Профили СОВ

ID статьи: 847
Последнее обновление: 17 дек, 2024
Documentation:
Product: NGFW
Version: 7.1.x, 7.2.x, 7.3.x
Technology: IDPS

Назначение профиля СОВ

Профиль СОВ позволяет создавать динамический набор сигнатур СОВ, предназначенный для обнаружения вторжений и защиты определенных сервисов. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. Для фильтрации используются как описательные поля сигнатур, так и настройки. В итоге получается, что при изменении библиотеки сигнатур профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.

Помимо создания необходимого набора сигнатур в профиле могут определяться действия, которые будут выполняться над трафиком, отфильтрованным сигнатурами.

Создание профиля СОВ в веб-консоли администратора

В веб-консоли администратора профили СОВ создаются в разделе Библиотеки ➜ Профили СОВ.

Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля:

1. В поле Название указать название создаваемого профиля.

2. В поле Описание опционально указать назначение профиля.

3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки.

4. На вкладке Совпавшие сигнатуры отображается превью сигнатур СОВ, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над трафиком, отфильтрованным этими сигнатурами.

Настройка фильтров сигнатур в профиле СОВ

Для создания фильтра сигнатур необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра. 

Фильтр можно создать, выбирая опции фильтрации в панели инструментов. В окне под панелью инструментов будут отображаться сигнатуры, отбираемые этим фильтром: 

Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать кнопку Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра:

Начиная с версии ПО 7.3.0 в свойствах фильтров доступна возможность перенастройки параметров всех сигнатур, отбираемых фильтром:

Можно перенастроить следующие параметры отфильтрованных сигнатур:

  • Состояние сигнатуры — возможность включить или выключить сигнатуры. Значение "По умолчанию" оставляет состояние всех сигнатур, как оно определено в самих сигнатурах по умолчанию.

  • Действие — предпринимаемое действие, если сигнатура сработала, т.е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, сбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения. Значение "По умолчанию" оставляет для всех сигнатур то действие, которое было определено в самих сигнатурах по умолчанию.

  • Журналировать — включение/отключение журналирования срабатывания сигнатуры. Значение "По умолчанию" оставляет настройку журналирования для всех сигнатур, как она определена в самих сигнатурах по умолчанию. 

  • Файл PCAP — включение/отключение записи в PCAP-файл, если сигнатура сработала. Значение "По умолчанию" оставляет настройку записи в PCAP-файл для всех сигнатур, как она определена в самих сигнатурах по умолчанию. 

  • Применить к — настраивается, если параметр Действие выставлен в значения Сбросить или Блокировать IP. Параметр имеет следующие значения: Источник, Назначение, Оба.

  • Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP. Число, указывающее срок блокировки IP-адреса. Если значение равно нулю, IP-адрес блокируется бесконечно. 

Для сохранения созданного фильтра необходимо нажать кнопку Сохранить.

В одном профиле можно использовать сразу несколько фильтров.

Фильтры в профиле работают по логическому ИЛИ. Например, если в профиле добавлено два фильтра: `category = injection` и `threat = low`, они эквивалентны одному фильтру: `category = injection OR threat = low`.

Если одна и та же сигнатура попала в несколько фильтров, то приоритет настроек параметров сигнатуры определяется настройками в верхнем фильтре в списке.

Фильтры в профиле можно двигать вверх-вниз:

Точечное переопределение параметров сигнатур в профиле СОВ

На вкладке профиля Совпавшие сигнатуры можно произвести точечное переопределение параметров сигнатуры. Для этого необходимо выбрать нужные сигнатуры в списке совпавших сигнатур и нажать кнопку Переопределить в панели инструментов:

Переопределение настроек сигнатур в профиле СОВ имеет более высокий приоритет, чем настройки этих же сигнатур в библиотеке сигнатур СОВ.

Измененные настройки сигнатур СОВ можно вернуть в первоначальное состояние, для этого нужно выделить сигнатуру в списке сигнатур профиля и нажать кнопку Восстановить по умолчанию в панели инструментов профиля:

Приоритет значений параметров сигнатуры СОВ

В настоящий момент значения параметров сигнатуры СОВ (такие как состояние, действие, журналирование, запись в файл PCAP итд.) могут быть определены в трёх местах:

Приоритет назначений параметров сигнатуры СОВ определяется согласно следующей диаграмме: 

  

Применение профилей СОВ

Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.

Профиль СОВ применяется в разрешающем правиле межсетевого экрана

Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. После попадания под правило с профилем СОВ, трафик начинает анализироваться с помощью определенного в профиле набора сигнатур. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур профиля не была найдена, то трафик пропускается дальше.

Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 847
Последнее обновление: 17 дек, 2024
Ревизия: 44
Просмотры: 5998
Комментарии: 0
Теги