السماح بتوقيعات IPS

تتناول هذه المقالة كيفية إنشاء قاعدة قائمة سماح للسماح بمرور حركة مرور بتوقيع IPS معين لتجاوز محرك تفتيش IPS.

نظرة عامة على قوائم السماح IPS

يفحص محرك نظام الحماية من التطفل (IPS) الخاص بـ Cato حركة مرور الشركة العريضة والشبكات العنكبوتية للإنترنت لمجموعة متنوعة من الهجمات الشبكية ويستخدم تقنيات وقائية مختلفة لحماية الشبكة. بعض الحمايات الخواص لـ IPS تعتمد على توقيعات حركة المرور التي تحدد نوع الهجوم الشبكي المحتمل. كلما تطابقت نمط حركة مرور مع توقيع IPS، يطبق محرك IPS إجراء سياسة IPS على حركة المرور (حظر، مراقبة، أو سماح).

بالنسبة لإجراء الحظر في IPS، يمكنك استخدام قواعد قائمة السماح لـ IPS لتكوين محرك IPS لتجاهل حركة المرور المطابقة. على سبيل المثال، يمكنك إنشاء قاعدة قائمة سماح IPS مباشرة من حدث حظر IPS في شاشة الأحداث.

ملاحظة

ملاحظة: بالنسبة للحسابات التي تحتوي على إعدادات قائمة السماح لـ IPS التي تم تكوينها سابقًا بواسطة الدعم، يتم نقل هذه الإعدادات إلى قاعدة قوانين قائمة السماح لـ IPS.

حركة مرور الشبكة ومدى الحماية IPS

يمكنك إنشاء قواعد لقائمة السماح لحركة المرور لمحرك IPS وفقًا لنطاق محدد لحركة مرور الشبكة. يتم السماح فقط لحركة المرور من المصدر (من) وإلى الوجهة (إلى) وفقًا لأحد أنواع حركة مرور الشبكة هذه:

  • WAN - حركة مرور WAN بين المواقع والمضيفين عبر Cato Cloud

  • الواردة - حركة مرور الإنترنت إلى الشبكة الداخلية للعميل

  • الصادرة - حركة مرور الشبكة الداخلية للعميل إلى الإنترنت

  • أي - أي حركة مرور شبكية

AllowList_Rulebase.png

عناصر في قاعدة السماح IPS

يوضح الجدول التالي العناصر التي يمكنك استخدامها لتحديد الإعدادات لقاعدة السماح لـ IPS:

عنصر

الوصف

الاسم

اسم قاعدة السماح لـ IPS.

النطاق

نطاق الحماية لحركة المرور التي تنطبق عليها قائمة السماح لـ IPS.

لا يمكنك تحرير النطاق لقانون.

المصدر

مصدر حركة المرور لهذه القاعدة.

الوجهة

الوجهة لحركة المرور لهذه القاعدة.

البروتوكول/البورت

ينطبق فقط على حركة المرور التي تتطابق مع البروتوكول والمنافذ المحددة. يمكنك تحديد منفذ واحد أو نطاق من المنافذ لكل قاعدة. استخدم قواعد منفصلة لتعريف منافذ متعددة، على سبيل المثال قاعدة واحدة لمنفذ TCP 80 وقاعدة ثانية لمنفذ TCP 200.

معرف التوقيع

توقيع IPS التي تتضمن قائمة السماح وأي حركة مرور بهذا التوقيع الذي يتطابق مع هذه القاعدة يسمح به محرك IPS.

يمكنك إدخال أي لتكوين محرك IPS للسماح بجميع حركة المرور التي تتطابق مع هذه القاعدة.

التتبع

عند مطابقة القاعدة، يتم إنشاء حدث أو يتم إرسال تنبيه إشعار البريد الإلكتروني إلى القائمة المحددة.

More_icon.png

خيارات لـتفعيل، تعطيل أوحذف

يوضح الجدول التالي الكيانات التي يمكنك تكوينها للحقلين المصدر والوجهة في قواعد قائمة السماح لكل نطاق حماية IPS:

نطاق القاعدة

الكيانات المتاحة للمصدر

الكيانات المتاحة للوجهة

الواردة

البلد

نطاق IP

ASN البعيد

الشبكة الفرعية

أي

الشبكة الفرعية العائمة

المجموعة

المضيف

الشبكة الفرعية للواجهة

IP

واجهة الشبكة

الموقع

المجموعة النظامية

المستخدم

مجموعة المستخدمين

المستخدم في SDP

أي

WAN

الشبكة الفرعية العائمة

المجموعة

المضيف

الشبكة الفرعية للواجهة

IP

واجهة الشبكة

الموقع

المجموعة النظامية

المستخدم

مجموعة المستخدمين

المستخدم في SDP

أي

الشبكة الفرعية العائمة

المجموعة

المضيف

الشبكة الفرعية للواجهة

IP

واجهة الشبكة

الموقع

المجموعة النظامية

المستخدم

مجموعة المستخدمين

المستخدم في SDP

أي

الصادرة

الشبكة الفرعية العائمة

المجموعة

المضيف

الشبكة الفرعية للواجهة

IP

واجهة الشبكة

الموقع

المجموعة النظامية

المستخدم

مجموعة المستخدمين

المستخدم في SDP

أي

البلد

النطاق

FQDN

نطاق IP

ASN البعيد

أي

التعامل مع قاعدة بيانات السماح IPS

يحتوي قاعدة قوانين قائمة السماح لـ IPS على جميع القواعد التي تسمح لحركة المرور لمحرك IPS. تطبق جميع قواعد قائمة السماح لـ IPS المطابقة على حركة المرور، هذا السلوك يختلف عن قاعدة قوانين جدار الحماية المرتبة حيث يتم تطبيق القاعدة الأولى فقط المطابقة. هذا يعني أنه إذا تم مطابقة اتصال مع عدة قواعد قائمة السماح، فإن كل قاعدة مطابقة تولد حدثًا.

