تتناول هذه المقالة كيفية إنشاء قاعدة قائمة سماح للسماح بمرور حركة مرور بتوقيع IPS معين لتجاوز محرك تفتيش IPS.
يفحص محرك نظام الحماية من التطفل (IPS) الخاص بـ Cato حركة مرور الشركة العريضة والشبكات العنكبوتية للإنترنت لمجموعة متنوعة من الهجمات الشبكية ويستخدم تقنيات وقائية مختلفة لحماية الشبكة. بعض الحمايات الخواص لـ IPS تعتمد على توقيعات حركة المرور التي تحدد نوع الهجوم الشبكي المحتمل. كلما تطابقت نمط حركة مرور مع توقيع IPS، يطبق محرك IPS إجراء سياسة IPS على حركة المرور (حظر، مراقبة، أو سماح).
بالنسبة لإجراء الحظر في IPS، يمكنك استخدام قواعد قائمة السماح لـ IPS لتكوين محرك IPS لتجاهل حركة المرور المطابقة. على سبيل المثال، يمكنك إنشاء قاعدة قائمة سماح IPS مباشرة من حدث حظر IPS في شاشة الأحداث.
ملاحظة
ملاحظة: لا ينطبق استخدام أسماء النطاقات أو أسماء النطاقات الكاملة (FQDNs) في قاعدة قائمة السماح الخاصة بنظام الحماية من التهديدات (IPS) على جميع حماية التهديدات الإلكترونية وتوقيعاتها. بدلاً من ذلك، تأكد من استخدام نطاقات IP في القاعدة لسماح جميع حماية التهديدات الإلكترونية.
يمكنك إنشاء قواعد لقائمة السماح لحركة المرور لمحرك IPS وفقًا لنطاق محدد لحركة مرور الشبكة. يتم السماح فقط لحركة المرور من المصدر (من) وإلى الوجهة (إلى) وفقًا لأحد أنواع حركة مرور الشبكة هذه:
- المرور الشبكي للـWAN - بين المواقع والمضيفين عبر سحابة كاتو
- الوارد - مرور الشبكة من الإنترنت إلى الشبكة الداخلية للعميل
- الصادر - مرور الشبكة من الشبكة الداخلية للعميل إلى الإنترنت
- أي - أي مرور لشبكة
يوضح الجدول التالي العناصر التي يمكنك استخدامها لتحديد الإعدادات لقاعدة السماح لـ IPS:
| بند | الوصف |
|---|---|
| اسم | اسم قاعدة السماح لقائمة IPS. |
| النطاق |
نطاق الحماية لحركة المرور التي تنطبق عليها قائمة السماح ل IPS. لا يمكنك تحرير النطاق لقانون. |
| المصدر | مصدر حركة المرور لهذه القاعدة. |
| الوجهة | وجهة حركة المرور لهذه القاعدة. |
| البروتوكول/المنفذ | ينطبق فقط على حركة المرور التي تتوافق مع البروتوكول والمنفذ المحددين. يمكنك تحديد منفذ واحد أو نطاق من المنافذ لكل قاعدة. استخدم قواعد منفصلة لتعريف منافذ متعددة، على سبيل المثال قاعدة واحدة لمنفذ TCP 80 وقاعدة ثانية لمنفذ TCP 200. |
| معرف التوقيع |
توقيع IPS الذي يتم السماح به وأي حركة مرور تستوفي هذا التوقيع الذي يطابق هذه القاعدة يتم السماح به بواسطة محرك IPS. يمكنك إدخال أي لتكوين محرك IPS للسماح بجميع حركة المرور التي تطابق هذه القاعدة. |
| تتبع | عند مطابقة القاعدة، يتم توليد حدث أو إرسال تنبيه إشعار بريد إلكتروني إلى القائمة المحددة. |
| خيارات تمكين، تعطيل أو حذف |
يوضح الجدول التالي الكيانات التي يمكنك تكوينها للحقلين المصدر والوجهة في قواعد قائمة السماح لكل نطاق حماية IPS:
| نطاق القاعدة | الكيانات المتاحة للمصدر | الكيانات المتاحة للوجهة |
|---|---|---|
| الوارد |
بلد نطاق IP ASN البعيد الشبكة الفرعية أي |
الشبكة الفرعية العائمة المجموعة المضيف الشبكة الفرعية للواجهة IP واجهة الشبكة الموقع مجموعة النظام المستخدم مجموعة المستخدمين مستخدم SDP أي |
| WAN |
الشبكة الفرعية العائمة المجموعة المضيف الشبكة الفرعية للواجهة IP واجهة الشبكة الموقع مجموعة النظام المستخدم مجموعة المستخدمين مستخدم SDP أي |
الشبكة الفرعية العائمة المجموعة المضيف الشبكة الفرعية للواجهة IP واجهة الشبكة الموقع مجموعة النظام المستخدم مجموعة المستخدمين مستخدم SDP أي |
| الصادرة |
الشبكة الفرعية العائمة المجموعة المضيف الشبكة الفرعية للواجهة IP واجهة الشبكة الموقع مجموعة النظام المستخدم مجموعة المستخدمين مستخدم SDP أي |
البلد المجال FQDN نطاق IP ASN البعيد أي |
يحتوي قاعدة قوانين قائمة السماح لـ IPS على جميع القواعد التي تسمح لحركة المرور لمحرك IPS. تطبق جميع قواعد قائمة السماح لـ IPS المطابقة على حركة المرور، هذا السلوك يختلف عن قاعدة قوانين جدار الحماية المرتبة حيث يتم تطبيق القاعدة الأولى فقط المطابقة. هذا يعني أنه إذا تم مطابقة اتصال مع عدة قواعد قائمة السماح، فإن كل قاعدة مطابقة تولد حدثًا.
