Предотвращение вторжений
Last updated
Last updated
В разделе Профили безопасности -> Предотвращение вторжений создаются профили с правилами выбора сигнатур и действиями, которые NGFW будет применять к трафику, соответствующему этим сигнатурам.
В 18 версии Ideco NGFW VPP созданные в разделе Профили безопасности -> Предотвращение вторжений профили применяются при создании правил в разделе Правила трафика -> Файрвол.
Чтобы трафик фильтровался модулем Предотвращение вторжений, необходимо создать правило FORWARD, содержащее необходимый профиль безопасности.
Если профиль не добавлен в правила таблицы FORWARD раздела Правила трафика -> Файрвол, трафик не будет фильтроваться модулем Предотвращение вторжений.
Сигнатуры, не используемые в профилях, и профили, не используемые в правилах Файрвола, не участвуют в обработке трафика!
Модуль Предотвращение вторжений обрабатывает только трафик, соответствующий разрешающему правилу Файрвола с включенной проверкой через Предотвращение вторжений. Файрвол Ideco NGFW анализирует трафик для поиска подходящего правила и применяет его. Если в списке есть несколько правил с одними и теми же условиями, применяется правило, стоящее выше по списку. Запрещающие правила Файрвола сразу блокируют соответствующий трафик, он не проходит дополнительную проверку в модуле Предотвращение вторжений.
Чтобы через модуль Предотвращение вторжений проходил трафик, для которого нет разрешающего правила в таблице FORWARD, рекомендуем создать и включить в Файрволе правило с назначением Любой, разместив его в конец таблицы. В этом случае трафик, который не был найден в правилах Файрвола, но соответствует профилям IPS, пройдет проверку системой Предотвращения вторжений.
Если в одном правиле Файрвола включены проверки и Контролем приложений, и Предотвращением вторжений, трафик сначала попадет в обработку DPI, затем - IPS.
Чтобы создать профиль Предотвращения вторжений, выполните действия:
1. Перейдите в раздел Профили безопасности -> Предотвращение вторжений и нажмите Добавить профиль.
2. Введите название профиля, комментарий и нажмите Добавить. Профиль появится в таблице:
4. Нажмите Добавить сигнатуры.
5. Выберите способ добавления сигнатур в профиль: Вручную или По фильтрам.
6. Если выбран способ добавления По фильтрам:
Выберите Фильтры:
Группа сигнатур;
Действие (доступные варианты: Предупреждать, Пропускать, Блокировать, Отправлять RST узлу источника, Отправлять RST узлу назначения, Отправлять RST обоим);
Источник правила (доступные варианты: Стандартные правила, Расширенные правила);
Протокол (доступные варианты: DCERPC, DNS, FTP, FTP-DATA, HTTP, SMB, SMTP, SSH, TCP-PKT, TCP-STREAM, TLS, TCP, UDP, ICMP, IP);
Тактика по MITRE ATT&CK;
Уровень угрозы (доступные варианты: -, Критичный, Информационный, Опасный, Незначительный);
Цель (доступные варианты: -, Клиент, Сервер):
Переопределите действие для выбранных сигнатур, выбрав необходимое в соответствующем поле, или оставьте действие По умолчанию:
Нажмите Добавить. Правило выбора сигнатур появится в таблице профиля:
7. Если выбран способ добавления Вручную:
В таблице отметьте сигнатуры, которые хотите добавить в профиль (при необходимости воспользуйтесь Фильтром отображения):
Переопределите действие для выбранных сигнатур, выбрав необходимое в соответствующем поле, или оставьте действие По умолчанию:
Нажмите Добавить. Правило выбора сигнатур появится в таблице профиля:
Количество сигнатур, отображаемых в профиле, не всегда соответствует количеству сигнатур, добавленных при создании профиля. Это связано с тем, что для каждой сигнатуры может быть настроено несколько действий, но применяется только приоритетное.
Для добавления правила Файрвола с профилем Предотвращения вторжений выполните действия:
1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.
2. Заполните поля:
Название - введите название правила;
Комментарий - поле не обязательное;
Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать системой Предотвращения вторжений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить;
3. В разделе Профили безопасности включите настройку Предотвращение вторжений и из раскрывающегося списка выберите необходимый профиль.
4. Включите правило или оставьте его выключенным.
5. Нажмите Добавить.
3. Нажмите на напротив только что созданного профиля и выберите Сигнатуры.
В один профиль Предотвращения вторжений можно добавить несколько правил выбора сигнатур. Их приоритет можно менять в таблице профиля кнопками и .
Чтобы просмотреть созданный профиль (описание и правила выбора сигнатур), нажмите на . На вкладке Выбранные сигнатуры представлены все сигнатуры, для которых настроено одно или несколько действий. В таблице отображается только наиболее приоритетное действие:
