可疑活動 是 Network 應用程式內安全部分的一項功能，可以檢測和阻止所有或選定網路潛在的有害流量，並在 UniFi 閘道器遇到任何可疑情況時，在系統日誌中顯示通知。此功能又可稱為入侵檢測系統和入侵防禦系統或 IDS/IPS。

要求

• 下一代 UniFi 閘道器或 UniFi 雲閘道器主機

可選項

可疑活動可以配置為：

• 僅檢測流量並顯示通知。
• 檢測並阻止流量並顯示通知。
• 使用不同的檢測級別（低、中、高）或 自定義 類別。
• 選擇一個或多個網路啟用該功能。
• 配置應排除的 IP 地址或子網。

1. 測試

   測試可疑活動檢測功能，首先將 檢測敏感度 設置為 高，然後在 UniFi 閘道器下 LAN 網路的客戶端設備上打開終端會話或命令提示符。在客戶端運行以下命令：

   curl -A "BlackSun" http://www.example.com

   注意：測試時，客戶端設備應通過 UniFi 閘道器發送流量才能訪問互聯網。如果未顯示安全檢測，請檢查檢測 敏感度 是否設置為 高，並稍等片刻，以便在系統日誌部分中顯示通知。

2. 隱私保證

   啟用可疑活動後，將為閘道器生成令牌。只要簽名匹配，就會通過 加密連接 發送以下資訊：

   • 時間戳
   • 接口
   • 源 IP
   • 源端口
   • 目的 IP
   • 目的端口
   • 協議
   • 簽名

   在 UniFi 網路應用程式下載資訊之前，數據只是暫時存儲。應用程式下載資訊後，除攻擊者的 IP 外，其他數據將從雲端刪除。獲取攻擊者的 IP 資訊，可以幫助 Ubiquiti 為全球所有 Ubiquiti 用戶維護最新且有效的攻擊者列表。

   Ubiquiti 將使用這些資訊來改進其產品和服務，包括生成 IP 信譽列表、惡意 IP 地址、威脅資訊以及為 Ubiquiti 設備創建黑名單和新簽名。

常見問題

1. 1. 我收到了威脅檢測警報。應該怎麼辦？

   根據可疑活動設置，您可能會收到有關 UniFi 安全檢測的通知。這些通知的存在表明您的 閘道器正在保護網路。

   如果您收到威脅警報，也不必過於擔心。安全檢測通常是無害的，只是啟用可疑活動後的檢測提示。

   在可疑活動配置中，您可以選擇 僅檢測 或 檢測並阻止 威脅。如果選擇後者，阻塞將持續 5 分鐘。這是為了確保錯誤檢測不會永久阻止來自客戶端設備或網站的無害流量。

   如果需要永久阻止或者是允許簽名流量，那麼請通過 System Log 系統日誌 部分中威助條目可選項：

   • 阻止此連接 - 阻止源 IP 地址和目標 IP 地址之間的流量。
   • 阻止此 IP - 完全阻止來自源 IP 地址的輸入和輸出流量。
   • 允許此威脅簽名 - 允許此簽名，不再為其生成安全檢測。視為誤報。
   • 允許此 IP - 允許此源 IP，不再為其生成安全檢測。視為誤報。
2. 2. 如何才能減少收到的通知？

   有四個 檢測敏感度級別，用於控制檢測和阻止類別（流量類型）。如果敏感度設置為 “高”，將會顯示更多通知。

   如果您配置了端口轉發到 LAN 上的客戶端設備，那麼會出現更多通知，因為 UniFi 閘道器會檢查來自互聯網上試圖訪問轉發端口的設備流量。我們建議僅在必要時配置轉發端口。

3. 3. 使用檢測並阻止時，流量會被阻塞多長時間？

   阻塞將持續 5 分鐘。這是為了確保錯誤檢測不會永久阻止來自客戶端設備或網站的無害流量。

   要永久阻止或者是允許簽名，那麼請通過 System Log 系統日誌 部分中的可選項來進行設置。

4. 4. 啟用可疑活動是否會影響性能或速度？

   可疑活動可能會降低速度或性能。可啟用該功能的最大網路數量取決於使用的 UniFi 閘道器型號限制。

   • UDR / UDM - 10 個網路
   • UDM-Pro / UDM-SE / UXG-Pro / UDW - 20 個網路