IDS |
Начиная с 4-й версии, на ФПСУ-IP реализована система обнаружения вторжений (СОВ). Система обнаружения вторжений, Intrusion Detection System - IDS, обнаруживает атаки и аномальное поведение на основе правил. Правила системы IDS позволяют выявлять определенные события и известные атаки, эвристический анализ обнаруживает аномальное поведение. При обнаружении угрозы система IDS отправляет сообщение локальному администратору на экран ФПСУ-IP и на внешний Syslog-сервер, записывает событие в локальную БД IDS и в общую статистику ФПСУ-IP. Система IDS может предотвращать вторжения, отправляя сообщение об угрозе МЭ ФПСУ-IP, МЭ ФПСУ-IP, получив сигнал, заблокирует IP-адрес источника угрозы. Система IDS отслеживает входящий и исходящий сетевой трафик на портах ФПСУ-IP. Каждый входящий/исходящий пакет анализируется одновременно межсетевым экраном и системой IDS. Если пакет разрешается правилами МЭ, он отправляется дальше по назначению. Дубликат пакета поступает в систему IDS. Система IDS по имеющемуся набору правил просматривает пакет. В случае срабатывания правила система IDS обнаруживает угрозу и отправляет сообщение МЭ об угрозе, МЭ блокирует соединение с источником угрозы, блокирует IP-адрес на определенное время. Описание находится в следующих пунктах: •Установка обновлений для работы с IDS; |