Check Point IPS er Et Innbruddsforebyggende System (Ips). Mens Security Gateway-brannmuren lar deg blokkere trafikk basert på kilde -, destinasjon-og portinformasjon, legger IPS til en annen forsvarslinje ved å analysere trafikkinnhold for å sjekke om det er en risiko for nettverket ditt. IPS beskytter både klienter og servere, og lar deg kontrollere nettverksbruk av visse programmer. Den nye hybrid ips-deteksjonsmotoren gir flere forsvarslag som gjør det mulig å oppdage og forebygge kjente trusler, og i mange tilfeller fremtidige angrep også. Det gir også uovertruffen distribusjon og konfigurasjonsfleksibilitet og utmerket ytelse.
Check Point IPS er tilgjengelig i to distribusjonsmetoder:
- IPS Software Blade – integrert Med Check Point Security Gateway for å gi et annet sikkerhetslag i tillegg Til Check Point firewall-teknologien.
- IPS-1 Sensor-installert uten Check Point Brannmur og dedikert til å beskytte nettverkssegmenter mot inntrenging.
Beskyttelseslag
lagene i IPS-motoren inkluderer:
- Deteksjon og forebygging av spesifikke kjente utnyttelser.Deteksjon og forebygging av sårbarheter, inkludert både kjente og ukjente utnyttelsesverktøy, for eksempel beskyttelse mot spesifikke Cver.
- Oppdagelse og forebygging av protokollmisbruk som i mange tilfeller indikerer ondsinnet aktivitet eller potensiell trussel. Eksempler på vanlige manipulerte protokoller er HTTP, SMTP, POP og IMAP.
- Påvisning og forebygging av utgående malware kommunikasjon.
- Oppdagelse og forebygging av tunnelforsøk. Disse forsøkene kan indikere datalekkasje eller forsøk på å omgå andre sikkerhetstiltak som nettfiltrering.
- Oppdagelse, forebygging eller begrensning av visse applikasjoner som i mange tilfeller forbruker båndbredde eller kan forårsake sikkerhetstrusler mot nettverket, for Eksempel Peer to Peer og Direktemeldingsprogrammer.Deteksjon Og forebygging av generiske angrepstyper uten forhåndsdefinerte signaturer, for Eksempel Skadelig Kodebeskytter.
i alt har IPS dyp dekning av dusinvis av protokoller med tusenvis av beskyttelse. Check Point oppdaterer hele tiden biblioteket med beskyttelse for å holde seg foran truslene.
Evner AV IPS
de unike egenskapene Til Check Point ips-motoren inkluderer:
- Klart, enkelt administrasjonsgrensesnitt
- Redusert administrasjonsoverhead ved å bruke en administrasjonskonsoll for Alle Check Point-produkter
- Enhetlig kontroll av både IPS – 1-Sensorene og det integrerte Ips-Programvarebladet
- Enkel navigering fra oversikt på bedriftsnivå til en pakkeopptak for et enkelt angrep
- opptil 15 Gbps gjennomstrømning med optimalisert sikkerhet og opptil 2.5 Gbps gjennomstrømning med alle IPS-beskyttelser aktivert
- #1 sikkerhetsdekning For microsoft-og Adobe-sårbarheter
- ressursregulering slik at høy IPS-aktivitet ikke påvirker annen bladfunksjonalitet
- Komplett integrasjon med Kontrollpunktkonfigurasjons-og overvåkingsverktøy, For eksempel SmartEvent, SmartView Tracker og SmartDashboard, slik at du umiddelbart kan handle basert på IPS-informasjon
som et eksempel kan noe skadelig programvare lastes ned av en bruker uvitende når du surfer på et legitimt nettsted, også kjent som en drive-by-NEDLASTING. Malware kan utnytte en nettleser sårbarhet ved å opprette en SPESIELL HTTP respons og sende den til klienten. IP-ADRESSER kan identifisere og blokkere denne typen angrep, selv om brannmuren kan konfigureres slik AT HTTP-trafikken kan passere.
Tour OF IPS
IPS-treet gir enkel tilgang til IPS-funksjoner, spesifikke beskyttelser og ekspertkonfigurasjoner. Treet er delt inn i følgende seksjoner:
Overview |
Dashboard for viewing IPS status, activity and updates |
Enforcing Gateways |
List of gateways enforcing IPS protections |
Profiles |
Settings for IPS profiles |
Protections |
Settings for individual protections |
Geo Protection |
Protection enforcement by source or destination country |
Network Exceptions |
Resources that are not subject to IPS inspection |
Download Updates |
Manual or Automatic updates to IPS protections |
Follow Up |
Protections marked for follow up handling |
Flere Innstillinger |
HTTP Og HTTPS Inspeksjon |
IPS Terminologi
følgende begreper brukes i denne håndboken:
håndheving av gatewayer
- Ips software blade: programvarebladet som kan installeres på en sikkerhetsgateway for håndheving av ips software blade-beskyttelse.
- IPS-1-Sensor: en enhet som bare har ips-1-sensorprogramvaren installert for å håndheve ips-1-sensorbeskyttelse. En sensor har ingen ruting evner.
