Check Point IPS är ett Intrångsskyddssystem (IPS). Säkerhetsgateway-brandväggen låter dig blockera trafik baserat på källa, destination och portinformation, IPS lägger till en annan försvarslinje genom att analysera trafikinnehållet för att kontrollera om det är en risk för ditt nätverk. IPS skyddar både klienter och servrar och låter dig styra nätverksanvändningen för vissa applikationer. Den nya hybrid IPS-detekteringsmotorn ger flera försvarslager som gör det möjligt att upptäcka och förebygga kända hot, och i många fall även framtida attacker. Det möjliggör också oöverträffad distribution och konfigurationsflexibilitet och utmärkt prestanda.
Check Point IPS finns i två distributionsmetoder:
- IPS Software Blade-integrerad med Check Point Security Gateway för att ge ytterligare ett lager av säkerhet utöver Check Point firewall-tekniken.
- IPS-1 – Sensor-installerad utan Check Point-brandväggen och dedikerad till att skydda nätverkssegment mot intrång.
lager av skydd
lagren i IPS-motorn inkluderar:
- detektion och förebyggande av specifika kända exploater.
- upptäckt och förebyggande av sårbarheter, inklusive både kända och okända exploateringsverktyg, till exempel skydd mot specifika CVE.
- upptäckt och förebyggande av protokollmissbruk som i många fall indikerar skadlig aktivitet eller potentiellt hot. Exempel på vanligt manipulerade protokoll är HTTP, SMTP, POP och IMAP.
- upptäckt och förebyggande av utgående malware kommunikation.
- upptäckt och förebyggande av tunnelförsök. Dessa försök kan indikera dataläckage eller försök att kringgå andra säkerhetsåtgärder som webbfiltrering.
- upptäckt, förebyggande eller begränsning av vissa applikationer som i många fall är bandbreddskrävande eller kan orsaka säkerhetshot mot nätverket, till exempel Peer to Peer och snabbmeddelandeprogram.
- upptäckt och förebyggande av generiska attacktyper utan fördefinierade signaturer, såsom skadlig kod Protector.
Sammantaget har IPS djup täckning av dussintals protokoll med tusentals skydd. Check Point uppdaterar ständigt biblioteket med skydd för att hålla sig före hoten.
funktioner i IPS
de unika funktionerna i Check Point IPS-motorn inkluderar:
- tydligt, enkelt hanteringsgränssnitt
- minskad hanteringskostnad genom att använda en hanteringskonsol för alla Check Point-produkter
- enhetlig kontroll av både IPS-1-sensorerna och det integrerade IPS-Programvarubladet
- enkel navigering från företagsöversikt till en paketupptagning för en enda attack
- upp till 15 Gbps genomströmning med optimerad säkerhet och upp till 2.5 Gbps genomströmning med alla IPS-skydd aktiverade
- #1 säkerhetstäckning för Microsoft och Adobe sårbarheter
- resurs strypning så att hög IPS-aktivitet inte kommer att påverka andra blad funktionalitet
- fullständig integration med Check Point konfiguration och övervakningsverktyg, såsom SmartEvent, SmartView Tracker och SmartDashboard, så att du kan vidta omedelbara åtgärder baserat på IPS-information
som ett exempel kan vissa skadliga program laddas ner av en användare omedvetet när du surfar till en legitim webbplats, även känd som en drive-by-download. Malware kan utnyttja en webbläsares sårbarhet genom att skapa ett speciellt HTTP-svar och skicka det till klienten. IP-adresser kan identifiera och blockera denna typ av attack även om brandväggen kan konfigureras så att HTTP-trafiken kan passera.
rundtur i IPS
IPS-trädet i ger enkel åtkomst till IPS-funktioner, specifika skydd och expertkonfigurationer. Trädet är indelat i följande avsnitt:
|
Overview |
Dashboard for viewing IPS status, activity and updates |
|
Enforcing Gateways |
List of gateways enforcing IPS protections |
|
Profiles |
Settings for IPS profiles |
|
Protections |
Settings for individual protections |
|
Geo Protection |
Protection enforcement by source or destination country |
|
Network Exceptions |
Resources that are not subject to IPS inspection |
|
Download Updates |
Manual or Automatic updates to IPS protections |
|
Follow Up |
Protections marked for follow up åtgärd |
|
ytterligare inställningar |
Http-och HTTPS-inspektion |
IPS-terminologi
följande termer används i den här guiden:
enforcing Gateways
- IPS Software Blade: programvarubladet som kan installeras på en säkerhetsgateway för att upprätthålla IPS software Blade-skydd.
