Настройка IPS и Географическое ограничение

Обзор политики IPS от Cato

 

Система предотвращения вторжений Cato Networks состоит из нескольких уровней безопасности, включая:

  • Поведенческие сигнатуры: Защищая от отклонений от нормального, ожидаемого поведения системы или пользователя. Обычное поведение определяется с помощью анализа больших данных и глубокой видимости потоков трафика в облачной сети Cato.
  • Анализ репутации: Защита от входящей/исходящей связи с скомпрометированными или вредоносными ресурсами.
  • Известные уязвимости: Защита от известных CVE, быстрая адаптация для включения новых.
  • Анти-бот: Защита от исходящего трафика на серверы C&C на основе репутационных данных и анализа сетевого поведения.
  • Анализ сетевого поведения: Защита от входящих/исходящих сканирований сети.
  • Проверка протоколов: Защита от недействительных пакетов (соответствие протоколу), снижение поверхности атаки от эксплойтов с использованием аномального трафика.
  • Географическое ограничение: Внедрение пользовательской политики гео-ограничений для блокировки входящего, исходящего или всего трафика в определенные страны.

IPS и географические ограничения от Cato

Этот раздел является примером создания политики IPS для блокировки WAN и входящего трафика. Он также содержит политику гео-ограничений для блокировки трафика в Иран и Северную Корею.

Примечание: Если вы хотите заблокировать трафик из страны, но разрешить определенное полное доменное имя (FQDN), используйте межсетевой экран для Интернета. Для получения дополнительной информации см. Рекомендации по межсетевым экранам Интернета и WAN.

Определение Политики защиты IPS

Для WAN, входящего и исходящего трафика вы можете определить действия для двигателя IPS и соответствующие уведомления по электронной почте. Возможно, что соответствующий трафик является ложноположительным и на самом деле является легитимным трафиком.

Доступные действия:

  • Блокировать - Блокирует трафик и он не продолжается к пункту назначения. При применении перенаправляет пользователя на специальную веб-страницу блокировки. Создается событие для экрана События (Домашняя > События).
  • Мониторинг - Трафик разрешен к продолжению к назначению и создается событие для экрана События (Домашняя > События).
Политика_IPS_начало_работы.png

Настроить действия для Политики IPS:

  1. В меню навигации щелкните Безопасность > IPS.
  2. На странице IPS щелкните вкладку Политика защиты.

  3. Нажмите ползунок toggle.png, чтобы включить политику IPS.

    Переключатель зеленый toggle.png, когда включено.

  4. В разделе Политика защиты настройте следующие параметры для каждой Область защиты:

    1. Для WAN трафика система предотвращения вторжений блокирует соответствующие защиты и генерирует уведомление по электронной почте:

      1. Нажмите WAN Трафик.

        Открывается панель Редактировать.

      2. В Действие из выпадающего меню выберите Блокировать.
      3. В Отслеживание выберите Уведомление по электронной почте.
      4. Нажмите Применить.
    2. Для входящего интернет-трафика система предотвращения вторжений блокирует соответствующие защиты и генерирует уведомление по электронной почте:

      1. Нажмите Входящий Трафик.

        Открывается панель Редактировать.

      2. В Действие из выпадающего меню выберите Блокировать.
      3. В Отслеживание выберите Уведомление по электронной почте.
      4. Нажмите Применить.
    3. Для исходящего интернет-трафика система предотвращения вторжений мониторит соответствующие защиты и не генерирует уведомление по электронной почте:

      1. Нажмите Исходящий Трафик.

        Панель Редактировать открывается.

      2. В Действие из выпадающего меню выберите Мониторинг.
      3. В Отслеживание убедитесь, что Уведомление по электронной почте очищено.
      4. Щелкните Применить.
  5. Щелкните Сохранить. Настройки политики IPS сохранены для учетной записи.

Управление правилами географических ограничений

Вы можете определить правила географических ограничений для IPS. Правила географических ограничений для IPS основаны на геолокации IP-адреса, а не на домене. Можно определить правило для применения к входящему, исходящему или обоим направлениям трафика.

Примечание

Примечание: Если вы настраиваете правило географического ограничения для входящего трафика, это также применяется к ресурсам RPF. Однако правила географических ограничений IPS не применяются к трафику от клиентов Cato SDP. Чтобы заблокировать подключения клиентов из определенных регионов, вы можете настроить правила в политике доступа клиента.

Ограничение_По_Гео_IPS.png

Чтобы определить правило географического ограничения:

  1. В меню навигации щелкните Безопасность > IPS.
  2. На странице IPS щелкните вкладку Географическое ограничение или разверните раздел.

  3. Щелкните Добавить.

    Панель Добавить открывается.

  4. Введите Имя для правила и в разделе Направление выберите Оба направления, чтобы настроить правило для применения ко всему трафику.
  5. В разделе Страны добавьте Иран и Корейская Народно-Демократическая Республика (Северная Корея).
  6. В Действие выберите Блокировать для блокировки всего трафика из Ирана и Северной Кореи.
  7. В Отслеживание выберите Событие и Уведомление по электронной почте, чтобы иметь максимальную видимость трафика из Ирана и Северной Кореи.
  8. Щелкните Применить, а затем Сохранить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 8 из 8

0 комментариев