Ideco NGFW
Скачать PDF
vpp-v18
vpp-v18
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
    • Интеграция с Active Directory/Samba DC
      • Импорт пользователей
      • Аутентификация пользователей AD/Samba DC
        • Настройка сервера Active Directory
        • Настройка клиентских машин
    • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Ограничение скорости
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Системный журнал
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Обновления
        • Настройка кластера
      • Бэкапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 18.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page
  • Особенности обработки трафика модулем Предотвращение вторжений
  • Создание профилей и добавление в правила Файрвола

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Профили безопасности

Предотвращение вторжений

PreviousНастройка фильтрации трафика, для которого в таблице FORWARD нет правилNextКонтент-фильтр

Last updated 26 days ago

Was this helpful?

В разделе Профили безопасности -> Предотвращение вторжений создаются профили с правилами выбора сигнатур и действиями, которые NGFW будет применять к трафику, соответствующему этим сигнатурам.

В 18 версии Ideco NGFW VPP созданные в разделе Профили безопасности -> Предотвращение вторжений профили применяются при создании правил в разделе Правила трафика -> Файрвол.

Чтобы трафик фильтровался модулем Предотвращение вторжений, необходимо создать правило FORWARD, содержащее необходимый профиль безопасности.

Если профиль не добавлен в правила таблицы FORWARD раздела Правила трафика -> Файрвол, трафик не будет фильтроваться модулем Предотвращение вторжений.

Сигнатуры, не используемые в профилях, и профили, не используемые в правилах Файрвола, не участвуют в обработке трафика!

Особенности обработки трафика модулем Предотвращение вторжений

Модуль Предотвращение вторжений обрабатывает трафик, соответствующий разрешающему правилу Файрвола с включенной проверкой через Предотвращение вторжений. Файрвол Ideco NGFW анализирует трафик для поиска подходящего правила и применяет его. Если в списке есть несколько правил с одними и теми же условиями, применяется правило, стоящее выше по списку. Запрещающие правила Файрвола сразу блокируют соответствующий трафик, он не проходит дополнительную проверку в модуле Предотвращение вторжений.

Чтобы через модуль Предотвращение вторжений проходил трафик, для которого нет разрешающего правила в таблице FORWARD, рекомендуем создать и включить в Файрволе правило с назначением Любой, разместив его в конец таблицы. В этом случае трафик, который не был найден в правилах Файрвола, но соответствует профилям IPS, пройдет проверку системой Предотвращения вторжений.

Если в одном правиле Файрвола включены проверки и Контролем приложений, и Предотвращением вторжений, трафик сначала попадет в обработку DPI, затем - IPS.

Создание профилей и добавление в правила Файрвола

Чтобы создать профиль Предотвращения вторжений, выполните действия:

1. Перейдите в раздел Профили безопасности -> Предотвращение вторжений и нажмите Добавить профиль.

2. Введите название профиля, комментарий и нажмите Добавить. Профиль появится в таблице:

4. Нажмите Добавить сигнатуры.

5. Выберите способ добавления сигнатур в профиль:

1. Выберите Фильтры. В таблице ниже отобразятся сигнатуры, соответствующие каждому из выбранных фильтров:

2. Переопределите действие для выбранных сигнатур, выбрав необходимое в соответствующем поле, или оставьте действие По умолчанию:

3. Нажмите Добавить. Правило выбора сигнатур появится в таблице профиля:

1. В таблице отметьте сигнатуры, которые хотите добавить в профиль (при необходимости воспользуйтесь Фильтром отображения):

2. Переопределите действие для выбранных сигнатур, выбрав необходимое в соответствующем поле, или оставьте действие По умолчанию:

3. Нажмите Добавить. Правило выбора сигнатур появится в таблице профиля:

Количество сигнатур, отображаемых в профиле, не всегда соответствует количеству сигнатур, добавленных при создании профиля. Это связано с тем, что для каждой сигнатуры может быть настроено несколько действий, но применяется только приоритетное.

Пример отображения профиля при выборе нескольких действий сигнатур

Настройки профиля Test:

  • Действие Блокировать применяется для сигнатур Anonymox и Anonymox HTTP (2 сигнатуры).

  • Действие Предупреждать применяется для сигнатур Anonymox, Anonymox HTTP, ZenMate DNS, ZenMate API и ZenMate proxy (5 сигнатур).

  • Блокирующее правило приоритетнее предупреждающего.

При переходе в раздел Профили безопасности -> Предотвращение вторжений в профиле Test отображаются 2 сигнатуры с действием Блокировать и 3 сигнатуры с действием Предупреждать, потому что фактически для дублирующихся сигнатур применяется более приоритетное правило:

Для добавления правила Файрвола с профилем Предотвращения вторжений выполните действия:

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

  • Название - введите название правила.

  • Комментарий - поле не обязательное.

  • Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать системой Предотвращения вторжений.

  • Источник - выберите Адрес и Зону источника трафика.

  • Назначение - выберите Адрес и Зону назначения трафика.

  • Действие - выберите Разрешить.

3. В разделе Профили безопасности включите настройку Предотвращение вторжений и из раскрывающегося списка выберите необходимый профиль.

4. Включите правило или оставьте его выключенным.

5. Нажмите Добавить.

3. Нажмите на напротив только что созданного профиля и выберите Сигнатуры.

В один профиль Предотвращения вторжений можно добавить несколько правил выбора сигнатур. Их приоритет можно менять в таблице профиля кнопками и .

Чтобы просмотреть созданный профиль (описание и правила выбора сигнатур), нажмите на . На вкладке Выбранные сигнатуры представлены все сигнатуры, для которых настроено одно или несколько действий. В таблице отображается только наиболее приоритетное действие: