Este artigo discute como criar uma regra de lista de permissão para permitir que o tráfego com uma assinatura IPS específica ignore o motor de inspeção IPS.
O motor IPS (Sistema de Prevenção de Intrusões) da Cato inspeciona o tráfego WAN e Internet em busca de diversos ataques de rede e usa diferentes técnicas de prevenção para proteger a rede. Algumas proteções de IPS são baseadas em assinaturas de tráfego que definem o tipo de ataque potencial de rede. Sempre que um padrão de tráfego corresponder a uma assinatura IPS, o motor IPS aplica a ação da política IPS ao tráfego (bloquear, monitorar ou permitir).
Para a ação de bloqueio de IPS, você pode usar regras de lista de permissão IPS para configurar o motor IPS para ignorar o tráfego correspondente. Por exemplo, você pode criar uma regra de lista de permissão IPS diretamente de um evento de bloqueio IPS na tela de Eventos.
Nota
Nota: Para contas com configurações de lista de permissão IPS que foram previamente configuradas pelo suporte, essas configurações são migradas para a base de regras da lista de permissão IPS.
Você pode criar regras para listar o tráfego permitido para o motor IPS de acordo com um escopo específico do tráfego de rede. O tráfego da origem (De) para o destino (Para) só é listado de acordo com um destes tipos de tráfego de rede:
-
WAN - Tráfego WAN entre sites e hosts pela Nuvem Cato
-
Entrada - Tráfego da Internet para a rede interna do cliente
-
Saída - Tráfego da rede interna do cliente para a Internet
-
Qualquer - Qualquer tráfego de rede
A tabela a seguir explica os itens que você pode usar para definir as configurações de uma regra de lista de permissão IPS:
|
Item |
Descrição |
|---|---|
|
Nome |
Nome para a regra de lista de permissão IPS. |
|
Escopo |
Escopo de proteção para o tráfego ao qual a lista de permissão IPS se aplica. Não é possível editar o Escopo de uma regra. |
|
Fonte |
Fonte do tráfego para esta regra. |
|
Destino |
Destino do tráfego para esta regra. |
|
Protocolo/Porta |
Aplica-se somente ao tráfego que corresponde ao protocolo e portas especificados. Você pode definir uma única porta ou intervalo de portas para cada regra. Use regras separadas para definir múltiplas portas, por exemplo, uma regra para a porta TCP 80 e uma segunda regra para a porta TCP 200. |
|
ID da Assinatura |
A assinatura IPS que está listada na lista de permissão e qualquer tráfego com essa assinatura que corresponda a esta regra é permitido pelo motor IPS. Você pode digitar Qualquer para configurar o motor IPS para permitir todo o tráfego que corresponda a esta regra. |
|
Rastreamento |
Quando a regra é correspondida, um evento é gerado ou um alerta de notificação por e-mail é enviado para a lista especificada. |
|
|
Opções para Habilitar, Desabilitar ou Excluir |
A tabela a seguir mostra as entidades que você pode configurar para os campos Fonte e Destino nas regras de lista de permissão para cada escopo de proteção IPS:
|
Escopo da Regra |
Entidades Disponíveis para a Fonte |
Entidades Disponíveis para o Destino |
|---|---|---|
|
Entrada |
País Intervalo de IP ASN Remoto Sub-rede Qualquer |
Sub-rede Flutuante Grupo Host Sub-rede de Interface IP Interface de Rede Site Grupo do sistema Usuário Grupo de Usuários Usuário SDP Qualquer |
|
WAN |
Sub-rede Flutuante Grupo Host Sub-rede de Interface IP Interface de Rede Site Grupo de Sistemas Usuário Grupo de Usuários Usuário SDP Qualquer |
Sub-rede Flutuante Grupo Host Sub-rede de Interface IP Interface de Rede Site Grupo de Sistemas Usuário Grupo de Usuários Usuário SDP Qualquer |
|
Saída |
Sub-rede Flutuante Grupo Host Sub-rede de Interface IP Interface de Rede Site Grupo de Sistemas Usuário Grupo de Usuários Usuário SDP Qualquer |
País Domínio FQDN Faixa de IP ASN Remoto Qualquer |
A base de regras da lista de permissões IPS contém todas as regras que permitem o tráfego para o motor IPS. Todas as regras da lista de permissões IPS correspondentes são aplicadas ao tráfego, esse comportamento é diferente da base de regras do firewall ordenado onde apenas a primeira regra correspondente é aplicada. Isso significa que se uma conexão corresponder a várias regras da lista de permissões, então cada regra correspondente gera um evento.
