配置IPS和地理限制

Cato的IPS策略概览

 

Cato的IPS服务由多层安全组成,包括:

  • 行为签名:保护系统或用户的行为偏离正常和预期的情况。 正常行为通过Cato Networks的大数据分析和在Cato Cloud覆盖的众多流量流中深度可见性来识别。
  • 声誉分析:保护免受与已破坏或恶意资源进行入站/出站通信的影响。
  • 已知漏洞:保护免受已知CVE的影响,迅速适应以纳入新的漏洞。
  • 反机器人:基于声誉馈送和网络行为分析,保护免受向C&C服务器的出站流量的影响。
  • 网络行为分析:保护免受入站/出站网络扫描的影响。
  • 协议验证:保护免受无效数据包(协议一致性)的影响,并通过使用异常流量减少攻击面。
  • 地理限制:执行自定义地理限制访问权限策略以阻止到特定国家的入站、出站或全部流量。

Cato的IPS和地理限制

本部分为创建IPS策略以阻止WAN和入站流量的示例。 它还包含一个地理限制访问权限策略,以阻止对伊朗和朝鲜的流量。

注意:如果您想阻止来自某个国家的流量,但允许特定的完全限定域名 (FQDN),请使用互联网防火墙。 有关更多信息,请参阅互联网和WAN防火墙访问权限策略建议

定义IPS保护策略

对于WAN、入站和出站流量,可以为IPS引擎和相关的电子邮件通知定义操作。 匹配的流量可能是误报,实际上是合法流量。

这些是可用的操作:

  • 阻止 - 阻止流量,不继续到目的地。 适用时,将用户重定向到专用阻止网页。 为事件屏幕(首页>事件)生成事件。
  • 监控 - 流量被允许继续到目的地,并为事件屏幕(首页>事件)生成事件。
IPS_策略_入门.png

要配置IPS策略的操作:

  1. 从导航菜单中,点击安全> IPS
  2. 在IPS页面上,点击保护策略标签。

  3. 单击开关 toggle.png 启用 IPS策略。

    启用时,开关显示绿色 toggle.png

  4. 保护策略部分,为每个保护范围配置以下设置:

    1. 对于WAN流量,IPS阻止匹配的保护并生成电子邮件通知:

      1. 点击WAN流量

        编辑面板打开。

      2. 操作中,从下拉菜单中选择阻止
      3. 跟踪中,选择电子邮件通知
      4. 点击应用
    2. 对于入站互联网流量,IPS阻止匹配的保护并生成电子邮件通知:

      1. 点击入站流量

        编辑面板打开。

      2. 操作中,从下拉菜单中选择阻止
      3. 跟踪中,选择电子邮件通知
      4. 点击应用
    3. 对于出站互联网流量,IPS监控匹配的保护,不生成电子邮件通知:

      1. 点击出站流量

        编辑面板打开。

      2. 操作中,从下拉菜单中选择监控
      3. 跟踪中,请确认电子邮件通知没有选中。
      4. 点击应用
  5. 点击保存。 IPS策略设置已保存到帐户。

管理地理限制规则

您可以为IPS定义地理限制规则。 IPS的地理限制规则基于IP地址的地理位置,而不是域名。 您可以定义该规则以应用于入站、出站或双向流量。

注意

注意:如果为入站流量配置地理限制规则,这也适用于RPF资源。 然而,IPS地理限制规则不适用于Cato SDP 客户端的流量。 要阻止特定地区的客户端连接,可以在客户端连接策略中配置规则。

IPS_地理_限制.png

要定义地理限制规则:

  1. 从导航菜单中,点击安全> IPS
  2. 在IPS页面上,点击地理限制标签或展开该部分。

  3. 点击新建

    添加面板打开。

  4. 输入规则的名称,在方向中,选择双向以配置规则应用于所有流量。
  5. 国家部分,添加伊朗朝鲜民主主义人民共和国 (朝鲜)。
  6. 操作中,选择阻止以阻止所有往返于伊朗和朝鲜的流量。
  7. 跟踪中选择事件电子邮件通知,以最大程度地监控往返于伊朗和朝鲜的流量。
  8. 点击应用,然后点击保存

这篇文章有帮助吗?

8 人中有 8 人觉得有帮助

0 条评论