатур атак типа "отказ в обслуживании" и сканирование портов также может вызвать активный ответ.
IP-адрес атакующего компьютера можно узнать в журнале безопасности. Если блокировку атаки необходимо снять, то следует остановить активный ответ в журнале безопасности.
См. Включение и выключение параметров предотвращения вторжений.
См. Блокирование трафика.
Как заблокировать атакующий компьютер
В разделе "Защита от угроз из сети" нажмите кнопку Изменить параметры.
В окне "Параметры защиты от угроз из сети" выберите Предотвращение вторжений.
Выберите Период автоматической блокировки атакующего IP-адреса (в секундах) и укажите количество секунд.
Допустимы значения от 1 до 999 999 секунд. Значение по умолчанию - 600 секунд (10 минут).
Если IP-адрес необходимо разблокировать раньше стандартного срока, это можно сделать вручную.
Как разблокировать атакующий компьютер
В разделе Управление клиентами выберите Показать журналы > Журнал безопасности.
В журнале безопасности выберите строку со значением "Активный ответ" в столбце "Тип события", затем нажмите Действие > Остановить активный ответ.
Для того чтобы разблокировать IP-адреса, выберите Действие > Остановить все активные ответы. После разблокирования в столбце "Тип события" будет показано "Активный ответ отменен". После истечения срока автоматического ответа в столбце "Тип события" появится значение "Активный ответ отключен".