Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (англ. Intrusion Detection and Prevention System, далее IDPS) в Kaspersky NGFW анализирует трафик для выявления разного типа атак или угроз на основе имеющейся базы сигнатур "Лаборатории Касперского". Если в трафике обнаружена атака, то к трафику применяется действие, заданное администратором. Для более точного обнаружения атак и угроз и минимизации ложных срабатываний базы сигнатур регулярно обновляются.

Для определения уязвимостей и защиты от угроз используются профили IDPS:

• Преднастроенный профиль.

  Преднастроенный профиль блокирует все сигнатуры, содержащиеся в базе сигнатур "Лаборатории Касперского". Преднастроенный профиль IDPS входит в преднастроенную группу профилей безопасности. По умолчанию установлено действие Блокировать, при котором трафик блокируется. Вы можете изменять преднастроенный профиль.

• Пользовательские профили.

  Вы можете создавать, изменять и удалять пользовательские профили, а также настраивать правила, чтобы исключать определенные сигнатуры из действия, установленного в пользовательском профиле.

Зашифрованный трафик проверяется только при включенной расшифровке SSL-соединений.

Чтобы трафик проверялся механизмом IDPS, должны соблюдаться следующие условия:

• Трафик должен попадать под правило фильтрации, в котором указано действие Проверять.
• В используемое правило должна быть добавлена группа профилей безопасности.
• Группа профилей безопасности должна включать профиль IDPS.

В этом разделе Таблица профилей IDPS Создание профиля IDPS Изменение профиля IDPS Удаление профиля IDPS Настройка правил исключений Включение и выключение захвата пакетов Управление файлами сетевого дампа при срабатывании сигнатур IDPS Настройка Защиты от сетевого сканирования

В начало