Предотвращение вторжений

Система обнаружения и предотвращения вторжений.

PreviousАнтивирусы веб-трафика NextГруппы сигнатур

Last updated 20 days ago

Was this helpful?

Предотвращение вторжений

Система обнаружения и предотвращения вторжений.

Система Предотвращения вторжений доступна только в Enterprise-версии Ideco NGFW для пользователей с активной подпиской на обновления.

Система предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:

Обнаружения;
Журналирования;
Предотвращения атак злоумышленников на сервер, интегрированные службы и локальную сеть.

Предустановленные группы правил - сигнатур - включают блокирование активности троянских программ, шпионского ПО, бот-сетей, клиентов P2P и торрент-трекеров, вирусов, сети TOR (используемой для обхода правил фильтрации), анонимайзеров и т. д.

Для настройки системы перейдите на вкладку Правила трафика -> Предотвращение вторжений, включите или выключите опцию:

Раздел состоит из трех вкладок:

Группы сигнатур - содержит список предустановленных групп сигнатур, либо распределенных по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак), либо в табличном виде;
Пользовательские сигнатуры - позволяет добавить сигнатуры для обработки системой Предотвращения вторжений;
Настройки - содержит информацию об обновлении баз IPS и сетях, защищенных от вторжений.

С 18 версии Ideco NGFW механизм работы системы Предотвращения вторжений изменился, появились возможности:

Работать с правилами IPS на уровне сигнатур, фильтровать их и просматривать в удобном виде.
Составлять независимые друг от друга наборы правил IPS и применять их только к необходимому трафику. Это стало возможным за счет появления профилей системы Предотвращения вторжений, которые назначаются на правила Файрвола.

Чтобы модуль обрабатывал трафик, необходимо сначала создать профили IPS в разделе Профили безопасности -> Предотвращение вторжений, а затем использовать их в правилах Файрвола.

Сигнатуры, не используемые в профилях, и профили, не используемые в правилах Файрвола, не участвуют в обработке трафика!

Технические требования

Для работы системы предотвращения вторжений требуются значительные вычислительные ресурсы. Предпочтительным являются многоядерные (4 и более ядер) процессоры. Минимальное количество оперативной памяти для использования системы: 16 Гб.

После включения системы проконтролируйте, что мощности вашего процессора достаточно для проверки трафика, следующего через шлюз. В разделе Мониторинг -> Графики загруженности выберите параметр средняя загрузка (за 1, 5 и 15 минут).

Подробнее о Load Average.

PreviousАнтивирусы веб-трафика NextГруппы сигнатур

Last updated 20 days ago

Was this helpful?

Система предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:

Обнаружения;
Журналирования;
Предотвращения атак злоумышленников на сервер, интегрированные службы и локальную сеть.

Раздел состоит из трех вкладок:

Группы сигнатур - содержит список предустановленных групп сигнатур, либо распределенных по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак), либо в табличном виде;
Пользовательские сигнатуры - позволяет добавить сигнатуры для обработки системой Предотвращения вторжений;
Настройки - содержит информацию об обновлении баз IPS и сетях, защищенных от вторжений.

С 18 версии Ideco NGFW механизм работы системы Предотвращения вторжений изменился, появились возможности:

Работать с правилами IPS на уровне сигнатур, фильтровать их и просматривать в удобном виде.
Составлять независимые друг от друга наборы правил IPS и применять их только к необходимому трафику. Это стало возможным за счет появления профилей системы Предотвращения вторжений, которые назначаются на правила Файрвола.

Технические требования

Подробнее о Load Average.