Beskyttelse
- Beskyttelse: et konfigurerbart sett med regler SOM IPS bruker til å analysere nettverkstrafikk og beskytte mot trusler
Aktiveringsinnstillinger
- Aktiv: beskyttelseshandlingen som aktiverer en beskyttelse for Å Oppdage eller Forhindre trafikk
- Oppdag: beskyttelseshandlingen som lar identifisert trafikk passere gjennom gatewayen, men logger trafikken eller sporer den i henhold til brukerkonfigurerte innstillinger
- Inaktiv: Beskyttelseshandlingen som deaktiverer en beskyttelse
- Forhindre: beskyttelseshandlingen som blokkerer identifisert trafikk og logger trafikken eller sporer den i henhold til brukerkonfigurerte innstillinger
Beskyttelsestyper
- Programkontroller: gruppen av beskyttelser som forhindrer bruk av bestemte sluttbrukerprogrammer
- Motorinnstillinger: gruppen av beskyttelser som inneholder innstillinger som endrer oppførselen til andre beskyttelser
- Protokollavvik: Gruppen av beskyttelser som identifiserer trafikk som ikke overholder protokollstandardene
- Signaturer: gruppen av beskyttelser som identifiserer trafikk som forsøker å utnytte et bestemt sikkerhetsproblem
Beskyttelsesparametere
- Konfidensnivå: hvor sikre IPS er at gjenkjente angrep faktisk er uønsket trafikk
- Ytelsespåvirkning: hvor mye en beskyttelse påvirker gatewayens ytelse
- Beskyttelsestype: om en beskyttelse gjelder serverrelatert trafikk eller klientrelatert trafikk
- alvorlighetsgrad: sannsynligheten for at et angrep kan forårsake skade på miljøet; for eksempel, et angrep som kan tillate angriperen å kjøre kode på verten er Ansett Som Kritisk
Funksjoner For Overvåking
- Oppfølging: en metode for å identifisere beskyttelse som krever ytterligere konfigurasjon eller oppmerksomhet
- Nettverksunntak: en regel som kan brukes til å utelukke trafikk fra IPS inspeksjon basert på beskyttelse, kilde, destinasjon, service og gateway.
Profiler
- IPS-Modus: STANDARDHANDLINGEN, Enten Oppdage eller Forhindre, som en aktivert beskyttelse tar når den identifiserer en trussel
- IPS-Policy: et sett med regler som bestemmer hvilke beskyttelser som er aktivert for en profil
- Profil: et sett med beskyttelseskonfigurasjoner, basert på IPS-Modus og Ips-Policy, som kan brukes til å håndheve gateways
- Feilsøking: alternativer som kan brukes til midlertidig å endre oppførselen til IPS-beskyttelse, For eksempel Detect-Only For Feilsøking
SmartDashboard Toolbar
du kan bruke smartdashboard-verktøylinjen til å utføre disse handlingene:
Ikon |
Beskrivelse |
åpne smartdashboard-menyen. Når du blir bedt om å velge menyalternativer, klikker du på denne knappen for å vise menyen. hvis du for eksempel blir bedt om å velge Administrer > Brukere Og Administratorer, klikker du på denne knappen for å åpne Administrer-menyen og deretter Velge Brukere og Administratorer. |
---|---|
Save current policy and all system objects. |
|
Open a policy package, which is a collection of Policies saved together with the same name. |
|
Refresh policy from the Security Management Server. |
|
Open the Database Revision Control window. |
|
Change global properties. |
|
Verify Rule Base consistency. |
|
Install the policy on Security Gateways or VSX Gateways. |
|
Open SmartConsoles. |
IPS Overview
The IPS Overview page provides quick access to the latest and most important information.
In My Organization
IPS in My Organization summarizes gateway and profile information.
tabellen over de konfigurerte profilene viser følgende informasjon:
- Profil — navnet på profilen
- IPS-Modus-om profilen er satt til bare Å Oppdage angrep eller for å forhindre dem også
- Aktivering-metoden for å aktivere beskyttelse; ENTEN IPS-Policy Eller Manuell
- Gateways-antall gatewayer som håndhever profilen
Dobbeltklikk på en profil åpner Profilens Egenskaper-vindu.
Meldinger og Gjøremål
Meldinger og Gjøremål gir rask tilgang til:
- beskyttelse oppdateringsinformasjon
- Beskyttelse merket For Oppfølging
- IPS kontrakt status
- Koblinger til hendelser og rapporter
Sikkerhetsstatus
Sikkerhetsstatus gir en up-to-the-minute visning av antall Oppdage og Forhindre hendelser SOM IP-adresser håndtert over en valgt tidsperiode, avgrenset av alvorlighetsgrad. Du kan gjenoppbygge diagrammet med den nyeste statistikken ved å klikke På Oppdater.
Notat – sikkerhetsstatus grafer kompilere data fra gatewayer av versjon r70 og ovenfor. |
Gjennomsnittet viser antall behandlede angrep som er gjennomsnitt for den valgte tidsperioden i bedriften din.
hvis du for eksempel velger å se status for angrep de siste 24 timene og gjennomsnittet av kritiske angrep er 45. Dette indikerer at i organisasjonen er gjennomsnittlig antall angrep i løpet av en 24-timers periode 45.
- hvis gjeldende antall angrep er mye høyere enn gjennomsnittet, kan det tyde på et sikkerhetsproblem som du bør håndtere umiddelbart. For eksempel, hvis mer enn 500 kritiske angrep ble håndtert AV IPS de siste 24 timene, og gjennomsnittet er 45, kan du raskt se at organisasjonen din har blitt målrettet med kritiske angrep på en vedvarende måte, og du bør håndtere dette raskt.
- hvis gjeldende antall angrep er mye lavere enn gjennomsnittet, kan det tyde på et problem med IPS-bruk som du bør feilsøke. For eksempel, hvis mindre enn 10 kritiske angrep ble håndtert av IPS i de siste 24 timene, med gjennomsnittet av 45, kan du se at det er et mulig problem med IPS-konfigurasjon; kanskje en gateway ble installert med en policy som ikke inkluderte EN ips-profil.
Sikkerhetssenter
Sikkerhetssenter er en rulleliste over tilgjengelige beskyttelser mot nye sårbarheter. Den Åpne koblingen ved Siden Av Et Sikkerhetssenterelement tar deg til den tilknyttede Sjekkpunktveiledningen.