على سبيل المثال، يطابق اتصال بتوقيع IPS محظور قواعد قائمة السماح لـ IPS رقم ٢ و٤. يتم السماح للاتصال ويجيزه محرك IPS. يولد الاتصال حدثين مستقلين، واحد للقاعدة 2 وواحد للقاعدة 4.
يمكنك استخدام اكتشاف الحدث لتحديد توقيع IPS الذي يحظر حركة المرور ثم إنشاء قاعدة قائمة السماح لـ IPS من الحدث المحظور. يمكنك النقر على معرف التوقيع في حدث لفتح نافذة تتيح لك تكوين الإعدادات لقائمة السماح IPS جديدة. ثم يتم إضافة القاعدة إلى قاعدة بيانات الإجازات IPS في سياسة IPS (الأمان > IPS).
لإنشاء قاعدة السماح ل IPS من حدث:
- من الصفحة الرئيسية > الأحداث، عرض حدث IPS لحركة المرور المحظورة. هذا هو إجراء نموذجي لعرض حدث IPS:
- من القائمة المنسدلة تحديد الإعداد المسبق، حدد IPS.
- قم بتحديد الحدث لمعرفة معرف توقيع IPS.
- قم بتوسيع الحدث.
-
في معرف التوقيع، انقر على الرابط للتوقيع.
يتم فتح لوحة القائمة الجديدة. الإعدادات للقاعدة تعتمد على البيانات للحدث.
- راجع الإعدادات لقاعدة السماح ل IPS. يتوافق النطاق مع اتجاه المرور للحدث ولا يمكنك تغييره.
- في قسم التتبع، يمكنك اختيار إنشاء حدث و إشعار بريد إلكتروني عندما يتم السماح بهذا التوقيع.
- انقر حفظ. يتم إضافة القاعدة إلى قاعدة السماح الخاصة ب IPS.
- لعرض قاعدة السماح الخاصة ب IPS، من قائمة التنقل انقر الأمان > IPS وحدد قائمة السماح الألسنة.
استخدم قسم السماح IPS في شاشة سياسة IPS لإنشاء وتحرير وحذف قواعد السماح IPS يدويًا.
قاعدة بيانات السماح IPS موجودة في صفحة سياسة IPS.
لعرض قاعدة بيانات السماح IPS:
- من قائمة التنقل، انقر الأمان > IPS.
- حدد علامة تبويب قائمة السماح. يتم عرض قاعدة السماح الخاصة ب IPS.
يمكنك إضافة قاعدة جديدة إلى قاعدة بيانات السماح IPS وتحديد الإعدادات للقاعدة. لا يمكنك تحرير نطاق القاعدة.
معرف توقيع IPS هو توقيع مخصص تستخدمه Cato لمحرك IPS. يمكنك فقط رؤية معرفات التوقيع في أحداث IPS.
السماح بحركة المرور بقيود جغرافية IPS
إذا كنت بحاجة لإنشاء قواعد السماح لسياسة قيود جغرافية IPS، فعليك تحديد نطاق IP في حقل الوجهة. إذا تم تعريف القاعدة بناءً على نطاق، فإن حركة المرور لا تتجاوز محرك فحص IPS. طريقة بديلة لتطبيق القيود الجغرافية بناءً على النطاقات هي استخدام جدار الحماية للإنترنت. للمزيد من المعلومات، راجع سياسات جدار الحماية للإنترنت وWAN – أفضل الممارسات.
لإنشاء قاعدة السماح ل IPS يدويا:
- من قائمة التنقل، انقر الأمان > IPS > قائمة السماح.
- انقر جديد. يفتح اللوحة قائمة السماح الجديدة.
- أدخل الاسم للقانون.
- حدد النطاق للقانون.
-
حدد معرف التوقيع للقانون، انظر أعلاه العناصر في قاعدة السماح لـ IPS.
إذا عينت معرف التوقيع إلى أي، فإن محرك IPS يسمح بكل حركة المرور المتطابقة.
- اضغط تطبيق. تم إضافة قاعدة السماح لـ IPS إلى قاعدة القواعد.
- اضغط حفظ.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.