В этой статье обсуждается, как создать правило разрешенного списка, чтобы разрешить трафик с определенной сигнатурой Система предотвращения вторжений обходить движок проверки IPS.
Движок системы предотвращения вторжений (IPS) Cato проверяет WAN и интернет-трафик на различные сетевые атаки и использует различные методы предотвращения для защиты сети. Некоторые из защит IPS основаны на сигнатурах трафика, которые определяют тип потенциальной сетевой атаки. Всякий раз, когда шаблон трафика совпадает с сигнатурой IPS, движок IPS применяет действие политики IPS к трафику (блокировать, мониторинг или разрешить).
Для действия блокировки в IPS вы можете использовать правила разрешенного списка IPS для настройки IPS-движка на игнорирование совпадающего трафика. Например, вы можете создать правило разрешенного списка IPS непосредственно из события блокировки IPS на экране событий.
Примечание
Примечание: Использование доменных имен или FQDN в правиле позволительного списка IPS не применяется ко всем защитам и сигнатурам IPS. Вместо этого убедитесь, что используете диапазоны IP для правила, чтобы добавить в позволительный список все защиты IPS.
Вы можете создать правила для разрешения трафика для движка IPS в соответствии с определенной областью сетевого трафика. Трафик от источника (От) и к пункту назначения (К) разрешен только в соответствии с одним из следующих типов сетевого трафика:
- WAN - Трафик WAN между сайтами и хостами через облако Cato
- Входящий - Трафик из Интернета во внутреннюю сеть клиента
- Исходящий - Трафик из внутренней сети клиента в Интернет
- Любой - Любой сетевой трафик
Следующая таблица объясняет элементы, которые вы можете использовать для определения настроек правила разрешенного списка IPS:
| Элемент | Описание |
|---|---|
| Имя | Имя для правила белого списка IPS. |
| Область |
Область защиты для трафика, на который применяется белый список IPS. Вы не можете отредактировать область для правила. |
| Источник | Источник трафика для этого правила. |
| Назначение | Назначение трафика для этого правила. |
| Протокол/Порт | Применяется только к трафику, который соответствует указанному протоколу и портам. Вы можете определить один порт или диапазон портов для каждого правила. Используйте отдельные правила для указания нескольких портов, например одно правило для TCP порта 80 и другое правило для TCP порта 200. |
| ID подписи |
Сигнатура IPS, включенная в белый список, и весь трафик с этой сигнатурой, соответствующий этому правилу, разрешён движком IPS. Вы можете ввести Любой, чтобы настроить движок IPS для разрешения всего трафика, соответствующего этому правилу. |
| Отслеживание | Когда правило совпадает, создается событие или отправляется уведомление по электронной почте на указанный список. |
| Опции для Включить, Отключить или Удалить |
В следующей таблице показаны сущности, которые вы можете настроить для полей Источник и Назначение в правилах разрешенного списка для каждой области защиты IPS:
| Область действия правила | Доступные сущности для источника | Доступные сущности для назначения |
|---|---|---|
| Входящий |
Страна Диапазон IP-адресов Удаленный ASN Подсеть Любой |
Плавающая подсеть Группа администраторов Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
| WAN |
Плавающая подсеть Группа администраторов Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
Плавающая подсеть Группа администраторов Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
| Исходящий |
Плавающая подсеть Группа администраторов Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
Страна Домен Полное доменное имя (FQDN) Диапазон IP-адресов Удаленный ASN Любой |
Правила списка разрешений IPS содержат все правила, которые разрешают трафик для движка IPS. Все соответствующие правила списка разрешений IPS применяются к трафику, это поведение отличается от упорядоченного правила брандмауэра, где применяется только первое соответствующее правило. Это означает, что если соединение соответствует нескольким правилам списка разрешений, то каждое соответствующее правило генерирует событие.
Например, соединение с заблокированной сигнатурой IPS соответствует правилам списка разрешений IPS 2 и 4. Соединение добавлено в список разрешений и позволено движком IPS. Соединение генерирует два отдельных события, одно для правила 2 и одно для правила 4.
Вы можете использовать Обнаружение событий, чтобы идентифицировать сигнатуру IPS, блокирующую трафик, а затем создать правило списка разрешений IPS из событий блокировки. Вы можете нажать на ID сигнатуры в событии, чтобы открыть окно, позволяющее настроить параметры для нового правила списка разрешений IPS. Правило затем добавляется в базу правил списка разрешений IPS в Политика IPS (Безопасность > IPS).
Чтобы создать правило белого списка IPS из события:
- Из Главная страница > События, покажите событие IPS для заблокированного трафика. Это пример процедуры для отображения события IPS:
- Из выпадающего меню Выбрать пресет выберите IPS.
- Найдите событие для ID подписи IPS.
- Раскройте событие.
-
В ID подписи нажмите на ссылку для сигнатуры.
Панель Новый список разрешенных открывается. Настройки правила основаны на данных для события.
- Просмотрите настройки для правила белого списка IPS. Область совпадает с направлением трафика для события, и вы не можете её изменить.
- В разделе Отслеживание вы можете выбрать создание События и Уведомления по Электронной Почте, когда эта сигнатура разрешена.
- Нажмите Сохранить. Правило добавлено в базу правил белого списка IPS.
- Чтобы показать базу правил белого списка IPS, выберите в меню навигации Безопасность > IPS и выберите вкладку Разрешенный список.
Используйте раздел Список разрешений IPS на экране Политика IPS, чтобы вручную создать, редактировать и удалять правила разрешенного списка IPS.
База правил разрешенного списка IPS находится на странице Политика IPS.
Чтобы показать базу правил разрешенного списка IPS:
- Из меню навигации выберите Безопасность > IPS.
- Выберите вкладку Разрешенный список. База правил белого списка IPS отображается.
Вы можете добавить новое правило в базу правил разрешенного списка IPS и определить настройки правила. Вы не можете редактировать область действия правила.
ID подписи IPS — это пользовательская подпись, которую Cato использует для движка IPS. Вы можете видеть только ID подписи в событиях IPS.
Разрешение трафика с географическими ограничениями IPS
Если вам нужно создать правила разрешений для политики географического ограничения IPS, то вам нужно определить Диапазон IP-адресов в поле Назначение. Если правило определено на основе домена, трафик не обходит движок проверки IPS. Альтернативный метод применения географических ограничений, основанных на доменах, заключается в использовании Межсетевого экрана для Интернета. Для получения дополнительной информации смотрите Интернет и Политики WAN Межсетевого Экрана – Лучшие Практики.
Чтобы вручную создать правило белого списка IPS:
- Из меню навигации выберите Безопасность > IPS > Разрешенный список.
- Нажмите Новый. Открывается панель Новый список разрешенных.
- Введите Имя для правила.
- Выберите Область правила.
-
Определите ID подписи для правила, см. выше Элементы в правиле допуска IPS.
Если вы установите ID подписи на Любой, то движок IPS разрешит весь соответствующий трафик.
- Нажмите Применить. Правило допуска IPS добавлено в базу правил.
- Нажмите Сохранить.
0 комментариев
Войдите в службу, чтобы оставить комментарий.