您可以启用或禁用对来自入站、出站及广域网的恶意流量威胁的保护。 您还可以配置服务以阻止流量或在不阻止的情况下进行监控。
Cato的IPS服务由多层安全组成,包括:
-
声誉分析:保护免受与受损或恶意资源的入站/出站通信。
-
已知漏洞:保护已知CVE,快速适应以纳入新的漏洞。
-
反机器人:根据声誉数据和网络行为分析,保护免受至C&C服务器的出站流量。
-
网络行为分析:保护免受入站/出站网络扫描。
-
协议验证:保护不符合协议的数据包,减少利用异常流量的攻击面。
-
地理限制:执行自定义地理限制策略,以阻止入站、出站或所有特定国家流量。
-
隧道攻击:识别和阻止试图通过合法协议(例如,HTTP,HTTPS,DNS)隐藏恶意流量以规避安全控制的行为。
注意
注意: 我们建议启用TLS检查,以便入侵防御系统为您的网络提供最大保护。
IPS策略仅在拥有威胁防护许可证时可用。 有关更多信息,请联系您的销售代表。
除了静态威胁情报源外,卡托入侵防御系统还使用机器学习模块提供对某些攻击类型的实时保护。 入侵防御系统引擎使用数百个静态威胁情报源,将已知漏洞模式转换为签名,并将其集成到引擎中。 另一方面,机器学习启发式模块使用已知和未知的威胁情报来判断是否存在威胁,并且不依赖于静态数据源。 这些机器学习模型实时识别潜在恶意的未知域名,这些域名由DGA和域名抢注技术生成。
使用机器学习模型进行威胁防护的好处在于DGA和域名抢注无法单靠静态黑名单阻止,这些策略会随机变化,每天都会使用新的DGA和域名抢注方法。 机器学习算法使我们能够实时检测潜在恶意域名。 DGA检测可能由算法生成的域名(看起来不像是使用常规字典词语)。 DGA用于命令与控制(C&C)通信,域名抢注可用于钓鱼攻击。
Cato的机器学习算法的一部分是我们为引擎的域名抢注部分监控的已知品牌列表,但客户也可以添加他们自己的域名列表进行监控。 DGA机器学习模型将在DNS保护和入侵防御系统引擎上运行,但域名抢注引擎将仅在入侵防御系统上运行。
事件发生时,签名ID将指示哪个模型识别出威胁,但不会从其他事件字段中识别出来。
本部分说明如何配置入侵防御系统策略以保护帐户中的网络。
对于WAN、入站和出站流量,您可以定义由威胁检测触发的操作并设置其警报。 可用操作如下:
-
阻止 - 阻止恶意流量到达其目的地。 如果适用,用户将被重定向到专用阻止网页。
-
监控 - 为恶意流量生成事件(显示在主页 > 事件中)。 然后流量继续到达目的地。
要为入侵防御系统策略配置文件保护操作:
-
从导航菜单中,单击 安全 > 入侵防御系统。
-
单击保护策略选项卡,为每个保护范围定义设置:
-
在保护范围列中,单击流量类型。 编辑面板打开。
-
在常规部分中,启用或禁用保护范围(绿色为启用,灰色为禁用)。
-
在操作部分中,为符合入侵防御系统保护的流量设置操作。
-
在跟踪部分,设置通知选项。
有关通知的更多信息,请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
-
单击应用。
保护范围的设置已添加到入侵防御系统策略中。
-
-
单击保存。 入侵防御系统策略已保存。
入侵防御系统策略的执行选项允许您为入站和出站流量添加额外的威胁保护级别。
对于出站流量,您可以配置入侵防护系统 (IPS) 自动阻止小于14天的域名。 恶意软件经常使用新注册的域名来规避威胁防护。 大多数新注册的域名是恶意的或可疑的。
您可以定义入侵防护系统 (IPS) 地理限制规则,以阻止到(出站)或从(入站)特定国家的流量,或所有到规则定义的国家的流量。
注意
注意: 如果您为入站流量配置地理限制规则,这也适用于RPF资源。 但是,入侵防护系统 (IPS) 地理限制规则不适用于Cato SDP客户端的流量。 要阻止来自特定地区的客户端连接,您可以在客户端连接策略中配置规则。
要定义地理限制规则:
-
在导航菜单中,点击 安全性 > 入侵防护系统。
-
在 地理限制 标签页中,点击 新建。 添加 窗口打开。
-
在 常规 部分中,配置以下设置:
-
为规则输入一个 名称。
-
确保规则已启用(绿色为启用,灰色为禁用)。
-
为此规则选择流量方向:出站、入站 或 双向。
-
-
在 国家 部分中,定义此地理限制规则的国家。
-
搜索国家,然后选择它。
-
对您将添加到此规则的每个国家重复上一步。
-
-
在 操作 部分中,设置此规则的操作和跟踪设置:
-
定义规则的操作:阻止 、监控 或 允许(监控和允许操作都会生成事件而不阻止流量)。
-
点击 事件,为匹配入侵防护系统 (IPS) 保护的流量生成事件。
-
单击发送通知并设置通知发送的频率。
选择接收通知的管理员的 邮件列表。
-
-
点击 应用。 规则已添加。
-
点击 保存。
0 条评论
请登录写评论。