- IPS-1-Sensor: en enhet som bara har IPS-1-sensorprogramvaran installerad för att upprätthålla IPS-1-sensorskydd. En sensor har inga routingfunktioner.
skydd
- skydd: en konfigurerbar uppsättning regler som IPS använder för att analysera nätverkstrafik och skydda mot hot
Aktiveringsinställningar
- aktiv: skyddsåtgärden som aktiverar ett skydd för att antingen upptäcka eller förhindra trafik
- upptäcka: skyddsåtgärden som tillåter identifierad trafik att passera genom gatewayen men loggar trafiken eller spårar den enligt användarkonfigurerade inställningar
- inaktiv: skyddsåtgärden som inaktiverar ett skydd
- förhindra: skyddsåtgärden som blockerar identifierad trafik och loggar trafiken eller spårar den enligt användarkonfigurerade inställningar
typer av skydd
- applikationskontroller: gruppen av skydd som förhindrar användning av specifika slutanvändarprogram
- Motorinställningar: gruppen av skydd som innehåller inställningar som ändrar beteendet hos andra skydd
- Protokollavvikelser: gruppen av skydd som identifierar trafik som inte överensstämmer med protokollstandarder
- signaturer: gruppen av skydd som identifierar trafik som försöker utnyttja en specifik sårbarhet
Skyddsparametrar
- konfidensnivå: hur säker IP-adresser är att erkända attacker faktiskt är oönskad trafik
- prestanda effekt: hur mycket ett skydd påverkar gatewayens prestanda
- skydd typ: om ett skydd gäller serverrelaterad trafik eller klientrelaterad trafik
- svårighetsgrad: sannolikheten för att en attack kan orsaka skada på din miljö; till exempel en attack som kan tillåta angriparen att köra kod på värden anses vara kritisk
funktioner för övervakning
- uppföljning: en metod för att identifiera skydd som kräver ytterligare konfiguration eller uppmärksamhet
- nätverk undantag: en regel som kan användas för att utesluta trafik från IPS inspektion baserat på skydd, källa, destination, service och gateway.
profiler
- IPS-läge: standardåtgärden, antingen upptäcka eller förhindra, som ett aktiverat skydd tar när det identifierar ett hot
- IPS-Policy: en uppsättning regler som bestämmer vilka skydd som aktiveras för en profil
- profil: en uppsättning skyddskonfigurationer, baserade på IPS-läge och IPS-Policy, som kan tillämpas för att upprätthålla gateways
- felsökning: alternativ som kan användas för att tillfälligt ändra beteendet hos IPS-skydd, till exempel, detektera-endast för felsökning
Smartdashboard Toolbar
Du kan använda verktygsfältet smartdashboard för att göra dessa åtgärder:
|
ikon |
beskrivning |
|---|---|
|
|
öppna smartdashboard-menyn. När du uppmanas att välja menyalternativ, klicka på den här knappen för att visa menyn. om du till exempel uppmanas att välja Hantera > användare och administratörer, klicka på den här knappen för att öppna menyn Hantera och välj sedan alternativet Användare och administratörer. |
|
|
Save current policy and all system objects. |
|
|
Open a policy package, which is a collection of Policies saved together with the same name. |
|
|
Refresh policy from the Security Management Server. |
|
|
Open the Database Revision Control window. |
|
|
Change global properties. |
|
|
Verify Rule Base consistency. |
|
|
Install the policy on Security Gateways or VSX Gateways. |
|
|
Open SmartConsoles. |
IPS Overview
The IPS Overview page provides quick access to the latest and most important information.
In My Organization
IPS in My Organization summarizes gateway and profile information.
tabellen över de konfigurerade profilerna visar följande information:
- profil – namnet på profilen
- IPS-läge – om profilen är inställd på att bara upptäcka attacker eller förhindra dem också
- aktivering-metoden för att aktivera skydd; antingen IPS-Policy eller manuell
- Gateways — antalet gateways som tillämpar profilen
dubbelklicka på en profil öppnar profilens egenskapsfönster.
meddelanden och åtgärdsposter
meddelanden och åtgärdsposter ger snabb åtkomst till:
- Skyddsuppdateringsinformation
- skydd markerade för uppföljning
- IPS kontrakt status
- länkar till händelser och rapporter
säkerhetsstatus
säkerhetsstatus ger en up-to-the-minuten visning av antalet upptäcka och förhindra händelser som IPS hanteras under en vald tidsperiod, avgränsas av svårighetsgrad. Du kan bygga om diagrammet med den senaste statistiken genom att klicka på Uppdatera.
|
|
Obs – säkerhetsstatus grafer kompilera data från gateways av version R70 och uppåt. |
genomsnittet visar antalet hanterade attacker som är genomsnittliga för den valda tidsperioden i ditt företag.
om du till exempel väljer att se status för attacker under de senaste 24 timmarna och genomsnittet av kritiska attacker är 45. Detta indikerar att i din organisation är det genomsnittliga antalet attacker under en 24-timmarsperiod 45.
- Om det aktuella antalet attacker är mycket högre än genomsnittet kan det indikera ett säkerhetsproblem som du bör hantera omedelbart. Till exempel, om mer än 500 kritiska attacker hanterades av IPS under de senaste 24 timmarna, och genomsnittet är 45, kan du snabbt se att din organisation har riktats mot kritiska attacker på ett ihållande sätt och du bör hantera detta snabbt.
- Om det aktuella antalet attacker är mycket lägre än genomsnittet kan det indikera ett problem med IPS-användning som du bör felsöka. Till exempel, om mindre än 10 kritiska attacker hanterades av IPS under de senaste 24 timmarna, med genomsnittet 45, kan du se att det finns ett möjligt problem med IPS-konfiguration; kanske installerades en gateway med en policy som inte inkluderade en IPS-profil.
säkerhetscenter
säkerhetscenter är en rullningslista över tillgängliga skydd mot nya sårbarheter. Den öppna länken bredvid ett säkerhetscenter-objekt tar dig till den tillhörande Check Point-rådgivningen.