على سبيل المثال، يطابق اتصال بتوقيع IPS محظور قواعد قائمة السماح لـ IPS رقم ٢ و٤. يتم السماح للاتصال ويجيزه محرك IPS. يولد الاتصال حدثين مستقلين، واحد للقاعدة 2 وواحد للقاعدة 4.

إنشاء قاعدة سماح IPS من حدث محظور

يمكنك استخدام اكتشاف الحدث لتحديد توقيع IPS الذي يحظر حركة المرور ثم إنشاء قاعدة قائمة السماح لـ IPS من الحدث المحظور. يمكنك النقر على معرف التوقيع في حدث لفتح نافذة تتيح لك تكوين الإعدادات لقائمة السماح IPS جديدة. ثم يتم إضافة القاعدة إلى قاعدة بيانات الإجازات IPS في سياسة IPS (الأمان > IPS).

لإنشاء قاعدة سماح IPS من حدث:

  1. من الصفحة الرئيسية > الأحداث، أظهر حدث IPS لحركة المرور المحظورة. هذه عينة من الإجراءات لعرض حدث IPS:

    1. من القائمة المنسدلة تحديد الإعداد المسبق، اختر IPS.

    2. حدد الحدث لمعرفة معرف توقيع IPS.

    3. قم بتوسيع الحدث.

  2. في معرف التوقيع، انقر على الرابط للتوقيع.

    يتم فتح لوحة القائمة الجديدة. الإعدادات للقاعدة تعتمد على البيانات للحدث.

    IPS_allow_from_event.png
  3. راجع الإعدادات لقاعدة السماح IPS. يتطابق النطاق مع اتجاه حركة المرور للحدث ولا يمكنك تغييره.

  4. في قسم التتبع، يمكنك اختيار إنشاء حدث وإشعار بريد إلكتروني عند السماح بهذا التوقيع.

  5. انقر على حفظ. تمت إضافة القاعدة إلى قاعدة بيانات السماح IPS.

  6. لعرض قاعدة بيانات السماح IPS، من قائمة التنقل انقر الأمان > IPS واختر تبويب القائمة المسموح بها.

إدارة قواعد السماح IPS

استخدم قسم السماح IPS في شاشة سياسة IPS لإنشاء وتحرير وحذف قواعد السماح IPS يدويًا.

عرض قاعدة بيانات السماح IPS

قاعدة بيانات السماح IPS موجودة في صفحة سياسة IPS.

لعرض قاعدة بيانات السماح IPS:

  1. من قائمة التنقل، انقر الأمان > IPS.

  2. اختر تبويب القائمة المسموح بها. يتم عرض قاعدة بيانات السماح IPS.

إنشاء قاعدة سماح IPS يدويًا

يمكنك إضافة قاعدة جديدة إلى قاعدة بيانات السماح IPS وتحديد الإعدادات للقاعدة. لا يمكنك تحرير نطاق القاعدة.

معرف توقيع IPS هو توقيع مخصص تستخدمه Cato لمحرك IPS. يمكنك فقط رؤية معرفات التوقيع في أحداث IPS.

السماح بحركة المرور بقيود جغرافية IPS

إذا كنت بحاجة لإنشاء قواعد السماح لسياسة قيود جغرافية IPS، فعليك تحديد نطاق IP في حقل الوجهة. إذا تم تعريف القاعدة بناءً على نطاق، فإن حركة المرور لا تتجاوز محرك فحص IPS. طريقة بديلة لتطبيق القيود الجغرافية بناءً على النطاقات هي استخدام جدار الحماية للإنترنت. لمزيد من المعلومات، انظر سياسات جدار الحماية للإنترنت وWAN – أفضل الممارسات.

لإنشاء قاعدة سماح IPS يدويًا:

  1. من قائمة التنقل، انقر الأمان > IPS.

  2. انقر على جديد. يفتح اللوحة القائمة الجديدة.

  3. أدخل الاسم للقاعدة.

  4. حدد النطاق للقاعدة.

  5. حدد معرف التوقيع للقاعدة، انظر أعلاه عناصر في قاعدة السماح IPS.

    إذا عينت معرف التوقيع إلى أي، فإن محرك IPS يسمح بكل حركة المرور المتطابقة.

  6. انقر على تطبيق. تمت إضافة قاعدة السماح IPS إلى قاعدة البيانات.

  7. انقر على حفظ.

هل كان هذا المقال مفيداً؟

3 من 4 وجدوا هذا مفيداً

لا توجد تعليقات