Предотвращение вторжений
Система обнаружения и предотвращения вторжений
Название службы раздела Предотвращение вторжений: ideco-suricata-backend; ideco-suricata; ideco-suricata-event-syncer; ideco-suricata-profiles-syncer.
Список имен служб для других разделов доступен по ссылке.
Система Предотвращения вторжений доступна только в Enterprise-версии Ideco NGFW для пользователей с активной подпиской на обновления.
Профили Предотвращения вторжений и Контроля приложений, а также правила Ограничения скорости не обрабатывают трафик между локальными сетями и сетями филиалов.
Система предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:
Предустановленные группы правил - сигнатур - включают блокирование активности троянских программ, шпионского ПО, бот-сетей, клиентов P2P и торрент-трекеров, вирусов, сети TOR (используемой для обхода правил фильтрации), анонимайзеров и т. д.
Для настройки системы перейдите на вкладку Правила трафика -> Предотвращение вторжений, включите или выключите опцию:
Раздел состоит из трех вкладок:
Группы сигнатур - содержит список предустановленных групп сигнатур, либо распределенных по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак), либо в табличном виде;
Пользовательские сигнатуры - позволяет добавить сигнатуры для обработки системой Предотвращения вторжений;
Настройки - содержит информацию об обновлении баз IPS и сетях, защищенных от вторжений.
С 18 версии Ideco NGFW механизм работы системы Предотвращения вторжений изменился, появились возможности:
Чтобы модуль обрабатывал трафик, необходимо сначала создать профили IPS в разделе Профили безопасности -> Предотвращение вторжений, а затем использовать их в правилах Файрвола.
Сигнатуры, не используемые в профилях, и профили, не используемые в правилах Файрвола, не учавствуют в обработке трафика!
Last updated
