Check Point IPS er et Intrusion Prevention System (IPS). Mens sikkerhedsporten giver dig mulighed for at blokere trafik baseret på Kilde -, destinations-og portoplysninger, tilføjer IPS en anden forsvarslinje ved at analysere trafikindhold for at kontrollere, om det er en risiko for dit netværk. IPS beskytter både klienter og servere og giver dig mulighed for at kontrollere netværksbrug af visse applikationer. Den nye, hybrid IPS afsløring motor giver flere forsvar lag, som giver det fremragende afsløring og forebyggelse kapaciteter af kendte trusler, og i mange tilfælde fremtidige angreb samt. Det giver også uovertruffen implementering og konfiguration fleksibilitet og fremragende ydeevne.kontrolpunkt IPS Fås i to implementeringsmetoder: IPS-klinge-integreret med kontrolpunktets Sikkerhedsportal for at give et andet lag af sikkerhed ud over kontrolpunktets brandvægsteknologi.
beskyttelseslag
lagene i IPS-motoren inkluderer:
- påvisning og forebyggelse af specifikke kendte udnyttelser.
- påvisning og forebyggelse af sårbarheder, herunder både kendte og ukendte udnyttelsesværktøjer, for eksempel beskyttelse mod specifikke CVE ‘ er.
- påvisning og forebyggelse af misbrug af protokoller, som i mange tilfælde indikerer ondsindet aktivitet eller potentiel trussel. Eksempler på almindeligt manipulerede protokoller er HTTP, SMTP, POP og IMAP.
- påvisning og forebyggelse af udgående kommunikation.
- påvisning og forebyggelse af tunnelforsøg. Disse forsøg kan indikere datalækage eller forsøg på at omgå andre sikkerhedsforanstaltninger som f.eks.
- detektion, forebyggelse eller begrænsning af visse applikationer, som i mange tilfælde er båndbreddeforbrugende eller kan forårsage sikkerhedstrusler mod netværket, såsom Peer to Peer og Instant Messaging-applikationer.
- påvisning og forebyggelse af generiske angrebstyper uden foruddefinerede signaturer, såsom ondsindet Kodebeskytter.
i alt har IPS dyb dækning af snesevis af protokoller med tusindvis af beskyttelser. Check Point opdaterer konstant biblioteket med beskyttelse for at holde sig foran truslerne.
funktioner i IPS
de unikke funktioner i Check Point IPS-motoren inkluderer:
- klar, enkel administrationsgrænseflade
- reduceret administrationsomkostninger ved hjælp af en administrationskonsol til alle Kontrolpunktsprodukter
- samlet kontrol af både IPS-1-sensorer og det integrerede IPS-klinge
- nem navigation fra Oversigt på virksomhedsniveau til en pakkeoptagelse til et enkelt angreb
- op til 15 Gbps gennemløb med optimeret sikkerhed og op til 2.5 Gbps gennemløb med alle IPS-beskyttelser aktiveret
- #1 sikkerhedsdækning for Microsoft-og Adobe-sårbarheder
- resource throttling, så høj IPS-aktivitet ikke påvirker anden bladfunktionalitet
- komplet integration med kontrolpunktkonfigurations-og overvågningsværktøjer, f.eks. SmartEvent, Smartvisning Tracker og SmartDashboard, så du kan tage øjeblikkelig handling baseret på IPS-oplysninger
som et eksempel kan nogle ondsindede programmer hentes af en bruger ubevidst, når du gennemser til et legitimt hjemmeside, også kendt som en drive-by-Hent. Det kan være, at du har brug for hjælp til at oprette et særligt HTTP-svar og sende det til klienten. IP ‘ er kan identificere og blokere denne type angreb, selvom brandmuren muligvis er konfigureret til at tillade HTTP-trafikken at passere.
rundvisning i IPS
IPS-træet i giver nem adgang til IPS-funktioner, specifik beskyttelse og ekspertkonfigurationer. Træet er opdelt i følgende afsnit:
Overview |
Dashboard for viewing IPS status, activity and updates |
Enforcing Gateways |
List of gateways enforcing IPS protections |
Profiles |
Settings for IPS profiles |
Protections |
Settings for individual protections |
Geo Protection |
Protection enforcement by source or destination country |
Network Exceptions |
Resources that are not subject to IPS inspection |
Download Updates |
Manual or Automatic updates to IPS protections |
Follow Up |
Protections marked for follow up handling |
yderligere indstillinger |
Http og HTTPS inspektion |
IPS-terminologi
følgende udtryk anvendes i hele denne vejledning:
håndhævelse af portaler
- IPS-klinge: det programblad, der kan installeres på en sikkerhedsportal til håndhævelse af IPS-beskyttelse af klinge.
- IPS-1-Sensor: en enhed, der kun har IPS-1-sensorprogrammet installeret til håndhævelse af IPS-1-sensorbeskyttelse. En sensor har ingen routingfunktioner.
