NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Списки групп IDP<br />
Список групп IDP находится в Приложении B, Группы сигнатур IDP. В списке отображены имена<br />
групп, состоящие из Category, за которой следуют Sub-Category, Type может быть любым из IDS, IPS<br />
или POLICY.<br />
Обработка с помощью нескольких действий<br />
Для любого правила IDP можно указать несколько действий и тип действия, такой как Protect,<br />
который можно повторить несколько раз. У каждого действия будет одна или несколько сигнатур<br />
или групп, связанных с ним. Поиск соответствующей сигнатуры выполняется сверху вниз.<br />
Метод подстановки (Wildcarding) в сигнатурах IDP<br />
Для выбора более одной группы сигнатур IDP можно использовать метод подстановки (Wildcarding).<br />
Символ «?» используется как подстановочный знак в имени группы. В качестве альтернативы можно<br />
использовать символ «*» для замены набора символов любой длины в имени группы.<br />
6.5.7. Действия IDP<br />
Функция Действие<br />
Предупреждение: Используйте минимальное<br />
количество сигнатур IDP<br />
Не используйте всю базу данных сигнатур и избегайте использования<br />
сигнатур и групп сигнатур без необходимости. Используйте только те<br />
сигнатуры или группы, которые применяются к типу трафика, которому<br />
необходимо обеспечить защиту. Например, использование IDP-групп<br />
IDS_WEB*, IPS_WEB*, IDS_HTTP* и * IPS_HTTP* будет подходящим для<br />
защиты HTTP-сервера.<br />
Использование слишком большого количества сигнатур во время<br />
сканирования может повысить нагрузку на аппаратное обеспечение<br />
межсетевого экрана, что негативно повлияет на пропускную<br />
способность.<br />
После выявления вторжения, необходимо предпринять Действие, связанное с правилом IDP.<br />
Администратор может связать одну из трех функций Действие с IDP-правилом:<br />
• Ignore – Не выполнять никаких действий, если обнаружено вторжение, и оставить соединение<br />
открытым.<br />
• Audit – Оставить соединение открытым, но зарегистрировать событие.<br />
• Protect – Отклонить соединение и зарегистрировать событие (с дополнительной функцией<br />
внесения в "черный список" источник соединения или переключение на ZoneDefense, как описано<br />
ниже).<br />
«Черный список» IDP<br />
Функция Protect содержит опцию добавления в "черный список" отдельных хостов или сети,<br />
активировавших правило IDP. Это означает, что весь последующий трафик, идущий с источника,<br />
который находится в "черном списке", будет автоматически отклонен системой NetDefendOS. Для<br />
получения более подробной информации о функциях «черного списка» см. Раздел 6.7, «Черный<br />
список хостов и сетей».<br />
317