Предотвращение вторжений

PreviousНастройка фильтрации трафика, для которого в таблице FORWARD нет правил NextСервисы

Last updated 18 days ago

Was this helpful?

Предотвращение вторжений

Видеоинструкцию смотрите по ссылкам:

;
.

В разделе Профили безопасности -> Предотвращение вторжений создаются профили с правилами выбора сигнатур и действиями, которые NGFW будет применять к трафику, соответствующему этим сигнатурам.

С 18 версии Ideco NGFW профили Предотвращения вторжений применяются при создании правил в разделе Правила трафика -> Файрвол.

Если профиль не добавлен в правила таблицы FORWARD или INPUT раздела Правила трафика -> Файрвол, трафик не будет фильтроваться системой Предотвращения вторжений.

В отбработке трафика не участвуют:

сигнатуры, не используемые в профилях;
профили, не используемые в правилах Файрвола.

Создание профилей

1. Перейдите в раздел Профили безопасности -> Предотвращение вторжений и нажмите Добавить профиль.

2. Введите название профиля, комментарий и нажмите Добавить. Профиль появится в таблице:

4. Нажмите Добавить.

5. Выберите способ добавления сигнатур в профиль:

По фильтрам

Выберите Фильтры:
- Источник правила (доступные варианты: Стандартные правила, Правила от Лаборатории Касперского, Пользовательские правила);
- Протокол (доступные варианты: TCP, UDP, ICMP, IP);
- Уровень угрозы (доступные варианты: Критично, Опасно, Предупреждение);
- Цель (доступные варианты: Клиент, Сервер):
Переопределите действие для выбранных сигнатур, выбрав необходимое в соответствующем поле, или оставьте действие По умолчанию:
Нажмите Добавить. Правило выбора сигнатур появится в таблице профиля:

Вручную

В таблице отметьте сигнатуры, которые хотите добавить в профиль (при необходимости воспользуйтесь Фильтром отображения):
Переопределите действие для выбранных сигнатур, выбрав необходимое в соответствующем поле, или оставьте действие По умолчанию:
Нажмите Добавить. Правило выбора сигнатур появится в таблице профиля:

Количество сигнатур, отображаемых в таблице профилей, не всегда соответствует количеству сигнатур, добавленных при создании профиля. Это связано с тем, что для каждой сигнатуры может быть настроено несколько действий, но применяется только приоритетное. Приоритет определяется порядком правил внутри профиля.

Пример отображения профиля при выборе нескольких действий сигнатур

Настройки профиля Test:

Действие Блокировать применяется для сигнатур Anonymox и Anonymox HTTP (2 сигнатуры);
Действие Предупреждать применяется для сигнатур Anonymox, Anonymox HTTP, ZenMate DNS, ZenMate API и ZenMate proxy (5 сигнатур);
Блокирующее правило приоритетнее предупреждающего.

При переходе в раздел Профили безопасности -> Предотвращение вторжений в профиле Test отображаются две сигнатуры с действием Блокировать и три сигнатуры с действием Предупреждать, потому что фактически для дублирующихся сигнатур применяется более приоритетное правило:

Добавление профилей в правила Файрвола

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать системой Предотвращения вторжений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить;

3. Включите опцию Предотвращение вторжений и в разделе Профили для фильтрации из раскрывающегося списка выберите необходимый профиль.

4. Включите правило или оставьте его выключенным.

5. Нажмите Добавить.

6. При включенной опции Перехват пользовательских DNS-запросов (по умолчанию опция включена) создайте правила INPUT с тем же профилем безопасности и портом 53 в разделе Назначение для протоколов TCP и UDP.