ID статьи: 847
Последнее обновление: 17 дек, 2024
Documentation: Product: NGFW Version: 7.1.x, 7.2.x, 7.3.x Technology: IDPS
Назначение профиля СОВПрофиль СОВ позволяет создавать динамический набор сигнатур СОВ, предназначенный для обнаружения вторжений и защиты определенных сервисов. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. Для фильтрации используются как описательные поля сигнатур, так и настройки. В итоге получается, что при изменении библиотеки сигнатур профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей. Помимо создания необходимого набора сигнатур в профиле могут определяться действия, которые будут выполняться над трафиком, отфильтрованным сигнатурами. Создание профиля СОВ в веб-консоли администратораВ веб-консоли администратора профили СОВ создаются в разделе Библиотеки ➜ Профили СОВ. Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля: 1. В поле Название указать название создаваемого профиля. 2. В поле Описание опционально указать назначение профиля. 3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки. 4. На вкладке Совпавшие сигнатуры отображается превью сигнатур СОВ, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над трафиком, отфильтрованным этими сигнатурами. Настройка фильтров сигнатур в профиле СОВДля создания фильтра сигнатур необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра. Фильтр можно создать, выбирая опции фильтрации в панели инструментов. В окне под панелью инструментов будут отображаться сигнатуры, отбираемые этим фильтром: Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать кнопку Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра: Начиная с версии ПО 7.3.0 в свойствах фильтров доступна возможность перенастройки параметров всех сигнатур, отбираемых фильтром: Можно перенастроить следующие параметры отфильтрованных сигнатур:
Для сохранения созданного фильтра необходимо нажать кнопку Сохранить. В одном профиле можно использовать сразу несколько фильтров. Фильтры в профиле работают по логическому ИЛИ. Например, если в профиле добавлено два фильтра: `category = injection` и `threat = low`, они эквивалентны одному фильтру: `category = injection OR threat = low`. Если одна и та же сигнатура попала в несколько фильтров, то приоритет настроек параметров сигнатуры определяется настройками в верхнем фильтре в списке. Фильтры в профиле можно двигать вверх-вниз: Точечное переопределение параметров сигнатур в профиле СОВНа вкладке профиля Совпавшие сигнатуры можно произвести точечное переопределение параметров сигнатуры. Для этого необходимо выбрать нужные сигнатуры в списке совпавших сигнатур и нажать кнопку Переопределить в панели инструментов: Переопределение настроек сигнатур в профиле СОВ имеет более высокий приоритет, чем настройки этих же сигнатур в библиотеке сигнатур СОВ. Измененные настройки сигнатур СОВ можно вернуть в первоначальное состояние, для этого нужно выделить сигнатуру в списке сигнатур профиля и нажать кнопку Восстановить по умолчанию в панели инструментов профиля: Приоритет значений параметров сигнатуры СОВВ настоящий момент значения параметров сигнатуры СОВ (такие как состояние, действие, журналирование, запись в файл PCAP итд.) могут быть определены в трёх местах:
Приоритет назначений параметров сигнатуры СОВ определяется согласно следующей диаграмме:
Применение профилей СОВАдминистратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора. Профиль СОВ применяется в разрешающем правиле межсетевого экрана. Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. После попадания под правило с профилем СОВ, трафик начинает анализироваться с помощью определенного в профиле набора сигнатур. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур профиля не была найдена, то трафик пропускается дальше. Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 847
Последнее обновление: 17 дек, 2024
Ревизия: 44
Просмотры: 5998
Комментарии: 0
Теги
|