NG Firewall > Aplicaciones > Prevención de intrusiones
Prevención de intrusiones
Acerca de prevención de intrusiones
Prevención de intrusiones es un sistema de detección de intrusiones que detecta la actividad maliciosa en la red. Para detectar actividad maliciosa, prevención de intrusiones utiliza la detección de la firma, un método que se basa en una base de datos de patrones de ataque conocidos. Si Intrusion Prevention detecta actividad maliciosa, la sesión para que la actividad se termina.
Configuración
En esta sección se examinan las diferentes configuraciones y opciones de configuración disponibles para prevención de intrusiones.
Estado
La ficha de Estado simplemente le muestra información acerca de las definiciones de prevención de intrusiones - no hay nada que configurar.
Reglas
Intrusion Prevention proporciona una lista de reglas (firmas) que se puede tener en NG Firewall, sesión o bloquear el tráfico cuando se les compara. Para facilitar las cosas para usted, NG Firewall ha evaluado cada norma y determinó los valores predeterminados apropiados para cada regla con los siguientes criterios:
§ Si la regla es siempre conocido para bloquear exploits maliciosos, bloques de prevención de intrusiones y los registros de tráfico coincidiendo esta regla.
§ Si la regla es a veces conocida para bloquear exploits maliciosos, prevención de intrusiones registra tráfico que coincide con esta regla.
§ Si la regla es nunca sabe para bloquear exploits maliciosos, prevención de intrusiones ni bloquea ni registros de tráfico coincidiendo esta regla.
En la mayoría de los casos, no es necesario que cambie la configuración predeterminada. Sólo es necesario para desactivar una regla si los bloques que las reglas de tráfico desde una aplicación de software única que debe utilizar. Simplemente desmarque Block (y sesión si lo desea) y el tráfico ya no se bloqueará.
Event Log
Utilice los siguientes términos y definiciones para comprender el registro de sucesos:
¿Debo usar direcciones / puertos en las reglas del firewall post - NAT o pre-NAT ? Las reglas de firewall siempre coinciden en la dirección que tiene más información. En otras palabras, si la totalidad de la red interna se natd de 192.168. *. * A 1.2.3.4, Firewall coincidirá en el 192.168. *. * Para el tráfico hacia y desde la red. En la capa de sesión de este resulta ser pre-NAT en la dirección de origen, después de la NAT en la dirección de destino, pre-NAT en el puerto de origen, y después de la NAT en el puerto de destino. Una manera fácil de recordar esto es que siempre coincide donde se pone el máximo de información.
Prevención de intrusiones es un sistema de detección de intrusiones que detecta la actividad maliciosa en la red. Para detectar actividad maliciosa, prevención de intrusiones utiliza la detección de la firma, un método que se basa en una base de datos de patrones de ataque conocidos. Si Intrusion Prevention detecta actividad maliciosa, la sesión para que la actividad se termina.
Configuración
En esta sección se examinan las diferentes configuraciones y opciones de configuración disponibles para prevención de intrusiones.
Estado
La ficha de Estado simplemente le muestra información acerca de las definiciones de prevención de intrusiones - no hay nada que configurar.
Reglas
Intrusion Prevention proporciona una lista de reglas (firmas) que se puede tener en NG Firewall, sesión o bloquear el tráfico cuando se les compara. Para facilitar las cosas para usted, NG Firewall ha evaluado cada norma y determinó los valores predeterminados apropiados para cada regla con los siguientes criterios:
§ Si la regla es siempre conocido para bloquear exploits maliciosos, bloques de prevención de intrusiones y los registros de tráfico coincidiendo esta regla.
§ Si la regla es a veces conocida para bloquear exploits maliciosos, prevención de intrusiones registra tráfico que coincide con esta regla.
§ Si la regla es nunca sabe para bloquear exploits maliciosos, prevención de intrusiones ni bloquea ni registros de tráfico coincidiendo esta regla.
En la mayoría de los casos, no es necesario que cambie la configuración predeterminada. Sólo es necesario para desactivar una regla si los bloques que las reglas de tráfico desde una aplicación de software única que debe utilizar. Simplemente desmarque Block (y sesión si lo desea) y el tráfico ya no se bloqueará.
