配置IPS和地理限制

Cato的IPS策略概述

Cato的IPS服务由多层安全组成,包括:

  • 行为签名:防止系统或用户偏离正常、预期行为。 使用Cato Networks的大数据分析和在Cato Cloud上的广泛流量可见性识别正常行为。

  • 信誉分析:防止与受损或恶意资源的入站/出站通信。

  • 已知漏洞:防止已知CVE,迅速适应以接纳新的。

  • 反机器人:基于信誉源和网络行为分析,防止到C&C服务器的出站流量。

  • 网络行为分析:防止入站/出站网络扫描。

  • 协议验证:防止无效数据包(协议合规性),减少利用异常流量的攻击面。

  • 地理限制:实施自定义地理限制策略以阻止特定国家的入站、出站或所有流量。

Cato的IPS和地理限制

本节是创建IPS策略以阻止WAN和入站流量的示例。 它还包含一个地理限制政策,用于阻止伊朗和朝鲜的流量。

定义IPS保护策略

对于WAN、入站和出站流量,可以为IPS引擎和相关的电子邮件通知定义操作。 匹配的流量可能是误报,实际上是合法流量。

这些是可用的操作:

  • 阻止 - 阻止流量,不继续到目的地。 适用时,将用户重定向到专用阻止网页。 为事件屏幕(首页>事件)生成事件。

  • 监控 - 流量被允许继续到目的地,并为事件屏幕(首页>事件)生成事件。

IPS_策略_入门.png

要配置IPS策略的操作:

  1. 从导航菜单中,点击安全> IPS

  2. 在IPS页面上,点击保护策略标签。

  3. 点击滑块toggle.png以启用IPS策略。

    启用时,滑块为绿色toggle.png

  4. 保护策略部分,为每个保护范围配置以下设置:

    1. 对于WAN流量,IPS阻止匹配的保护并生成电子邮件通知:

      1. 点击WAN流量

        编辑面板打开。

      2. 操作中,从下拉菜单中选择阻止

      3. 跟踪中,选择电子邮件通知

      4. 点击应用

    2. 对于入站互联网流量,IPS阻止匹配的保护并生成电子邮件通知:

      1. 点击入站流量

        编辑面板打开。

      2. 操作中,从下拉菜单中选择阻止

      3. 跟踪中,选择电子邮件通知

      4. 点击应用

    3. 对于出站互联网流量,IPS监控匹配的保护,不生成电子邮件通知:

      1. 点击出站流量

        编辑面板打开。

      2. 操作中,从下拉菜单中选择监控

      3. 跟踪中,请确认电子邮件通知没有选中。

      4. 点击应用

  5. 点击保存。 IPS策略设置已保存到帐户。

管理地理限制规则

您可以为IPS定义地理限制规则。 IPS的地理限制规则基于IP地址的地理位置,而不是域名。 您可以定义该规则以应用于入站、出站或双向流量。

注意

注意:如果为入站流量配置地理限制规则,这也适用于RPF资源。 然而,IPS地理限制规则不适用于Cato SDP 客户端的流量。 要阻止特定地区的客户端连接,可以在客户端连接策略中配置规则。

IPS_地理_限制.png

要定义地理限制规则:

  1. 从导航菜单中,点击安全> IPS

  2. 在IPS页面上,点击地理限制标签或展开该部分。

  3. 点击新建

    添加面板打开。

  4. 输入规则的名称,在方向中,选择双向以配置规则应用于所有流量。

  5. 国家部分,添加伊朗朝鲜民主主义人民共和国 (朝鲜)。

  6. 操作中,选择阻止以阻止所有往返于伊朗和朝鲜的流量。

  7. 跟踪中选择事件电子邮件通知,以最大程度地监控往返于伊朗和朝鲜的流量。

  8. 点击应用,然后点击保存

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论