NGFW позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). NGFW реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности, позволяя администратору настроить реакцию NGFW на определенные события, произошедшие за некое продолжительное время. Примером работы сценариев могут являться решение следующих задач:
Заблокировать или ограничить пропускную способность на 30 минут пользователя, у которого за последние 10 минут было обнаружено 5 попыток использования приложения torrent.
Заблокировать или ограничить пропускную способность пользователя или группы пользователей, указанной в правиле, при срабатывании одного из следующих триггеров — открытие пользователем сайтов, относящихся к группе категорий Threats, срабатывание СОВ сигнатур высокого риска для трафика данного пользователя, блокировка вируса в трафике данного пользователя.
Заблокировать или ограничить пропускную способность пользователя, если он выбрал лимит трафика в 10 Гб за месяц.
ПримечаниеСценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Для начала работы со сценариями необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Создать необходимые сценарии.
В разделе Политики безопасности ➜ Сценарии создать необходимые сценарии.
Шаг 2. Указать созданные сценарии в правилах межсетевого экрана или в правилах пропускной способности.
Добавить созданный сценарий в правила межсетевого экрана или в правила пропускной способности. Более подробно о работе с правилами межсетевого экрана или пропускной способности смотрите раздел Политики сети.
При создании сценария необходимо указать следующие параметры:
Наименование
Описание
Включено
Включает или отключает сценарий.
Название
Название сценария.
Описание
Описание сценария.
Применить для
Возможны варианты:
Одного пользователя — при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий.
Всех пользователей — при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в поле Пользователи/Группы правила.
Продолжительность
Время в минутах, в течении которого сценарий будет активным после его активации. Столько же будет работать правило межсетевого экрана или пропускной способности, в котором используется данный сценарий.
Условия
Задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать, сработают ли сценарий при совпадении одного или всех условий.
Условия срабатывания
Возможны следующие условия для использования в сценарии:
Приложение — обнаружено указанное приложение в трафике пользователя.
СОВ — сработка системы обнаружения вторжений.
Типы контента — обнаружены указанные типы контента в трафике пользователя.
Размер пакета — размер пакета в трафике пользователя превысил указанное значение.
Сессий с одного IP — количество сессий с одного IP-адреса превысило указанное значение.
Объем трафика — объем трафика пользователя превысил определенный лимит за указанную единицу времени.
Проверка состояния — проверка состояния какого-либо ресурса, который должен быть доступен с NGFW. Проверка может осуществляться с помощью команды icmp ping, запроса DNS или выполнения HTTP GET.