在局域网中配置IPS

概览

Cato的局域网IPS保护将Cato的高级威胁防护功能扩展到本地网络流量,保护东西向流量免受已知和新兴攻击的威胁。 IPS引擎在Socket上本地运行,而不是在PoP中,后者定期接收签名和威胁情报更新。 更新下载后,检查和执行在Socket上进行。 这可以确保:

  • 即使没有连接到PoP或互联网,也能持续保护

  • WAN故障期间检查,以便本地流量始终得到执行

  • 较低的延迟,因为局域网流量不需要经过PoP进行检查

  • 减少WAN带宽使用量,避免不必要的本地流量回送

局域网IPS的执行通过局域网防火墙网络规则被细粒度控制。 您可以定义哪些流量在哪些站点上进行检查。 只有符合已配置局域网防火墙规则的流量会被IPS检查。 这提供了对执行范围的精确控制,并允许您根据安全性和性能要求进行对齐检查。 当检测到威胁时,IPS会根据防火墙策略设置采取行动,阻止恶意流量或生成事件以供可见性和调查。 正确配置的IPS在无需额外设备的情况下增强了本地的安全姿态。

前提条件

  • 支持Socket版本26及以上

  • IPS保护已启用。 有关IPS保护的更多信息,请参阅配置IPS策略

  • 我们建议您启用TLS检查,以便IPS服务为您的网络提供最大的保护。

在局域网中配置IPS保护

要配置局域网IPS保护,您需要:

  1. 在IPS策略中启用Socket局域网保护范围

  2. 定义由Socket局域网IPS引擎使用局域网防火墙规则检查的流量

步骤1:启用局域网IPS保护

在IPS策略中,启用Socket局域网保护范围并配置相关设置。

LAN_IPS.png

要启用局域网IPS保护:

  1. 从导航菜单中,点击安全性> IPS

  2. 点击Socket局域网

    编辑面板打开。

  3. 点击滑块以启用(绿色),并配置所需的操作跟踪设置。

  4. 点击应用,然后点击保存

    Socket局域网IPS已为账户启用,但除非配置了局域网防火墙,否则不会执行。

理解IPS保护操作

您可以定义由局域网IPS触发的操作并设置其警报。 这是可用的操作:

  • 阻止 - 阻止恶意流量到达目的地。 在适用情况下,用户将被重定向到一个专用的阻止网页。

  • 监控 - 生成恶意流量的事件(显示在主页>事件中)。 然后流量继续到目的地。

步骤2:定义由Socket局域网IPS引擎使用局域网防火墙规则检查的流量

要定义哪些站点执行IPS保护,请将其包括在网络局域网防火墙规则中。 在IPS页面,应用到列中的链接显示当前使用局域网IPS的局域网防火墙规则数量,以及网络规则的总数。

Network_rule.png

要使用局域网防火墙规则定义用于IPS检查的流量:

  1. 从导航菜单中,点击安全性> 局域网防火墙

  2. 编辑你要添加局域网IPS保护的规则。

  3. 安全性部分中,选中应用程序意识局域网IPS复选框。

  4. 点击保存然后发布

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论