Check Point IPSソリューション

admin

Check Point IPSは侵入防止システム(IPS)です。 セキュリティゲートウェイファイアウォールを使用すると、送信元、宛先、およびポート情報に基づいてトラフィックをブロックできますが、IPSはトラフィッ IPSはクライアントとサーバーの両方を保護し、特定のアプリケーションのネットワーク使用を制御できます。 新しいハイブリッドIPS検出エンジンは、複数の防御層を提供し、既知の脅威、および多くの場合、将来の攻撃の優れた検出および防止機能を可能にします。 それはまた並ぶものがない配置および構成柔軟性および優秀な性能を可能にする。

チェックポイントIPSは、二つの展開方法で利用可能です:

  • IPSソフトウェアブレード-チェックポイントファイアウォール技術に加えて、セキュリテ
  • IPS-1センサー-チェックポイントファイアウォールなしでインストールされ、侵入からネットワークセグメントを保護する

保護の層

IPSエンジンの層には、次のものが含まれます。

  • 特定の既知の悪用の検出と防止。
  • 特定のCveからの保護など、既知および未知のエクスプロイトツールの両方を含む脆弱性の検出および防止。
  • 多くの場合、悪意のある活動や潜在的な脅威を示すプロトコルの誤用の検出と防止。 一般的に操作されるプロトコルの例としては、HTTP、SMTP、POP、およびIMAPがあります。
  • 送信マルウェア通信の検出と防止。
  • トンネリング試行の検出と防止。 これらの試みは、データの漏洩や、webフィルタリングなどの他のセキュリティ対策を回避しようとする試みを示している可能性があります。
  • 多くの場合、帯域幅を消費しているか、ピアツーピアやインスタントメッセージングアプリケーションなどのネットワークにセキュリティの脅威を引き
  • Malicious Code Protectorなどの事前定義されたシグネチャを持たない一般的な攻撃タイプの検出と防止。

すべてで、IPSは何千もの保護を持つ数十のプロトコルの深いカバレッジを持っています。 チェックポイントは、常に先に脅威の滞在するために保護のライブラリを更新します。

IPSの機能

Check Point IPSエンジンのユニークな機能には、次のものがあります:

  • 明確でシンプルな管理インターフェイス
  • すべてのチェックポイント製品のための一つの管理コンソールを使用して管理オーバーヘッドを削減
  • IPS-1センサーと統合されたIPSソフトウェアブレードの両方の統一された制御
  • ビジネスレベルの概要から単一の攻撃のためのパケットキャプチャへの簡単なナビゲーション
  • 最適化されたセキュリティと最大15Gbpsのスループット、および最大2。すべてのIPS保護を有効にした5Gbpsのスループット
  • #1セキュリティカバレッジFor Microsoft and Adobe vulnerabilities
  • リソース調整により、高いIPSアクティビティが他のブレード機能に影響を与えないように
  • SmartEvent、SmartView Tracker、SmartDashboardなどのチェックポイント設定および監視ツールとの完全な統合により、IPS情報に基づいて即座に行動できるように

一例として、一部のマルウェアは、正当なwebサイトを閲覧するときに無意識のうちにユーザーによってダウンロードされる可能性があります。ドライブバイダウンロード。 このマルウェアは、特別なHTTP応答を作成してクライアントに送信することにより、ブラウザの脆弱性を悪用する可能性があります。 IPは、HTTPトラフィックの通過を許可するようにファイアウォールが構成されていても、このタイプの攻撃を識別してブロックできます。

IPSのツアー

IPSツリー inは、IPSの機能、特定の保護、および専門家の構成に簡単にアクセスできます。 ツリーは次のセクションに分かれています:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up アクション

追加設定

HTTPおよびHTTPS検査

IPS用語

以下の用語このガイド全体で使用されています。

enforcing gateways

  • ips software blade:ips software blade保護を強制するためのセキュリティゲートウェイにインストールできるソフトウェ
  • IPS-1センサー:IPS-1センサー保護を強制するためのIPS-1センサーソフトウェアのみがインストールされているデバイス。 センサーにはルーティング機能はありません。

