Rubriques Connexes
Configurer Intrusion Prevention Service
Pour activer et utiliser Intrusion Prevention Service (IPS), vous devez disposer d'une clé de fonctionnalité.
Pour de plus amples informations, consultez :
- Obtenir une Clé de Fonctionnalité Firebox
- Ajouter ou Supprimer Manuellement une Clé de Fonctionnalité
Modes d'Analyse et Actions IPS
IPS possède deux modes d'analyse
- Analyse Complète — Analyser tous les paquets des stratégies pour lesquelles IPS est activé.
- Analyse Rapide — Analyser moins de paquets pour améliorer la performance. Cette option améliore considérablement le débit du trafic analysé, mais ne fournit pas le traitement intégral du mode d'Analyse complète. Il s'agit du mode d'analyse recommandé pour les modèles XTM ainsi que les Firebox T10, T30 et T50.
IPS classe ses signatures en cinq niveaux de menace en fonction de leur gravité. Vous pouvez sélectionner l'une des actions suivantes pour chaque niveau de menace :
- Autoriser — Autorise la connexion.
- Abandonner — Refuse la requête et abandonne la connexion. Aucune information n'est envoyée à la source du contenu.
- Bloquer — Refuse la requête, abandonne la connexion et ajoute l'adresse IP de la source du contenu à la liste des Sites Bloqués. Si le contenu qui correspond à une signature IPS provient d'un client, l'adresse IP du client est ajoutée à la liste des Sites bloqués. Si le contenu provient d'un serveur, l'adresse IP du serveur est ajoutée à la liste des Sites Bloqués.
Activer et Configurer IPS
Si votre Firebox possède un abonnement IPS actif, l'assistant Web Setup Wizard ou Quick Setup Wizard active automatiquement IPS avec les paramètres recommandés. Pour plus d'informations, voir Stratégies et Paramètres par Défaut de l'Assistant Setup Wizard.
Si IPS n'a pas été automatiquement activé, vous pouvez l'activer dans Fireware Web UI ou Policy Manager.
- Dans Fireware Web UI, sélectionnez Services d'Abonnement > IPS
Si IPS possède une licence mais n'a pas été activé, l'assistant IPS Setup Wizard se lance automatiquement. - Cliquez sur Suivant pour commencer.
- Sélectionnez le Mode d'Analyse.
- Pour chaque niveau de menace, sélectionnez l'action dans la liste déroulante Action.
- Pour chaque niveau de menace, pour envoyer un message de journal pour une action d'IPS, cochez la case Journal.
- Pour chaque niveau de menace, pour déclencher une alarme pour une action d'IPS, cochez la case Alarme.
- Cliquez sur Suivant.
- Sélectionnez les stratégies de pare-feu qui utilisent IPS, puis cliquez sur Suivant.
- Cliquez sur Terminer.
- Sélectionnez Services d'Abonnement > IPS.
- Si IPS n'a pas été activé, cliquez sur Ignorer pour configurer manuellement les paramètres.
- Cochez la case Activer Intrusion Prevention.
- Sélectionnez le Mode d'Analyse. Vous pouvez sélectionner l'un des deux modes :
- Pour chaque niveau de menace, sélectionnez l'action dans la liste déroulante Action.
- Pour chaque niveau de menace, pour envoyer un message de journal pour une action d'IPS, cochez la case Journal.
- Pour chaque niveau de menace, pour déclencher une alarme pour une action d'IPS, cochez la case Alarme.
- Cliquez sur Sauvegarder.
- Sélectionnez Services d'abonnement > Intrusion Prevention (IPS).
- Cochez la case Activer Intrusion Prevention.
- Sélectionnez le Mode d'Analyse.
- Pour chaque niveau de menace, sélectionnez l'action dans la liste déroulante Action.
- Pour chaque niveau de menace, pour envoyer un message de journal pour une action d'IPS, cochez la case Journal.
- Pour chaque niveau de menace, pour déclencher une alarme pour une action d'IPS, cochez la case Alarme.
- Cliquez sur OK.
Si IPS est activé pour une stratégie de proxy HTTPS, vous devez également activer l'Inspection de Contenu dans l'action de proxy HTTPS afin qu'IPS puisse analyser le contenu HTTPS. Pour de plus amples informations, consultez la rubrique HTTPS-Proxy : inspection du contenu. L'analyse IPS du contenu HTTPS n'est pas prise en charge sur les périphériques XTM 21, 22, et 23.
Configurer d'autres paramètres d'IPS
Assurez-vous d'activer les mises à jour automatiques des signatures d'IPS pour maintenir vos signatures à jour.
- Pour configurer les paramètres de mise à jour des signatures, sélectionnez Serveur de mise à jour. Pour plus d'informations, voir Configurer le serveur de mise à jour IPS.
- Vous pouvez désactiver ou activer IPS pour chaque stratégie de votre configuration. Pour plus d'informations, voir Activer ou désactiver IPS pour une Stratégie.
- Pour ajouter des signatures à la liste d'exceptions, sélectionnez Signatures. Pour plus d'informations, voir Configurer les exceptions IPS.
- Pour configurer les paramètres de notification pour IPS, cliquez sur Notification. Pour plus d'informations, voir Définir les préférences de journalisation et de notification.