Auf dieser Seite sehen Sie eine Liste aller vordefinierten und eigenen IPS-Richtlinien.
Bei der Appliance handelt es sich um ein Intrusion Prevention System (IPS), das Ihr Netzwerk in Echtzeit vor bekannten und unbekannten Angriffen durch Würmer und Viren, Hacker und andere Internetrisiken schützt.
Die Appliance an der Außengrenze Ihres Netzwerks analysiert den gesamten Datenverkehr und verhindert, dass Angriffe Ihr Netzwerk erreichen. Ob es sich um einen Wurm handelt, um eine verdächtige Webanfrage, einen Hackerangriff auf Ihren E-Mail-Server oder eine andere Attacke, das Echtzeit-IPS stellt sicher, dass nichts durch kommt.
Das Intrusion Prevention System-Modul ist ein Abonnement-Modul, das zunächst abonniert werden muss.
Außerdem haben Sie die Möglichkeit, den IPS-Status auf der Seite > > einzusehen und zu verwalten.
IPS besteht aus einer Signatur-Engine mit einem vordefinierten Set an Signaturen. Signaturen sind Muster, die als schädlich bekannt sind. IPS gleicht den Datenverkehr mit diesen Signaturen ab und reagiert auf ein Match mit höchster Geschwindigkeit. Die in der Appliance enthaltenen Signaturen können nicht bearbeitet werden.
Je nach Ihren Netzwerkanforderungen können Sie statt einer globalen Richtlinie für die Appliance mehrere Richtlinien definieren, die Latenz des Pakets verringern und falsche positive Ergebnisse reduzieren.
Sie können die vordefinierten Signaturen der IPS-Richtlinie einsehen und die Konfiguration zur Eindringungsverhinderung sowohl auf Ebene der Kategorien als auch der einzelnen Signaturen anpassen. Kategorien sind Signaturen, die nach Anwendungs- und Protokollschwachstellen gruppiert werden.
Die Appliance gibt Ihnen die Möglichkeit, die Richtlinien an die einzelnen Netzwerke/Hosts anzupassen, anstatt zur Verwaltung von mehreren Netzwerken/Hosts nur eine einzelne (globale) Richtlinie festzulegen. Sie können also zur Verwaltung mehrerer Netzwerke und Hosts verschiedene Richtlinien definieren.
Zur Aktivierung des Intrusion Prevention System wählen Sie aus den Sicherheitsrichtlinien die IPS-Richtlinie. Sie können Regeln erstellen für:
• eine Richtlinie für alle Benutzer/Netzwerke
• unterschiedliche Richtlinien für unterschiedliche Benutzer/Netzwerke oder Hosts
Die Sicherheitsrichtlinien kontrollieren den gesamten Datenverkehr, der die Appliance passiert, und entscheiden, ob die Verbindung zugelassen oder verworfen wird. Die IPS-Regel wird hingegen nur auf jenen Datenverkehr und Pakete angewendet, die durch die Firewall gelangen.
Kategorie
Die Signaturen werden nach Kategorien wie DNS, Finger, P2P, DDOS usw. eingeordnet. Diese Signaturkategorien sind in der Richtlinie aufgelistet. Sie können diese Kategorien konfigurieren, um die Einstellungen für die Verhinderung und/oder Erkennung zu ändern. Um Intrusion Prevention durchzuführen, müssen Sie die IPS-Dienste für jede Kategorie einzeln aktivieren, d. h. Sie können für einzelne Signaturen die Bedrohungen nur dann konfigurieren, wenn für die Kategorie ein IPS-Dienst auf „Aktiviert“ gesetzt ist.
Jede IPS-Richtlinie enthält ein Set an Signaturen, nach welchen die Appliance sucht, diese protokolliert, zulässt oder blockiert, um:
• die Kategorie für den IPS-Schutz zu aktivieren oder zu deaktivieren.
• einzelne Signaturen in einer Kategorie zu aktivieren oder zu deaktivieren, um den IPS-Schutz auf Basis Ihrer Netzwerkumgebung anzupassen.
• eine Maßnahme zu definieren, die durchgeführt werden soll, wenn das passende Datenverkehrsmuster gefunden wird. Die Appliance kann die Verbindung entweder erkennen oder verwerfen. In beiden Fällen generiert die Appliance das Protokoll und warnt den Netzwerkadministrator.
IPS stellt sechs Maßnahmen für den Umgang mit Bedrohungen zur Verfügung: (Maßnahme bei passender Signatur)
• Paket zulassen – Das Paket wird an sein Ziel durchgelassen.
