Предотвращение вторжений
PreviousНастройка фильтрации трафика, для которого в таблице FORWARD нет правилNextСоздание профилей и добавление в правила Файрвола
Last updated
Was this helpful?
Last updated
Was this helpful?
Название службы раздела Предотвращение вторжений: ideco-suricata-backend; ideco-suricata; ideco-suricata-event-syncer; ideco-suricata-profiles-syncer.
Список имен служб для других разделов доступен по ссылке.
В разделе Профили безопасности -> Предотвращение вторжений создаются профили с правилами выбора сигнатур и действиями, которые NGFW будет применять к трафику, соответствующему этим сигнатурам.
В 18 версии Ideco NGFW созданные в разделе Профили безопасности -> Предотвращение вторжений профили применяются при создании правил в разделе Правила трафика -> Файрвол.
Профили Предотвращения вторжений и Контроля приложений, а также правила Ограничения скорости не обрабатывают трафик между локальными сетями и сетями филиалов.
Чтобы трафик фильтровался системой Предотвращение вторжений, создайте для всех локальных интерфейсов правило FORWARD, содержащее нужный профиль безопасности. Важно: при включенной опции Перехват пользовательских DNS-запросов в разделе Сервисы -> DNS -> Внешние DNS-серверы трафик обрабатывается не как FORWARD, а как INPUT:
Если опция Перехват пользовательских DNS-запросов включена (по умолчанию включена), создайте правила INPUT для протоколов TCP и UDP с тем же профилем безопасности, источником и портом 53 в разделе Назначение.
Если профиль не добавлен в правила таблицы FORWARD или INPUT раздела Правила трафика -> Файрвол, трафик не будет фильтроваться системой Предотвращения вторжений.
Сигнатуры, не используемые в профилях, и профили, не используемые в правилах Файрвола, не участвуют в обработке трафика!
В предыдущих версиях FORWARD- и INPUT-трафик сначала проходит модуль Предотвращение вторжений, а затем Файрвол. В 18 версии IPS обрабатывает только трафик, соответствующий разрешающему правилу Файрвола с включенной проверкой через Предотвращение вторжений.
Файрвол Ideco NGFW анализирует трафик для поиска подходящего правила и применяет его. Если в списке есть несколько правил с одними и теми же условиями, применяется правило, стоящее выше по списку. Запрещающие правила Файрвола сразу блокируют соответствующий трафик, он не проходит дополнительную проверку в модуле Предотвращение вторжений.
Чтобы через модуль Предотвращение вторжений проходил трафик, для которого нет разрешающего правила в таблице FORWARD или INPUT, рекомендуем создать и включить в Файрволе правило с источником Локальные интерфейсы и назначением Любой, разместив его в конец таблицы. В этом случае трафик, который не был найден в правилах Файрвола, но соответствует профилям IPS, пройдет проверку системой Предотвращения вторжений.
Если в одном правиле Файрвола включены проверки и Контролем приложений, и системой Предотвращения вторжений, трафик сначала попадет в обработку DPI, затем - IPS.