Por exemplo, uma conexão com uma assinatura IPS bloqueada corresponde às regras de lista de permissões IPS 2 e 4. A conexão é incluída na lista de permissões e permitida pelo motor IPS. A conexão gera dois eventos separados, um para a regra 2 e outro para a regra 4.
Você pode usar a Descoberta de Eventos para identificar a assinatura IPS que está bloqueando o tráfego e, em seguida, criar uma regra de lista de permissões IPS a partir do evento de bloqueio. Você pode clicar no ID da assinatura em um evento para abrir uma janela que permite configurar as configurações para uma nova regra de lista de permissões IPS. A regra é então adicionada à base de regras da lista de permissões IPS na Política de IPS (Segurança > IPS).
Para criar uma regra de lista de permissões IPS a partir de um evento:
-
Em Inicial > Eventos, mostre o evento IPS para o tráfego bloqueado. Este é um procedimento de exemplo para mostrar um evento IPS:
-
No menu suspenso Selecionar Predefinição, selecione IPS.
-
Localize o evento para o ID da assinatura IPS.
-
Expanda o evento.
-
-
In signature id, click the link for the signature.
O painel Nova Lista de Permissões abre. As configurações para a regra são baseadas nos dados para o evento.
-
Revise as configurações para a regra de lista de permissões IPS. O Escopo corresponde à direção do tráfego para o evento e você não pode alterá-lo.
-
Na seção Rastrear, você pode escolher gerar um Evento e Notificação por Email quando esta assinatura for permitida.
-
Clique em Salvar. A regra é adicionada à base de regras da lista de permissões IPS.
-
Para mostrar a base de regras da lista de permissões IPS, no menu de navegação clique em Segurança > IPS e selecione a guia Lista de Permissões.
Use a seção Lista de Permissão IPS na tela de Política de IPS para criar, editar e excluir manualmente as regras da lista de permissões IPS.
A base de regras da lista de permissão IPS está na página de Política de IPS.
Para mostrar a base de regras da lista de permissões IPS:
-
No menu de navegação, clique em Segurança > IPS.
-
Selecione a aba Lista de Permissões. A base de regras da lista de permissão IPS é exibida.
Você pode adicionar uma nova regra à base de regras da lista de permissão IPS e definir as configurações da regra. Você não pode editar o escopo de uma regra.
O ID da Assinatura IPS é uma assinatura personalizada que a Cato usa para o motor de IPS. Você só pode ver os IDs da Assinatura em eventos de IPS.
Permitindo Tráfego de Restrição Geográfica IPS
Se você precisar criar regras de lista de permissão para a política de restrição geográfica IPS, então você precisa definir um Intervalo de IP no campo Destino. Se a regra for definida com base em um Domínio, o tráfego não ignora o motor de inspeção de IPS. Um método alternativo para aplicar restrições geográficas baseadas em domínios é com o Firewall de Internet. Para mais informações, consulte Políticas de Firewall Internet e WAN – Melhores Práticas.
Para criar manualmente uma regra de lista de permissão IPS:
-
No menu de navegação, clique em Segurança > IPS.
-
Clique em Novo. O painel Nova Lista de Permissões é aberto.
-
Digite o Nome da regra.
-
Selecione o Escopo da regra.
-
Defina o ID da Assinatura para a regra, veja acima Itens em uma Regra de Lista de Permissões IPS.
Se você definir o ID da Assinatura como Qualquer, então o motor IPS permite todo o tráfego correspondente.
-
Clique em Aplicar. A regra da lista de permissão IPS é adicionada à base de regras.
-
Clique em Salvar.
0 comentário
Por favor, entre para comentar.