Как да конфигурирате IPS политика

Тази статия описва как да промените Intrusion Prevention System (IPS) на защитна стена Sophos XG и да предотвратите използването на голяма част от процесора

Отнася се за следните продукти и версии на Sophos 
Sophos Firewall

 

Относно IPS конфигурациите

IPS може да консумира голяма част от процесора, ако не е правилно конфигуриран.

Какви са ефектите на HTTP / HTTPS сканиране или user базирани политики върху IPS?

Има значителни промени в начина на поведение на IPS, когато се прилага http / https сканиране. Например, трафикът се изпраща на прокси сървъра, преди IPS да се действа, защото политиката за уеб филтъра по подразбиране в User Based Policy е Allow All. Може да има промени в размера на данните, увеличаване на броя на пакетите и т.н., които пряко влияят върху поведението на IPS сигнатурите.

IPS настройки

IPS настройките са:

  • stream

  • lowmem

  • maxsesbytes

За да видите статуса на IPS настройките:

Влезте в интерфейса на командния ред (CLI) с помощта на Telnet или SSH. Можете също така да получите достъп до CLI от администратор> Конзола в горния десен ъгъл на административната конзола.

Изберете опция 4. Конзола на устройството.

Въведете следната команда:
покажете ips-настройки

  1. Влезте в Command Line Interface (CLI), използвайки Telnet или SSH. Може да достъпите до CLI от admin > Console в горния десен ъгъл на административната конзола.

  2. Изберете опция 4. Device Console.

  3. Въведете следната команда:
    show ips-settings

    (кликнете тук, за да видите изображението за пълен размер)

 

stream

Ако stream е включен ( on ) , IPS engine изгражда вътрешна таблица по време на сесия и я изтрива в края на всяка сесия. Той също така сглобява отново всички входящи пакети и проверява данните за всички известни сигнатури. IPS engine може също:

  • Буферира целия поток от пакети в TCP сесия.

  • Подредете TCP сегментите в правилен поток, въз основа на поредните номера.

  • Проверете за припокриващи се пакети заедно с дублиращи се сегменти и техните контролни суми.

  • Сканирайте всеки пакет с IPS engine, за да идентифицирате злонамерения или дублиращ полезен товар.
    За да включите stream, въведете командата:
    set ips packet-streaming on

Ако stream e изключен ( off ), протоколите като Telnet, POP3, SMTP и HTTP са уязвими, тъй като презаглобяването на пакети или сегменти не се извършва. Понякога данните се разбиват на парчета пакети и трябва да бъдат сглобени отново, за да се проверят за подписи, тези протоколи вече са уязвими за злонамерени файлове, които са скрити чрез разделяне. Няма конкретни параметри за калибриране на IPS и настройките за maxpkts и stream ще бъдат различни за всеки случай въз основа на:

  • Тип и размер на внедряването.

  • Брой сигнатури, които се използват.

  • Мрежовия трафик, който се генерира

  • Bandwidth, осигурена от интернет доставчика.

За да изключите stream, въведете командата:
set ips packet-streaming off

 

lowmem

Ако настройката за lowmem е включена, уредът съхранява сигнатури в компресиран формат. При съвпадение на сигнатурите уредът трябва да декомпресира тези данни и консумира повече обработваща мощност

За да включите lowmem, въведете командата:
set ips lowmem-settings on

Ако настройката за lowmem е изключена, сигнатурите ще заемат повече място за съхранение, но съвпадението на подписите ще консумира по-малко обработваща мощност.

За да изключите lowmem, въведете командата:
set ips lowmem-settings off

 

maxsesbytes

maxsesbytes е броят на байтите, проверени за сесия от пакети данни. Настройката по подразбиране (0) означава, че устройството ще проверява всички данни в сесията, което консумира повече обработваща мощност.

Препоръчителната настройка е 0. Промяната на maxsesbytes към ограничена стойност може да намали използваната мощност на процесора, но ще намали възможностите за откриване на IPS.

За да зададете броя проверени байтове, въведете командата:
set ips maxsesbytes-settings update <any number or 0 to check all the data>

 

 


Видео: Sophos XG Firewall (v17): Creating & Configuring IPS Policies


Ръководство на английски език: How to configure IPS settings in SFOS

Свързани материали