Настройка IPS и Географическое ограничение

Обзор Политика IPS Cato

Система предотвращения вторжений Cato Networks состоит из нескольких уровней безопасности, включая:

  • Поведенческая сигнатура: защита от отклонения от нормального, ожидаемого поведения системы или пользователя. Обычное поведение определяется с использованием анализа больших данных Cato Networks и глубокой видимости по многим потокам трафика через облако Cato.

  • Анализ репутации: защита от входящей/исходящей связи с скомпрометированными или вредоносными ресурсами.

  • Известные уязвимости: защита от известных CVE, быстро адаптирующихся к включению новых.

  • Антибот: защита от исходящего трафика к серверам C&C на основе репутационных фидов и анализа сетевого поведения.

  • Анализ сетевого поведения: защита от входящих/исходящих сетевых сканирований.

  • Проверка протокола: защита от недействительных пакетов (соответствие протоколу), снижение возможности атак с использованием аномального трафика.

  • Географическое ограничение: принудительное применение пользовательской политики гео-ограничения для блокировки входящего, исходящего или всего трафика в определенные страны.

Система предотвращения вторжений и Географическое ограничение Cato

Этот раздел является примером создания Политики IPS для блокировки WAN и входящего трафика. Он также содержит политику географического ограничения для блокировки трафика из Ирана и Северной Кореи.

Определение Политики защиты IPS

Для WAN, входящего и исходящего трафика вы можете определить действия для двигателя IPS и соответствующие уведомления по электронной почте. Возможно, что соответствующий трафик является ложноположительным и на самом деле является легитимным трафиком.

Доступные действия:

  • Блокировать - Блокирует трафик и он не продолжается к пункту назначения. При применении перенаправляет пользователя на специальную веб-страницу блокировки. Создается событие для экрана События (Домашняя > События).

  • Мониторинг - Трафик разрешен к продолжению к назначению и создается событие для экрана События (Домашняя > События).

Политика_IPS_начало_работы.png

Настроить действия для Политики IPS:

  1. В меню навигации щелкните Безопасность > IPS.

  2. На странице IPS щелкните вкладку Политика защиты.

  3. Щелкните ползунок toggle.png для включения Политики IPS.

    Тумблер зеленый toggle.png, когда включен.

  4. В разделе Политика защиты настройте следующие параметры для каждой Область защиты:

    1. Для WAN трафика система предотвращения вторжений блокирует соответствующие защиты и генерирует уведомление по электронной почте:

      1. Нажмите WAN Трафик.

        Открывается панель Редактировать.

      2. В Действие из выпадающего меню выберите Блокировать.

      3. В Отслеживание выберите Уведомление по электронной почте.

      4. Нажмите Применить.

    2. Для входящего интернет-трафика система предотвращения вторжений блокирует соответствующие защиты и генерирует уведомление по электронной почте:

      1. Нажмите Входящий Трафик.

        Открывается панель Редактировать.

      2. В Действие из выпадающего меню выберите Блокировать.

      3. В Отслеживание выберите Уведомление по электронной почте.

      4. Нажмите Применить.

    3. Для исходящего интернет-трафика система предотвращения вторжений мониторит соответствующие защиты и не генерирует уведомление по электронной почте:

      1. Нажмите Исходящий Трафик.

        Панель Редактировать открывается.

      2. В Действие из выпадающего меню выберите Мониторинг.

      3. В Отслеживание убедитесь, что Уведомление по электронной почте очищено.

      4. Щелкните Применить.

  5. Щелкните Сохранить. Настройки политики IPS сохранены для учетной записи.

Управление правилами географических ограничений

Вы можете определить правила географических ограничений для IPS. Правила географических ограничений для IPS основаны на геолокации IP-адреса, а не на домене. Можно определить правило для применения к входящему, исходящему или обоим направлениям трафика.

Примечание

Примечание: Если вы настраиваете правило географического ограничения для входящего трафика, это также применяется к ресурсам RPF. Однако правила географических ограничений IPS не применяются к трафику от клиентов Cato SDP. Чтобы заблокировать подключения клиентов из определенных регионов, вы можете настроить правила в политике доступа клиента.

Ограничение_По_Гео_IPS.png

Чтобы определить правило географического ограничения:

  1. В меню навигации щелкните Безопасность > IPS.

  2. На странице IPS щелкните вкладку Географическое ограничение или разверните раздел.

  3. Щелкните Добавить.

    Панель Добавить открывается.

  4. Введите Имя для правила и в разделе Направление выберите Оба направления, чтобы настроить правило для применения ко всему трафику.

  5. В разделе Страны добавьте Иран и Корейская Народно-Демократическая Республика (Северная Корея).

  6. В Действие выберите Блокировать для блокировки всего трафика из Ирана и Северной Кореи.

  7. В Отслеживание выберите Событие и Уведомление по электронной почте, чтобы иметь максимальную видимость трафика из Ирана и Северной Кореи.

  8. Щелкните Применить, а затем Сохранить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев