Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de las políticas de IPS

Una directiva de sistema de prevención de intrusiones (SPI) le permite aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red que pasa a través de un dispositivo habilitado para IPS. Hay dos tipos de opciones de directiva:

  • Directiva de grupo: seleccione esta opción cuando desee insertar una configuración en un grupo de dispositivos. Puede crear reglas para una directiva de grupo.

    Durante una asignación de dispositivos para una directiva de grupo, solo se enumeran los dispositivos de los dominios actual y secundario (con la vista principal habilitada). Los dispositivos del dominio secundario con la vista principal deshabilitada no aparecen en la lista. No todas las directivas de grupo del dominio global son visibles en el dominio secundario. Las directivas de grupo del dominio global (incluida la directiva Todos los dispositivos) no son visibles para el dominio secundario, si la vista principal de ese dominio secundario está deshabilitada. Solo las directivas de grupo del dominio global, que tiene dispositivos del dominio secundario asignado, son visibles en el dominio secundario. Si hay una directiva de grupo en el dominio global con dispositivos de D1 y de los dominios globales asignados, solo esta directiva de grupo del dominio global es visible en el dominio D1 junto con solo los dispositivos de dominio D1. Ningún otro dispositivo, que es la política de excepción de dispositivos, del dominio Global es visible en el dominio D1.

    No puede editar una directiva de grupo del dominio global desde el dominio secundario. Esto también es cierto para la política Todos los dispositivos. Tampoco se permite modificar la política, eliminar la política, administrar una instantánea, la política de instantáneas y adquirir el bloqueo de la política. Del mismo modo, no puede realizar estas acciones en la directiva Excepción de dispositivo del dominio D1 desde el dominio Global. Puede priorizar las directivas de grupo del dominio actual. No se enumeran las directivas de grupo de los demás dominios.

  • Directiva de dispositivos: seleccione esta opción cuando desee insertar una configuración de política IPS única por dispositivo. Puede crear reglas de dispositivo para una directiva IPS de dispositivo.

    Security Director ve un sistema lógico o un sistema de inquilinos como lo hace con cualquier otro dispositivo de seguridad y se hace cargo de la configuración de seguridad del sistema lógico o del sistema de inquilinos. En Security Director, cada sistema lógico o sistema de inquilinos se administra como un dispositivo de seguridad único.

    Durante una asignación de dispositivos para una directiva de dispositivos, solo se enumeran los dispositivos del dominio actual.

Nota:

Si Security Director descubre el sistema lógico raíz, el LSYS raíz detecta todos los demás LSYS y TSYS de usuario dentro del dispositivo.

Una política IPS consta de bases de reglas y cada base de reglas contiene un conjunto de reglas. Le permite definir reglas de políticas para que coincidan con una sección de tráfico basada en una zona, red y aplicación y, a continuación, tomar medidas preventivas activas o pasivas en ese tráfico.

Una base de reglas IPS protege su red de ataques mediante el uso de objetos de ataque para detectar ataques conocidos y desconocidos. Detecta ataques basados en anomalías de protocolo y firma de estado.

Una base de reglas exenta funciona junto con la base de reglas de IPS. Debe tener reglas en la base de reglas IPS para poder crear reglas exentas. Si el tráfico coincide con una regla de la base de reglas IPS, la directiva IPS intenta hacer coincidir el tráfico con la base de reglas exenta antes de realizar la acción especificada o crear un registro para el evento. Si la directiva IPS detecta tráfico que coincide con el par de origen o destino y los objetos de ataque especificados en la base de reglas exenta, exime automáticamente a ese tráfico de la detección de ataques.

Configure una base de reglas exenta en las siguientes condiciones:

  • Cuando una regla IPS utiliza un grupo de objetos de ataque que contiene uno o más objetos de ataque que producen falsos positivos o registros de registro irrelevantes.

  • Cuando desee excluir un par de origen, destino o origen-destino específico de una regla IPS. Esto evita que IPS genere alarmas innecesarias.

Después de crear una directiva IPS agregando reglas en una o más bases de reglas, puede publicar o actualizar la directiva. También puede ver una lista de dispositivos de seguridad con políticas IPS asignadas. Esta lista le ayuda a ver los detalles de todas las políticas y reglas de IPS asignadas por dispositivo.

Documentación relacionada