Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность в сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов.

Выявление проблем безопасности происходит с помощью использования эвристических правил и анализа сигнатур известных атак. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, блокирование адреса источника, оповещение администратора сети и запись в журнал.

Сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. Пользователь также имеет возможность создавать собственные кастомизированные сигнатуры. Описание характерных признаков сетевых уязвимостей в таких сигнатурах выполняется с помощью языка UASL (UserGate Application and Security Language). Для каждой сигнатуры можно отдельно настроить свое действие, журналирование, запись в файл pcap, включение/отключение сигнатуры. Подробнее о сигнатурах СОВ читайте в разделе Сигнатуры СОВ.

С помощью гибко настраиваемых фильтров наборы сигнатур добавляются в профили СОВ. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Подробнее о профилях СОВ читайте в разделе Профили СОВ.

Для активации системы обнаружения и предотвращения вторжений профиль СОВ добавляется в разрешающее правило межсетевого экрана. Таким образом, системой будут обрабатываются только те сигнатуры, которые попали в добавленные профили.

Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. Если в правиле определен профиль СОВ, трафик начинает анализироваться c помощью набора сигнатур профиля. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур не была найдена, то трафик пропускается дальше.

Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).