Configurar IPS en la LAN

Resumen

La Protección IPS de Cato en la LAN habilita las capacidades avanzadas de prevención de amenazas de Cato en el tráfico de red local, defendiendo el tráfico este-oeste contra vectores de ataque conocidos y emergentes. El motor IPS se ejecuta localmente en el Socket, y no en el PoP, el cual recibe actualizaciones periódicas de firmas e inteligencia sobre amenazas. Después de que se descargan las actualizaciones, la inspección y aplicación ocurren localmente en el Socket. Esto garantiza:

Protección continua incluso sin conectividad al PoP o Internet
Inspección durante cortes de WAN, por lo tanto, el tráfico local se mantiene aplicado en todo momento
Menor latencia, porque el tráfico LAN no necesita atravesar el PoP para inspección
Reducción del uso de ancho de banda WAN, evitando el retorno innecesario del tráfico local

La aplicación de IPS en la LAN se controla de manera granular a través de reglas de Red de Firewall de LAN. Puede definir qué tráfico se inspecciona y en qué sitios. Solo el tráfico que coincide con las reglas de Firewall de LAN activas es inspeccionado por IPS. Esto proporciona un control preciso sobre el alcance de aplicación y le permite alinear la inspección con sus requisitos de seguridad y rendimiento. Cuando se detectan amenazas, el IPS toma medidas basado en la configuración de política de Firewall, bloqueando el tráfico malicioso o generando eventos para visibilidad e investigación. El IPS activado mejora la postura de seguridad en las instalaciones sin la necesidad de dispositivos adicionales.

Requisitos Previos

Compatible desde la versión 26 de Socket y superiores
La protección IPS está activada. Para más información sobre la protección IPS, vea Configurar la Política de IPS.
Recomendamos que habilite la inspección TLS para que el servicio IPS brinde la máxima protección a su red.

Configurar la Protección IPS en la LAN

Para configurar la protección LAN IPS, debe:

Habilitar el Alcance de Protección LAN IPS en la política IPS
Defina qué tráfico se inspecciona por el motor IPS de Socket LAN usando reglas de Firewall de LAN

Paso 1: Habilitar la Protección LAN IPS

En la política IPS, habilite el Alcance de Protección LAN de Socket y configure las configuraciones relevantes.

Para habilitar la Protección LAN IPS:

Desde el menú de navegación, haga clic en Seguridad > IPS.
Haga clic en Socket LAN

Se abre el panel Editar.
Haga clic en el control deslizante para habilitar (verde), y configure las acciones y configuraciones de Acción y Seguimiento requeridas.
Haga clic en Aplicar y luego haga clic en Guardar.

El Socket LAN IPS está activado en la cuenta, pero no se aplica a menos que se configure un Firewall de LAN activo.

Entendiendo las Acciones de Protección IPS

Puede definir las Acciones desencadenadas por LAN IPS y establecer sus alertas. Estas son las acciones disponibles:

Bloquear - Bloquea el tráfico malicioso para que no llegue a su destino. Cuando es aplicable, el usuario es redirigido a una página web de bloqueo dedicada.
Monitorear - Genera eventos (mostrados en Inicio > Eventos) para el tráfico malicioso. El tráfico entonces continúa a su destino.

Paso 2: Defina qué tráfico es inspeccionado por el motor IPS de Socket LAN usando reglas de Firewall de LAN

Para definir qué sitios aplican protección IPS, inclúyalo en reglas de Firewall de Red de LAN. En la página IPS, el enlace en la columna Aplicado a para el Socket LAN muestra cuántas reglas de Firewall de LAN actualmente usan LAN IPS, del número total de reglas de red.

Para definir tráfico para inspección IPS usando una regla de Firewall de LAN:

Desde el menú de navegación, haga clic en Seguridad > Firewall de LAN.
Edite la regla a la que desea agregar protección LAN IPS.
En la sección de Seguridad, marque las casillas de Conciencia de Aplicación y LAN IPS.
Haga clic en Guardar y luego Publicar.