Descripción general de IPS (Intrusion Prevention Sysem)

60 0 0 0

Hola estimada Comunidad Huawei Enterprise, a continuacion un resumen de que es IPS y sus conceptos.

 

Conceptos:

 

Antes de comprender los principios de IPS, debe comprender las funciones de la base de datos de firmas IPS, la firma IPS y la Plataforma del Centro de Seguridad.


Base de datos de firmas IPS


Una base de datos de firmas IPS creada por Huawei después de analizar varios comportamientos comunes de intrusión. La base de datos de firmas IPS define las características de varios comportamientos comunes de intrusión y asigna un ID de comportamiento de intrusión único a cada tipo de comportamiento de intrusión. Después de cargarse con la base de datos de firmas IPS, el dispositivo puede identificar los comportamientos de intrusión definidos en la base de datos.


Plataforma del centro de seguridad


El nombre de dominio es sec.huawei.com. Un servidor proporcionado por Huawei para ofrecer servicios de actualización de la base de datos de firmas IPS para los clientes que compran una licencia. 

 

Firma IPS

 

La firma IPS se utiliza para describir las características del comportamiento de intrusión en la red. El dispositivo puede detectar y defenderse contra ataques del comportamiento de intrusión comparando el contenido de paquetes con firmas IPS.

 

Las firmas IPS incluyen firmas predefinidas y firmas definidas por el usuario.

 

Firmas predefinidas

 

Las firmas predefinidas son una gran cantidad de firmas predefinidas por el sistema. Una firma predefinida preestablece la acción predeterminada de la firma como bloqueo o alarma. Los administradores pueden prevenir o bloquear comportamientos de intrusión en función de las firmas predefinidas.

 

El dispositivo se carga con la base de datos de firmas IPS antes de la entrega. Para identificar los últimos comportamientos de intrusión en tiempo real, puede comprar y activar una licencia. La base de datos de firmas IPS se actualiza a tiempo. Puede obtener continuamente la última base de datos de firmas IPS de la Plataforma del Centro de Seguridad para garantizar una respuesta oportuna a nuevos comportamientos de intrusión. 

 

Firmas definidas por el usuario

 

Las firmas definidas por el usuario son creadas por el administrador de acuerdo con las características de los comportamientos de intrusión. El administrador crea tales firmas en los siguientes escenarios:

 

Cuando el administrador desea rechazar o registrar un determinado comportamiento que no está incluido en las firmas predefinidas. Por ejemplo, cuando el administrador quiere prohibir al personal que transmita archivos ejecutables (que son propensos a virus) pero el comportamiento prohibido de los archivos ejecutables no está definido en las firmas predefinidas, el administrador puede crear una firma de acuerdo con las características de comportamiento, establecer la acción para bloquear, e importar la firma creada al archivo de configuración.


Cuando la red está sufriendo un ataque pero la base de datos de firmas IPS no se ha actualizado, el administrador puede crear una firma para el ataque de acuerdo con las características del ataque. Una vez actualizada la base de datos de firmas IPS, la firma creada entra en vigor.

 

 

Puede usar el filtro de firmas para administrar firmas definidas por el usuario, y usar las firmas de excepción para administrar firmas definidas por el usuario y firmas IPS.


Filtro de firma

 

Una gran cantidad de firmas inunda la base de datos de firmas después de las actualizaciones. Al analizar las características de las amenazas comunes, puede resumir las firmas que contienen estas características y agregarlas a un filtro de firmas.

 

Una colección de firmas que cumplen con las condiciones de filtrado especificadas. Las condiciones de filtrado del filtro de firma incluyen la categoría de firma, el destino, el protocolo, la gravedad y el sistema operativo. Solo las firmas que cumplan con todas las condiciones de filtrado se pueden agregar al filtro de firmas. Por ejemplo, si solo es necesario defender los paquetes HTTP, solo puede configurar el protocolo HTTP como condición de filtrado. Luego, la firma que cumple con la condición de filtrado se agrega al filtro de firma.

 

La acción de un filtro de firma puede ser Bloquear, Alertar o Predeterminado (use las acciones predeterminadas de las firmas). La acción de un filtro de firma tiene una prioridad más alta que las acciones predeterminadas de las firmas en el filtro.

 

Los filtros de firma configurados anteriormente tienen mayores prioridades. Si dos filtros de firma en un perfil de seguridad contienen la misma firma, los paquetes que coinciden con la firma se procesan de acuerdo con el filtro de firma configurado anteriormente.

 

Firma de excepción

 

Para facilitar la gestión, el filtro de firmas filtra las firmas en lotes. Si los administradores necesitan configurar acciones para algunas firmas diferentes de las acciones del filtro de firmas, pueden agregar las firmas a firmas de excepción y configurar acciones para las firmas de manera independiente. Por ejemplo, al detectar un ataque a través de registros, el administrador puede agregar la firma que coincide con el ataque a las firmas de excepción y configurar una acción de bloqueo para la firma.

 

La acción de una excepción de firma puede ser Bloquear, Alertar, Permitir.

 

La acción de una excepción de firma tiene una prioridad más alta que la de un filtro de firma. Si una firma coincide con una excepción de firma y un filtro de firma, la acción de la excepción de firma entra en vigor.

 

Por ejemplo, las acciones para un lote de firmas en el filtro de firma son bloque. Luego, el dispositivo bloquea un software de I + D solicitado por un empleado. El registro indica que el software de I + D coincide con una firma en el filtro de firma y está bloqueado debido a un falso positivo. En tales casos, agregue la firma como una excepción y establezca la acción en Permitir.

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje