В этой статье обсуждается, как создать правило разрешенного списка, чтобы разрешить трафик с определенной сигнатурой Система предотвращения вторжений обходить движок проверки IPS.
Движок системы предотвращения вторжений (IPS) Cato проверяет WAN и интернет-трафик на различные сетевые атаки и использует различные методы предотвращения для защиты сети. Некоторые из защит IPS основаны на сигнатурах трафика, которые определяют тип потенциальной сетевой атаки. Всякий раз, когда шаблон трафика совпадает с сигнатурой IPS, движок IPS применяет действие политики IPS к трафику (блокировать, мониторинг или разрешить).
Для действия блокировки в IPS вы можете использовать правила разрешенного списка IPS для настройки IPS-движка на игнорирование совпадающего трафика. Например, вы можете создать правило разрешенного списка IPS непосредственно из события блокировки IPS на экране событий.
Примечание
Примечание: Для учетных записей с настройками разрешенного списка IPS, которые были предварительно настроены поддержкой, эти настройки мигрируют в правило базы разрешенного списка IPS.
Вы можете создать правила для разрешения трафика для движка IPS в соответствии с определенной областью сетевого трафика. Трафик от источника (От) и к пункту назначения (К) разрешен только в соответствии с одним из следующих типов сетевого трафика:
-
WAN - WAN трафик между Сайты и хостами через облако Cato
-
Входящий - Трафик из интернета во внутреннюю сеть клиента
-
Исходящий - Трафик из внутренней сети клиента в интернет
-
Любой - Любой сетевой трафик
Следующая таблица объясняет элементы, которые вы можете использовать для определения настроек правила разрешенного списка IPS:
|
Элемент |
Описание |
|---|---|
|
Имя |
Имя для правила разрешенного списка IPS. |
|
Область |
Область защиты для трафика, к которому применяется разрешенный список IPS. Вы не можете редактировать Область для правила. |
|
Источник |
Источник трафика для этого правила. |
|
Назначение |
Назначение трафика для этого правила. |
|
Протокол/Порт |
Применяется только к трафику, который соответствует указанному протоколу и портам. Вы можете определить один порт или диапазон портов для каждого правила. Используйте отдельные правила для определения нескольких портов, например, одно правило для TCP порта 80 и второе правило для TCP порта 200. |
|
ID подписи |
Сигнатура IPS, которая включена в разрешенный список, и любой трафик с этой сигнатурой, который соответствует этому правилу, разрешается движком IPS. Вы можете ввести Любое, чтобы настроить движок IPS для разрешения всего трафика, который соответствует этому правилу. |
|
Отслеживание |
Когда правило совпадает, генерируется событие или отправляется уведомление по электронной почте на указанный список. |
|
|
Опции для Включить, Отключить или Удалить |
В следующей таблице показаны сущности, которые вы можете настроить для полей Источник и Назначение в правилах разрешенного списка для каждой области защиты IPS:
|
Область правила |
Доступные сущности для источника |
Доступные сущности для назначения |
|---|---|---|
|
Входящий |
Страна Диапазон IP-адресов Удаленный ASN Подсеть Любой |
Плавающая подсеть Группа Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
|
WAN |
Плавающая подсеть Группа Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
Плавающая подсеть Группа Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
|
Исходящий |
Плавающая подсеть Группа Хост Подсеть интерфейса IP Сетевой интерфейс Сайт Системная группа Пользователь Группа пользователей Пользователь SDP Любой |
Страна Домен FQDN Диапазон IP-адресов Удаленный ASN Любой |
Правила списка разрешений IPS содержат все правила, которые разрешают трафик для движка IPS. Все соответствующие правила списка разрешений IPS применяются к трафику, это поведение отличается от упорядоченного правила брандмауэра, где применяется только первое соответствующее правило. Это означает, что если соединение соответствует нескольким правилам списка разрешений, то каждое соответствующее правило генерирует событие.
Например, соединение с заблокированной сигнатурой IPS соответствует правилам списка разрешений IPS 2 и 4. Соединение добавлено в список разрешений и позволено движком IPS. Соединение генерирует два отдельных события, одно для правила 2 и одно для правила 4.
Вы можете использовать Обнаружение событий, чтобы идентифицировать сигнатуру IPS, блокирующую трафик, а затем создать правило списка разрешений IPS из событий блокировки. Вы можете нажать на ID сигнатуры в событии, чтобы открыть окно, позволяющее настроить параметры для нового правила списка разрешений IPS. Правило затем добавляется в базу правил списка разрешений IPS в Политика IPS (Безопасность > IPS).
Чтобы создать правило списка разрешений IPS из события:
-
Из Мониторинг > События покажите событие IPS для заблокированного трафика. Это пример процедуры для отображения события IPS:
-
Из выпадающего меню Выбрать пресет выберите IPS.
-
Найдите событие для ID сигнатуры IPS.
-
Разверните событие.
-
-
В ID подписи нажмите на ссылку для сигнатуры.
Панель Новый список разрешенных открывается. Настройки правила основаны на данных для события.
-
Просмотрите настройки правила разрешенного списка IPS. Область совпадает с направлением трафика для события, и вы не можете её изменить.
-
В разделе Отслеживание вы можете выбрать генерацию События и Уведомления по Электронной Почте, когда эта сигнатура разрешена.
-
Нажмите Сохранить. Правило добавлено в базу правил разрешенного списка IPS.
-
Чтобы показать базу правил разрешенного списка IPS, в меню навигации нажмите Безопасность > IPS и выберите вкладку Список разрешений.
Используйте раздел Список разрешений IPS на экране Политика IPS, чтобы вручную создать, редактировать и удалять правила разрешенного списка IPS.
База правил разрешенного списка IPS находится на странице Политика IPS.
Чтобы показать базу правил разрешенного списка IPS:
-
В меню навигации нажмите Безопасность > IPS.
-
Выберите вкладку Список разрешений. Отображается база правил разрешенного списка IPS.
Вы можете добавить новое правило в базу правил разрешенного списка IPS и определить настройки правила. Вы не можете редактировать область действия правила.
ID подписи IPS — это пользовательская подпись, которую Cato использует для движка IPS. Вы можете видеть только ID подписи в событиях IPS.
Разрешение трафика с географическими ограничениями IPS
Если вам нужно создать правила разрешений для политики географического ограничения IPS, то вам нужно определить Диапазон IP-адресов в поле Назначение. Если правило определено на основе домена, трафик не обходит движок проверки IPS. Альтернативный метод применения географических ограничений, основанных на доменах, заключается в использовании Межсетевого экрана для Интернета. Для получения дополнительной информации смотрите Интернет и Политики WAN Межсетевого Экрана – Лучшие Практики.
Чтобы вручную создать правило разрешенного списка IPS:
-
В меню навигации нажмите Безопасность > IPS.
-
Нажмите Новый. Панель Новый список разрешенных открывается.
-
Введите Имя для правила.
-
Выберите Область правила.
-
Определите ID подписи для правила, см. выше Объекты в правиле списка допущений IPS.
Если вы установите ID подписи на Любой, то движок IPS разрешит весь соответствующий трафик.
-
Нажмите Применить. Правило разрешенного списка IPS добавлено в базу правил.
-
Нажмите Сохранить.
0 комментариев
Войдите в службу, чтобы оставить комментарий.