LANでのIPSの設定

概要

CatoのLANにおけるIPS保護は、Catoの高度な脅威防止機能をローカルトラフィックにも拡張し、横方向トラフィックを既知および新たな攻撃から守ります。 IPSエンジンはローカルのソケット上で動作し、定期的に署名と脅威インテリジェンスの更新を受信するPoP上では動作しません。更新がダウンロードされた後、検査と施行がローカルのソケット上で行われます。これにより、

PoPまたはインターネットへの接続なしでも継続的な保護が提供されます。
WAN障害時の検査により、ローカルトラフィックは常に施行されます。
LANトラフィックが検査のためにPoPを通過する必要がないため、レイテンシーが低下します。
ローカルトラフィックの不必要なバックホールを避けることで、WAN帯域幅の使用が減少します。

LAN IPSの施行は、LANファイアウォールネットワールールを通じて詳細に制御されます。検査されるトラフィックおよびサイトを定義できます。設定済みのLANファイアウォールルールと一致するトラフィックのみがIPSによって検査されます。これにより、施行範囲に関する精密な制御が可能となり、セキュリティと性能の要求に検査を合わせることができます。脅威が検出されると、IPSはファイアウォールポリシー設定に基づいて行動し、悪意のあるトラフィックをブロックするか、可視性と調査のためのイベントを生成します。適切に設定されたIPSは、追加のアプライアンスなしでオンプレミスセキュリティ体制を強化します。

前提条件

Socketバージョン26以上からサポートされています。
IPS保護が有効です。 IPS保護に関する詳細については、IPSポリシーの設定を参照してください。
ネットワークの最大の保護を提供するために、TLSインスペクションを有効にすることをお勧めします。

LANでのIPS保護の設定

LAN IPS保護を設定するには、次のことが必要です。

IPSポリシーでLAN IPS保護範囲を有効にします。
LANファイアウォールルールを使用してSocket LAN IPSエンジンが検査するトラフィックを定義します。

ステップ 1: LAN IPS保護の有効化

IPSポリシーでSocket LAN保護範囲を有効にし、関連する設定を行います。

LAN IPS保護を有効にするには、

ナビゲーションメニューから、セキュリティ > IPS をクリックします。
Socket LANをクリックします。

編集パネルが開きます。
スライダーをクリックして有効にし（緑）、必要なアクションとトラックの設定を行います。
適用をクリックし、その後保存をクリックします。

Socket LAN IPSがアカウントに対して有効化されますが、LANファイアウォールが設定されていない限り、施行はされません。

IPS保護アクションの理解

LAN IPSによって引き起こされるアクションを定義し、アラートを設定することができます。利用可能なアクションは以下の通りです。

ブロック - 悪意のあるトラフィックが宛先に到達するのをブロックします。該当する場合、ユーザーは専用ブロックウェブページにリダイレクトされます。
モニタ - 悪意のあるトラフィックのためのイベントを生成します (ホーム > イベントに表示されます)。その後、トラフィックは宛先に向かって続行されます。

ステップ 2: LANファイアウォールルールを使用してSocket LAN IPSエンジンが検査するトラフィックを定義します。

IPS保護を施行するサイトを定義し、ネットワークLANファイアウォールルールに含めます。 IPSページで、Socket LANの適用先列のリンクは、現在LAN IPSを使用しているLANファイアウォールルールの数を、ネットワークルールの総数から表示します。

LANファイアウォールルールを使用してIPS検査のためのトラフィックを定義するには、

ナビゲーションメニューから、セキュリティ > LAN ファイアウォール をクリックします。
LAN IPS保護を追加したいルールを編集します。
セキュリティセクションで、アプリケーションアウェアネスおよびLAN IPSチェックボックスを確認します。
保存をクリックし、その後公開をクリックします。