• Paket verwerfen – Pakete werden verworfen, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Deaktivieren – Die Signatur wird deaktiviert, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Sitzung verwerfen – Die gesamte Sitzung wird verworfen, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Zurücksetzen – Die gesamte Sitzung wird zurückgesetzt, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Sitzung umgehen – Die gesamte Sitzung wird zugelassen, wenn Datenverkehr erkannt wird, der zur Signatur passt.
Bei paketbasierten Maßnahmen prüft die Appliance jedes Paket, bevor eine Maßnahme durchgeführt wird. Bei sitzungsbasierten Maßnahmen wird hingegen nur das erste Paket geprüft und daraufhin eine Maßnahme durchgeführt. Im Fall einer Rückstellung wird ein TCP-Reset-Paket an den Absender gesendet. In all diesen Fällen generiert die Appliance das Protokoll und warnt den Netzwerkadministrator.
Um Ressourcen zu sparen und Latenzzeiten zu mindern, setzen Sie die Maßnahme auf „Sitzung umgehen“. So werden die restlichen Sitzungspakete nicht gescannt, wenn bereits das erste Paket mit der Signatur übereinstimmt.
Um zu verhindern, dass eine hohe Anzahl an Hinweisen generiert wird, und um Ressourcen zu sparen, setzen Sie die Maßnahme auf „Sitzung verwerfen“. So wird die gesamte Sitzung beendet, wenn die Appliance in den ersten Paketen einen Angriff identifiziert, und es werden nicht alle Sitzungspakete gescannt.
Auf der Seite können Sie eine neue Richtlinie hinzufügen, den Umgang mit der Signatur nach Kategorien oder auf Signaturbasis konfigurieren oder die Richtlinie löschen.
Die Appliance bietet folgende vordefinierte Richtlinien an. Sie können die Richtlinien 1 bis 6 ohne Änderungen direkt verwenden. Die Richtlinien 7 bis 10 können Sie entweder direkt verwenden oder an Ihre Anforderungen anpassen.
1. DMZ TO LAN
2. DMZ TO WAN
3. LAN TO DMZ
4. LAN TO WAN
5. WAN TO DMZ
6. WAN TO LAN
7. generalpolicy
8. lantowan strict policy
9. lantowan general policy
10. dmzpolicy
Fenster schließen IPS-Richtlinien
Auf dieser Seite sehen Sie eine Liste aller vordefinierten und eigenen IPS-Richtlinien.
Bei der Appliance handelt es sich um ein Intrusion Prevention System (IPS), das Ihr Netzwerk in Echtzeit vor bekannten und unbekannten Angriffen durch Würmer und Viren, Hacker und andere Internetrisiken schützt.
Die Appliance an der Außengrenze Ihres Netzwerks analysiert den gesamten Datenverkehr und verhindert, dass Angriffe Ihr Netzwerk erreichen. Ob es sich um einen Wurm handelt, um eine verdächtige Webanfrage, einen Hackerangriff auf Ihren E-Mail-Server oder eine andere Attacke, das Echtzeit-IPS stellt sicher, dass nichts durch kommt.
Das Intrusion Prevention System-Modul ist ein Abonnement-Modul, das zunächst abonniert werden muss.
Außerdem haben Sie die Möglichkeit, den IPS-Status auf der Seite > > einzusehen und zu verwalten.
IPS besteht aus einer Signatur-Engine mit einem vordefinierten Set an Signaturen. Signaturen sind Muster, die als schädlich bekannt sind. IPS gleicht den Datenverkehr mit diesen Signaturen ab und reagiert auf ein Match mit höchster Geschwindigkeit. Die in der Appliance enthaltenen Signaturen können nicht bearbeitet werden.
Je nach Ihren Netzwerkanforderungen können Sie statt einer globalen Richtlinie für die Appliance mehrere Richtlinien definieren, die Latenz des Pakets verringern und falsche positive Ergebnisse reduzieren.
Sie können die vordefinierten Signaturen der IPS-Richtlinie einsehen und die Konfiguration zur Eindringungsverhinderung sowohl auf Ebene der Kategorien als auch der einzelnen Signaturen anpassen. Kategorien sind Signaturen, die nach Anwendungs- und Protokollschwachstellen gruppiert werden.
Die Appliance gibt Ihnen die Möglichkeit, die Richtlinien an die einzelnen Netzwerke/Hosts anzupassen, anstatt zur Verwaltung von mehreren Netzwerken/Hosts nur eine einzelne (globale) Richtlinie festzulegen. Sie können also zur Verwaltung mehrerer Netzwerke und Hosts verschiedene Richtlinien definieren.