Protections

  • Protection:IPがネットワークトラフィックを分析し、脅威から保護するために使用する設定可能なルールセット

Activation Settings

  • Active:トラフィックを検出または防止するために保護をアクティブにする保護アクション
  • Detect:識別されたトラフィックがゲートウェイを通過することができますが、ユーザーが構成した設定に従ってトラフィックをログに記録するか、または追跡する保護アクション
  • Inactive: 保護を無効にする保護アクション
  • Prevent:識別されたトラフィックをブロックし、トラフィックを記録するか、ユーザーが構成した設定に従ってトラフィッ: プロトコル標準に準拠していないトラフィックを識別する保護のグループ
  • 署名:特定の脆弱性を悪用しようとするトラフィックを識別する保護のグループ

保護パラメータ

  • 信頼レベル:認識された攻撃が実際には望ましくないトラフィックであることをIPSがどの程度確信しているか
  • パフォーマンスへの影響:保護がゲートウェイのパフォーマンスにどのくらい影響するか
  • 保護タイプ:保護がサーバー関連のトラフィックまたはクライアント関連のトラフィックに適用されるか
  • 重大度: たとえば、攻撃者がホスト上でコードを実行できるようにする攻撃は重要と見なされます

監視するための機能

  • フォローアップ:さらなる設定や注意が必要な保護を識別する方法
  • ネットワーク例外:保護、送信元、宛先、サービス、およびゲートウェイに基づいてIPS検査からトラフィックを除外するために使用できるルール。

プロファイル

  • IPSモード: アクティブ化された保護が脅威を識別したときに実行するデフォルトのアクション
  • IPSポリシー:プロファイルに対してアクティブ化される保護を決定するルールのセット
  • プロファイル:ゲートウェイの強制に適用できるIPSモードとIPSポリシーに基づく保護設定のセット
  • トラブルシューティング:IPS保護の動作を一時的に変更するために使用できるオプション

SmartDashboard Toolbar

smartdashboardツールバーを使用して、次の操作を実行できます:Tr>

アイコン

説明

smartdashboardメニューを開きます。 メニューオプションを選択するように指示されたら、このボタンをクリックしてメニューを表示します。 たとえば、管理を選択するように指示された場合>ユーザーと管理者は、このボタンをクリックして管理メニューを開き、ユーザーと管理者オプシ

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

設定されたプロファイルのテーブルには、次の情報が表示されます。

  • Profile—プロファイルの名前
  • IPSモード—プロファイルが攻撃を検出するだけに設定されているか、または攻撃を防止するために設定されているかどうか
  • Activation—保護をアクティブ化する方法。IPSポリシーまたは手動
  • Gateways—プロファイルを強制するゲートウェイの数

プロファイルをダブルクリックすると、プロファイルのプロパティウィンドウが開きます。

メッセージとアクション項目

メッセージとアクション項目にすばやくアクセスできます:

  • 保護更新情報
  • フォローアップ用にマークされた保護
  • IPS契約ステータス
  • イベントとレポートへのリンク

セキュリティステータス

セキ 更新をクリックすると、最新の統計でグラフを再構築できます。P>

注-セキュリティステータスグラフは、バージョンR70以上のゲートウェ

平均は、あなたの会社で選択した期間の平均である処理された攻撃の数を示しています。たとえば、過去24時間の攻撃のステータスを表示することを選択し、重要な攻撃の平均が45である場合。

たとえば、過去24時間の攻撃のステータスを表示することを選択した場合。

たとえば、過去24時間の攻撃の これは、組織内で24時間の平均攻撃数が45であることを示しています。

  • 攻撃の現在の数が平均よりもはるかに高い場合、それはあなたがすぐに処理する必要があり、セキュリティ上の問題を示している可能性があ たとえば、過去24時間に500を超える重要な攻撃がIPによって処理され、平均が45である場合、組織が永続的な方法で重要な攻撃を標的にしていること
  • 現在の攻撃数が平均よりもはるかに少ない場合は、トラブルシューティングする必要があるIPSの使用に関する問題を示している可能性があります。 たとえば、過去24時間にIPSによって処理された重要な攻撃が10未満で、平均が45である場合、IPS設定に問題がある可能性があります。

セキュリティセンター

セキュリティセンターは、新しい脆弱性に対する利用可能な保護のスクロールリストです。 Security Center項目の横にある[開く]リンクをクリックすると、関連するCheck Point Advisoryが表示されます。

コメントを残す

メールアドレスが公開されることはありません。