С помощью профилей СОВ администратор может создать динамические наборы сигнатур СОВ, предназначенные для обнаружения вторжений и защиты определенных сервисов. Динамичность профилей достигается за счет использования фильтров, с помощью которых автоматически собирается необходимый набор сигнатур. Для фильтрации используются как описательные поля, так и параметры сигнатур. При изменении сигнатур в библиотеке профили динамически обновят наборы сигнатур в соответствии с настроенными фильтрами.

В профилях СОВ также можно настроить действия, которые будут выполняться над трафиком, отфильтрованным сигнатурами.

Создание профиля СОВ в веб-консоли администратора

В веб-консоли администратора профили СОВ создаются в разделе Настройки ➜ Библиотеки ➜ Профили СОВ.

Нажмите Добавить и заполните соответствующие поля в свойствах профиля:

1. В поле Название укажите название создаваемого профиля.

2. В поле Описание укажите назначение профиля.

3. В области Фильтры добавьте фильтры для выбора необходимых сигнатур из библиотеки.

4. На вкладке Совпавшие сигнатуры отображается превью сигнатур СОВ, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над трафиком, отфильтрованным этими сигнатурами.

Настройка фильтров сигнатур в профиле СОВ

Для создания фильтра сигнатур в области Фильтры нажмите Добавить. Откроется окно свойств фильтра.

Фильтр можно создать, выбирая опции фильтрации в панели инструментов. В окне под панелью инструментов будут отображаться сигнатуры, отбираемые этим фильтром:

Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого нажмите Расширенный в панели инструментов и в открывшейся строке опишите свойства выбора фильтра:

Начиная с версии ПО 7.3.0 в свойствах фильтров доступна возможность перенастройки параметров всех сигнатур, отбираемых фильтром:

Вы можете перенастроить следующие параметры отфильтрованных сигнатур:

Состояние сигнатуры — возможность включить или выключить сигнатуры. Значение «По умолчанию» оставляет состояние всех сигнатур таким, как было определено в самих сигнатурах по умолчанию.
Действие — предпринимаемое действие, если сигнатура сработала, т. е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, сбросить пакет с разрывом TCP-соединения, блокировать IP-адрес источника или назначения. Значение «По умолчанию» оставляет для всех сигнатур то действие, которое было определено в самих сигнатурах по умолчанию.
Журналировать — включение или отключение журналирования срабатывания сигнатуры. Значение «По умолчанию» оставляет настройку журналирования для всех сигнатур, как она была определена в самих сигнатурах по умолчанию.
Файл PCAP — включение или отключение записи в PCAP-файл, если сигнатура сработала. Значение «По умолчанию» оставляет настройку записи в PCAP-файл для всех сигнатур, как она была определена в самих сигнатурах по умолчанию.
Применить к — настраивается, если параметр «Действие» выставлен в значения «Сбросить» или «Блокировать IP». Параметр имеет следующие значения:
- Источник;
- Назначение;
- Оба.
Продолжительность — можно настроить, если параметр «Действие» имеет значение «Блокировать IP». Число, указывающее срок блокировки IP-адреса. Если значение равно нулю, IP-адрес блокируется бесконечно.

Для сохранения созданного фильтра нажмите Сохранить.

В одном профиле можно использовать сразу несколько фильтров.

Фильтры в профиле работают по логическому ИЛИ. Например, если в профиле добавлено два фильтра: category = injection и threat = low, они эквивалентны одному фильтру: category = injection OR threat = low.

Если одна и та же сигнатура попала в несколько фильтров, приоритет настроек параметров сигнатуры определяется настройками в верхнем фильтре в списке.

Фильтры в профиле можно перемещать вверх или вниз:

Точечное переопределение параметров сигнатур в профиле СОВ

На вкладке профиля Совпавшие сигнатуры можно произвести точечное переопределение параметров сигнатуры. Для этого выберите нужные сигнатуры в списке совпавших сигнатур и нажмите Переопределить в панели инструментов.

Переопределение настроек сигнатур в профиле СОВ имеет более высокий приоритет, чем настройки этих же сигнатур в библиотеке сигнатур СОВ.

Измененные настройки сигнатур СОВ можно вернуть в первоначальное состояние, для этого выделите сигнатуру в списке сигнатур профиля и нажмите в панели инструментов профиля Восстановить по умолчанию.

Приоритет значений параметров сигнатуры СОВ

Приоритет назначений параметров сигнатуры СОВ определяется согласно следующей диаграмме:

В библиотеке сигнатур СОВ (Настройки ➜ Библиотеки ➜ Сигнатуры СОВ) представлен общий перечень сигнатур с определенными по умолчанию параметрами. Администратор может самостоятельно переопределить некоторые параметры (например, состояние, действие, журналирование, запись в файл PCAP и т. д.) в настройках параметров сигнатуры.
При создании профиля СОВ администратор может переопределить параметры сигнатур при настройке конкретного фильтра. Эти изменения будут актуальны только для профиля, в котором они определены.
При создании профиля СОВ администратор может точечно переопределить параметры сигнатур в списке всех совпавших сигнатур профиля (подробнее — в главе «Точечное переопределение параметров сигнатур в профиле СОВ»). Изменения применяются к результату фильтрации. Изменения параметров сигнатуры при точечном переопределении сохраняются до тех пор, пока сигнатура попадает в профиль.

ПримечаниеЕсли в фильтре профиля задан поиск по свойствам сигнатур, этот поиск будет осуществляться с учетом свойств, заданных в библиотеке сигнатур («Настройки» ➜ «Библиотеки» ➜ «Сигнатуры СОВ»). Переопределения на этапе задания свойств фильтра, а также точечные переопределения на факт попадания сигнатуры в фильтр не влияют.

Применение профилей СОВ

Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.

Профиль СОВ применяется в разрешающем правиле межсетевого экрана.

Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. После попадания под правило с профилем СОВ, трафик начинает анализироваться с помощью определенного в профиле набора сигнатур. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур профиля не была найдена, то трафик пропускается дальше.

Важно!Для корректной работы системы анализа трафика СОВ/L7 через NGFW должен проходить как прямой, так и обратный трафик. На асимметричном трафике система работать не будет.

Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).

Работа с сигнатурами СОВ в интерфейсе командной строки описана в разделе Настройка библиотек Руководства администратора.