Zur Aktivierung des Intrusion Prevention System wählen Sie aus den Sicherheitsrichtlinien die IPS-Richtlinie. Sie können Regeln erstellen für:
• eine Richtlinie für alle Benutzer/Netzwerke
• unterschiedliche Richtlinien für unterschiedliche Benutzer/Netzwerke oder Hosts
Die Sicherheitsrichtlinien kontrollieren den gesamten Datenverkehr, der die Appliance passiert, und entscheiden, ob die Verbindung zugelassen oder verworfen wird. Die IPS-Regel wird hingegen nur auf jenen Datenverkehr und Pakete angewendet, die durch die Firewall gelangen.
Kategorie
Die Signaturen werden nach Kategorien wie DNS, Finger, P2P, DDOS usw. eingeordnet. Diese Signaturkategorien sind in der Richtlinie aufgelistet. Sie können diese Kategorien konfigurieren, um die Einstellungen für die Verhinderung und/oder Erkennung zu ändern. Um Intrusion Prevention durchzuführen, müssen Sie die IPS-Dienste für jede Kategorie einzeln aktivieren, d. h. Sie können für einzelne Signaturen die Bedrohungen nur dann konfigurieren, wenn für die Kategorie ein IPS-Dienst auf „Aktiviert“ gesetzt ist.
Jede IPS-Richtlinie enthält ein Set an Signaturen, nach welchen die Appliance sucht, diese protokolliert, zulässt oder blockiert, um:
• die Kategorie für den IPS-Schutz zu aktivieren oder zu deaktivieren.
• einzelne Signaturen in einer Kategorie zu aktivieren oder zu deaktivieren, um den IPS-Schutz auf Basis Ihrer Netzwerkumgebung anzupassen.
• eine Maßnahme zu definieren, die durchgeführt werden soll, wenn das passende Datenverkehrsmuster gefunden wird. Die Appliance kann die Verbindung entweder erkennen oder verwerfen. In beiden Fällen generiert die Appliance das Protokoll und warnt den Netzwerkadministrator.
IPS stellt sechs Maßnahmen für den Umgang mit Bedrohungen zur Verfügung: (Maßnahme bei passender Signatur)
• Paket zulassen – Das Paket wird an sein Ziel durchgelassen.
• Paket verwerfen – Pakete werden verworfen, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Deaktivieren – Die Signatur wird deaktiviert, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Sitzung verwerfen – Die gesamte Sitzung wird verworfen, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Zurücksetzen – Die gesamte Sitzung wird zurückgesetzt, wenn Datenverkehr erkannt wird, der zur Signatur passt.
• Sitzung umgehen – Die gesamte Sitzung wird zugelassen, wenn Datenverkehr erkannt wird, der zur Signatur passt.
Bei paketbasierten Maßnahmen prüft die Appliance jedes Paket, bevor eine Maßnahme durchgeführt wird. Bei sitzungsbasierten Maßnahmen wird hingegen nur das erste Paket geprüft und daraufhin eine Maßnahme durchgeführt. Im Fall einer Rückstellung wird ein TCP-Reset-Paket an den Absender gesendet. In all diesen Fällen generiert die Appliance das Protokoll und warnt den Netzwerkadministrator.
Um Ressourcen zu sparen und Latenzzeiten zu mindern, setzen Sie die Maßnahme auf „Sitzung umgehen“. So werden die restlichen Sitzungspakete nicht gescannt, wenn bereits das erste Paket mit der Signatur übereinstimmt.
Um zu verhindern, dass eine hohe Anzahl an Hinweisen generiert wird, und um Ressourcen zu sparen, setzen Sie die Maßnahme auf „Sitzung verwerfen“. So wird die gesamte Sitzung beendet, wenn die Appliance in den ersten Paketen einen Angriff identifiziert, und es werden nicht alle Sitzungspakete gescannt.
Auf der Seite können Sie eine neue Richtlinie hinzufügen, den Umgang mit der Signatur nach Kategorien oder auf Signaturbasis konfigurieren oder die Richtlinie löschen.
Die Appliance bietet folgende vordefinierte Richtlinien an. Sie können die Richtlinien 1 bis 6 ohne Änderungen direkt verwenden. Die Richtlinien 7 bis 10 können Sie entweder direkt verwenden oder an Ihre Anforderungen anpassen.
1. DMZ TO LAN
2. DMZ TO WAN
3. LAN TO DMZ
4. LAN TO WAN
5. WAN TO DMZ
6. WAN TO LAN
7. generalpolicy
8. lantowan strict policy
9. lantowan general policy
10. dmzpolicy