beskyttelse
- beskyttelse: et konfigurerbart sæt regler, som IPS bruger til at analysere netværkstrafik og beskytte mod trusler
Aktiveringsindstillinger
- Aktiv: beskyttelseshandlingen, der aktiverer en beskyttelse til enten at registrere eller forhindre trafik
- Detect: beskyttelseshandlingen, der gør det muligt for identificeret trafik at passere gennem Porten, men logger trafikken eller sporer den i henhold til brugerkonfigurerede indstillinger
- inaktiv: beskyttelseshandlingen, der deaktiverer en beskyttelse
- forhindre: beskyttelseshandlingen, der blokerer identificeret trafik og logger trafikken eller sporer den i henhold til brugerkonfigurerede indstillinger
typer af beskyttelse
- applikationskontrol: gruppen af beskyttelser, der forhindrer brugen af specifikke slutbrugerapplikationer
- motorindstillinger: gruppen af beskyttelser, der indeholder indstillinger, der ændrer opførslen af andre beskyttelser
- Protokolanomalier: gruppen af beskyttelser, der identificerer trafik, der ikke overholder protokolstandarder
- signaturer: gruppen af beskyttelser, der identificerer trafik, der forsøger at udnytte en bestemt sårbarhed
Beskyttelsesparametre
- konfidensniveau: hvor sikker IP ‘ er er, at anerkendte angreb faktisk er uønsket trafik
- Performance Impact: hvor meget en beskyttelse påvirker portens ydeevne
- Beskyttelsestype: om en beskyttelse gælder for serverrelateret trafik eller klientrelateret trafik
- sværhedsgrad: sandsynligheden for, at et angreb kan forårsage skade på dit miljø; for eksempel et angreb, der kan give angriberen mulighed for at udføre kode på værten, betragtes som kritisk
funktioner til overvågning
- opfølgning: en metode til identifikation af beskyttelse, der kræver yderligere konfiguration eller opmærksomhed
- netværk undtagelse: en regel, der kan bruges til at udelukke trafik fra IPS-inspektion baseret på beskyttelse, kilde, destination, service og Port.
profiler
- IPS-tilstand: standardhandlingen, enten Detect eller Prevent, som en aktiveret beskyttelse tager, når den identificerer en trussel
- IPS-Politik: et sæt regler, der bestemmer, hvilke beskyttelser der er aktiveret for en profil
- profil: et sæt beskyttelseskonfigurationer baseret på IPS-tilstand og IPS-politik, der kan anvendes til håndhævelse af portaler
- fejlfinding: indstillinger, der kan bruges til midlertidigt at ændre adfærden for IPS-beskyttelse, f. eks. Detect-Only til fejlfinding
smartdashboard Toolbar
Du kan bruge smartdashboard Toolbar til at udføre disse handlinger:
ikon |
Description |
---|---|
åbn smartdashboard-menuen. Når du bliver bedt om at vælge menupunkter, skal du klikke på denne knap for at vise menuen. hvis du f.eks. bliver bedt om at vælge Administrer > brugere og administratorer, skal du klikke på denne knap for at åbne menuen Administrer og derefter vælge indstillingen brugere og administratorer. |
|
Save current policy and all system objects. |
|
Open a policy package, which is a collection of Policies saved together with the same name. |
|
Refresh policy from the Security Management Server. |
|
Open the Database Revision Control window. |
|
Change global properties. |
|
Verify Rule Base consistency. |
|
Install the policy on Security Gateways or VSX Gateways. |
|
Open SmartConsoles. |
IPS Overview
The IPS Overview page provides quick access to the latest and most important information.
In My Organization
IPS in My Organization summarizes gateway and profile information.
tabellen over de konfigurerede profiler viser følgende oplysninger:
- profil — navnet på profilen
- IPS — tilstand — om profilen er indstillet til bare at registrere angreb eller for at forhindre dem også
- aktivering — metoden til aktivering af beskyttelse; enten IPS-politik eller manuel
- Porte-antallet af porte, der håndhæver profilen
Dobbeltklik på en profil åbner profilens egenskaber vindue.
beskeder og handlingspunkter
beskeder og handlingspunkter giver hurtig adgang til:
- beskyttelse opdateringsoplysninger
- beskyttelse markeret til opfølgning
- IPS kontraktstatus
- Links til begivenheder og rapporter
sikkerhedsstatus
sikkerhedsstatus giver en up-to-the-minute visning af antallet af Opdage og forhindre hændelser, som IPS håndterede over en valgt tidsperiode, afgrænset af sværhedsgrad. Du kan genopbygge diagrammet med de nyeste statistikker ved at klikke på Opdater.
Note – Sikkerhed Status grafer kompilere data fra portaler af version R70 og derover. |
gennemsnittet viser antallet af håndterede angreb, der er gennemsnitligt for den valgte tidsperiode i din virksomhed.
for eksempel, hvis du vælger at se status for angreb i de sidste 24 timer, og gennemsnittet af kritiske angreb er 45. Dette indikerer, at i din organisation er det gennemsnitlige antal angreb i en 24-timers periode 45.
- hvis det aktuelle antal angreb er meget højere end gennemsnittet, kan det indikere et sikkerhedsproblem, som du skal håndtere med det samme. For eksempel, hvis mere end 500 kritiske angreb blev håndteret af IP ‘ er i de sidste 24 timer, og gennemsnittet er 45, kan du hurtigt se, at din organisation er blevet målrettet med kritiske angreb på en vedvarende måde, og du bør håndtere dette hurtigst muligt.
- hvis det aktuelle antal angreb er meget lavere end gennemsnittet, kan det indikere et problem med IPS-brug, som du skal foretage fejlfinding af. For eksempel, hvis mindre end 10 kritiske angreb blev håndteret af IPS i de sidste 24 timer, med gennemsnittet på 45, kan du se, at der er et muligt problem med IPS-konfiguration; måske blev der installeret en port med en politik, der ikke indeholdt en IPS-profil.
Sikkerhedscenter
Sikkerhedscenter er en rulleliste over tilgængelige beskyttelser mod nye sårbarheder. Det åbne link ved siden af et sikkerhedscenter-element fører dig til den tilknyttede Kontrolpunktsrådgivning.