Przejdź na skróty do treści. | Przejdź do nawigacji

Sekcje
Narzędzia osobiste
Jesteś w: Start Szybki-Konfig Producent Check Point Lekcja 5 - Threat Prevention
 
 

Lekcja 5 - Threat Prevention

W piątej lekcji z cyklu „R80.x Training Videos” skoncentrujemy się na polityce typu Threat Prevention. W poprzedniej lekcji poznaliśmy koncepcję polityki typu Access – polityka dostępu:

  • kto i do czego ma dostęp;
  • reguły dotyczące osób, grup ludzi, sieci, adresów, serwerów;
  • reguły dotyczące usług, aplikacji, URL-i, rodzajów danych, kierunku transmitowanych danych.

 

Dzisiejsza lekcja poświęcona jest polityce typu Threat Prevention, która ukierunkowana jest na ochronie przed atakami: reguły blokowania, intruzów, wirusów, ataków zero-day, ataków APT, botnetów.  Służy do neutralizacji zagrożeń.

Threat Prevention Policy jest centralnym miejscem, w którym zarządzamy i wykorzystujemy moduły bezpieczeństwa:

  • IPS
  • Anti-Virus
  • Anti-Bot
  • Threat Emulation/Threat Extraction

 

Dzięki rozdzieleniu polityk dostępu i polityk blokowania zagrożeń oraz nowej architekturze zarządzania, możemy w łatwy sposób wdrożyć w naszej organizacji dobre praktyki związane z zarządzaniem Software Defined Protection. Wyodrębnić obowiązki kontroli dostępu do sieci, aplikacji, url filtering itp. dedykowane dla zespołu administratorów sieciowych, od zadań zespół bezpieczeństwa (incident response team) skupiającego się na ochronie przed atakami oraz nadzorowaniu ruchu internetowego i podejmowaniu natychmiastowych akcji w razie pojawienia się zagrożenia.

 

Ujednolicone reguły polityki typu Threat Prevention pozwalają na wykorzystywanie wielu profili bezpieczeństwa dla jednej bramy sieciowej. Zakres ochrony możemy definiować dla „Protected Scope” - obszarów sieci który chcemy chronić (tj. Strefy, vlany, sieci, grupy, hosty).

 

 

Threat Prevation Profil jest miejscem, w którym wybieramy z których mechanizmów ochrony (IPS, Anti-boot, Anti-virus, Threat Emulation, Threat extraction) oraz w jaki sposób chcemy skorzystać.

 

Ochrona IPS, istniejąca jako oddzielna polityka ochrony we wcześniejszych wersjach, od wersji  R80.10  stała się  częścią profilu Threat Prevation. Dzięki temu IPS przestał być definiowany globalnie i uzyskaliśmy możliwość równoczesnej pracy wielu profili ochrony IPS.

W nowe wersji mamy również rozdzielenie ochrony przed naruszeniem protokołu (protocol violations) takimi jak “Non Compliant HTTP” lub “Aggressive Aging” od moduły ochrony IPS.

 

Ochrona niezgodnościami protokołu dostępna w ramach polityki dostępu “Manage settings & objects > Inspection Settings”, nie wymaga już dostępności moduł IPS.

 

Dla reguł polityki Threat Prevation możemy tworzyć wyjątki.  Globalne wykluczenia lub wyjątki bazujące na określonym module bezpieczeństwa (np. wyłączenie modułu Anti-Virus dla określonej sterfy). Dodatkowo można również tworzyć grupy wyjątków, które są przyłączane ręcznie dla wskazanych reguł, per profil lub automatycznie dla wszystkich reguł.

 

Nowa koncepcja warstw polityk bezpieczeństwa omawiana we wcześniejszych lekcjach ma również zastosowanie w politykach Threat Prevation. W politykach dostępowych Access Control mieliśmy do czynienia z warstwami szeregowymi: Ordered layer oraz warstwami zagnieżdżonymi: Inline layer (szczegółowo opisane w lekcji nr 3).

W Threat Prevation mamy do czynienia z warstwami mulit-match, gdzie ruch jest dopasowywany do wszystkich warstw w tym samym czasie. Stosowanie warstw zapewnia maksymalną elastyczność w egzekwowaniu ochrony w modułach wykonawczych. Warstwy możemy stosować w zależności od potrzeb dla rozdzielenia obszarów sieci które chcemy chronić, np. jedna warstwa dla ochrony serwerów, druga warstwa dla ochrony strefy DMZ inna dla ochrony użytkowników.  Dla każdej z warstw możemy definiować oddzielne grupy administratorów. Można również stosować oddzielne warstwy dla modułów ochrony, np. warstwa IPS, dedykowana warstwa ochrony Anti-Boot itp.

 

Dla warstwowych polityki Thret Prevention każde połączenie sieciowe  jest analizowane przez silniki TP Matching Engine.  Inspekcja prowadzona jest od góry do dołu dla zestawu reguł jednocześnie i niezależnie dla wszystkich warstw.  W ten sposób dany ruch może zostać dopasowany do kilku reguł.  Dla takiego ruchu egzekwowana jest reguła
o najbardziej rygorystycznym działaniu.

 

 

Zapraszamy do obejrzenia następnych lekcji.

Lekcja poprzednia | Check Point | Lekcja następna
Szybki Konfig

 

Ten serwis wykorzystuje tzw. pliki cookies (ciasteczka) w celu zapewnienia poprawnego funkcjonowania oraz wygody korzystania z jego mechanizmów. Dotyczy to celów: statystycznych (zbieranie informacji o odwiedzanych stronach, używanej przeglądarce, systemie operacyjnym); realizacji usług i funkcjonowania serwisu (utrzymywanie na serwerze tzw. "sesji" i odwołanie do wybranego języka po zalogowaniu się do serwisu); przystosowania serwisu do indywidualnych potrzeb. Zaznaczamy, że można określić warunki przechowywania lub dostępu do plików cookies w używanej przeglądarce. Zmiana ustawień może jednak uniemożliwić korzystanie z niektórych elementów serwisu lub wprowadzić irytację związaną z koniecznością wielokrotnego wyboru trybu pracy. Jeżeli wyrażasz zgodę na umieszczenie „ciasteczek” w pamięci Twojej stacji roboczej kontynuuj używanie przeglądarki bez zmiany jej ustawień.
Dziękujemy

Zamknij