Event Log
Utilice los siguientes términos y definiciones para comprender el registro de sucesos:
¿Debo usar direcciones / puertos en las reglas del firewall post - NAT o pre-NAT ? Las reglas de firewall siempre coinciden en la dirección que tiene más información. En otras palabras, si la totalidad de la red interna se natd de 192.168. *. * A 1.2.3.4, Firewall coincidirá en el 192.168. *. * Para el tráfico hacia y desde la red. En la capa de sesión de este resulta ser pre-NAT en la dirección de origen, después de la NAT en la dirección de destino, pre-NAT en el puerto de origen, y después de la NAT en el puerto de destino. Una manera fácil de recordar esto es que siempre coincide donde se pone el máximo de información.
Temas relacionados
Sistemas de Prevención de Intrusos
Prevención de intrusiones FAQs
¿Es la prevención de intrusiones basado en un proyecto de código abierto? Sí, prevención de intrusiones se basa en Snort.
¿Por qué no hay datos para una regla específica? Si no hay un vínculo de información disponible para una norma específica, puede intentar buscar el ID de regla en reglas de Snort para más información.
¿Por qué no son la mayoría de las normas de prevención de intrusiones están bloqueadas por defecto? Debido a que muchas reglas pueden bloquear el tráfico no malicioso, además de exploits maliciosos no nos volvemos a todos de forma predeterminada. Para hacer las cosas más fácil para usted, hemos evaluado cada regla y determinamos los valores predeterminados apropiados para cada regla con los siguientes criterios:
§ Si la regla es siempre conocida para bloquear exploits maliciosos, prevención de intrusiones bloquea y registra esta regla por defecto.
§ Si la regla es a veces conocida para bloquear exploits maliciosos, prevención de intrusiones registra esta regla por defecto.
§ Si la regla nunca será para bloquear exploits maliciosos, prevención de intrusiones ni bloquea ni registra esta regla por defecto.
Usted es libre de cambiar la acción de todas las normas que sean necesarias para la red.
¿Al escribir reglas personalizadas, puedo utilizar Variables Snort? Sí, también ofrecemos a los administradores el acceso a las variables de Snort. Estas variables se utilizan en reglas para especificar los criterios para el origen y destino de un paquete. La variable más importante es $ HOME_NET . $ HOME_NET define la red o redes que están tratando de proteger. Bajo ninguna circunstancia se debe cambiar o eliminar las variables predeterminadas - usted puede agregar excepciones, pero sólo si estás muy familiarizado con ellos y snort.conf.
Sistemas de Prevención de Intrusos
Prevención de intrusiones FAQs
¿Es la prevención de intrusiones basado en un proyecto de código abierto? Sí, prevención de intrusiones se basa en Snort.
¿Por qué no hay datos para una regla específica? Si no hay un vínculo de información disponible para una norma específica, puede intentar buscar el ID de regla en reglas de Snort para más información.
¿Por qué no son la mayoría de las normas de prevención de intrusiones están bloqueadas por defecto? Debido a que muchas reglas pueden bloquear el tráfico no malicioso, además de exploits maliciosos no nos volvemos a todos de forma predeterminada. Para hacer las cosas más fácil para usted, hemos evaluado cada regla y determinamos los valores predeterminados apropiados para cada regla con los siguientes criterios:
§ Si la regla es siempre conocida para bloquear exploits maliciosos, prevención de intrusiones bloquea y registra esta regla por defecto.
§ Si la regla es a veces conocida para bloquear exploits maliciosos, prevención de intrusiones registra esta regla por defecto.
§ Si la regla nunca será para bloquear exploits maliciosos, prevención de intrusiones ni bloquea ni registra esta regla por defecto.
Usted es libre de cambiar la acción de todas las normas que sean necesarias para la red.
¿Al escribir reglas personalizadas, puedo utilizar Variables Snort? Sí, también ofrecemos a los administradores el acceso a las variables de Snort. Estas variables se utilizan en reglas para especificar los criterios para el origen y destino de un paquete. La variable más importante es $ HOME_NET . $ HOME_NET define la red o redes que están tratando de proteger. Bajo ninguna circunstancia se debe cambiar o eliminar las variables predeterminadas - usted puede agregar excepciones, pero sólo si estás muy familiarizado con ellos y snort.conf.