faq обучение настройка
Текущее время: Пт мар 29, 2024 03:45

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 10:55 
Не в сети

Зарегистрирован: Вт окт 10, 2017 13:10
Сообщений: 12
Добрый день! Есть локальная сеть на более чем 40 машин. Выход в Интернет через DFL-800. Никаких серверов в локальной сети нет. Нужно настроить систему предотвращения атак с помощью IDP Rule. Задачи: 1. Защита от стандартных сетевых атак. 2. Минимальная нагрузка на DFL-800. Ситуация типичная для большинства пользователей DFL-800, но к сожалению, в инструкции нет примеров. Там только для защиты почтового трафика. Помогите, пожалуйста!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 11:20 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
SNMP\syslog - и реакция на соответствующие события :-) вас спасет .... а далее как хотите :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 11:27 
Не в сети

Зарегистрирован: Вт окт 10, 2017 13:10
Сообщений: 12
Vladimir22 писал(а):
SNMP\syslog - и реакция на соответствующие события :-) вас спасет .... а далее как хотите :-)

А можно какие то настройки по умолчанию. Я не разу не настраивал и не знаю с чего начинать.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 11:50 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
для вас . это не тривиальная задача
;-)
начните с понимания
https://ru.wikipedia.org/wiki/SNMP
https://ru.wikipedia.org/wiki/Syslog

для общего развития :-)
viewtopic.php?f=3&t=174391

но у вас - нет же серверов :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 12:08 
Не в сети

Зарегистрирован: Вт окт 10, 2017 13:10
Сообщений: 12
Vladimir22 писал(а):
для вас . это не тривиальная задача
;-)
начните с понимания
https://ru.wikipedia.org/wiki/SNMP
https://ru.wikipedia.org/wiki/Syslog
для общего развития :-)
viewtopic.php?f=3&t=174391
но у вас - нет же серверов :-)


Спасибо за информацию. С протоколом SNMP я знаком и с Syslog тоже. По ним я вопросов не задавал, но рад, что Вы показали свои знания в пользовании Википедии.
Вопрос к специалистам: "Я хочу фильтровать веб и почтовый трафик на сетевые угрозы. Какие сигнатуры мне использовать, чтобы обеспечить какую-никакую защиту и минимальную загрузку DFL-800?". Это будет стартовая настройка, а в дальнейшем я уже буду углубляться.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 13:19 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Для использования IPS/IDP необходимы активные подписки на этот пакет. Он у Вас точно есть (куплен) и активирован? Если нет, то дальнейший диалог не имеет смысла.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 13:25 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
какая нибудь защита . и минимальная нагрузка на DFL. это не совместима ...
сделайте прокси... там фильтруйте . а DFL все таки межсетевой экран :-)

да и на сколько я помню для 800-го уже как то с подписками тяжело стало. если не совсем конец :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 14:03 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Vladimir22 писал(а):
какая нибудь защита . и минимальная нагрузка на DFL. это не совместима ...
Ну, не, Володь, если не разбирать трафик, то потянет.

Vladimir22 писал(а):
да и на сколько я помню для 800-го уже как то с подписками тяжело стало. если не совсем конец :-)
И это правда.
Купить и активировать подписки для DFL серии 210/800/1600/ уже невозможно.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 15:40 
Не в сети

Зарегистрирован: Вт окт 10, 2017 13:10
Сообщений: 12
MTRX подписки на пакет есть на три месяца. С тайванского Длинка мне недавно отписали, что они обратно добавили поддержку старых устройств на сервер активации, и на DFL-800 уже снова можно активировать триальные ключи. Очень надеюсь, что через три месяца базы сигнатур останутся, а не удалятся.
Теперь по теме. Почитал я еще раз документацию. Настроил отправку логов через SMTP, правда не знаю, приходят ли они, и как это проверить. Создал IDP Rule, выбрал сигнатуру, которая, судя по составу будет защищать нашу локальную сеть от сетевых атак. Посмотрите пожалуйста, я все правильно сделал?


Вложения:
IDP.JPG
IDP.JPG [ 99.73 KiB | Просмотров: 3826 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-800 и IDP Rule
СообщениеДобавлено: Пт окт 27, 2017 17:49 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Будьте осторожны с подписками и очень внимательны с включением IPS/IDP Rules.
Одним движением Вы легко можете парализовать работу офиса.

Правильно или нет Вы сделали - сложно судить, я занимался этой темой лет 8-10 назад, нужно было заблокировать P2P трафик и иже с ним ICQ, Skype и прочее, что я успешно выполнил при помощи IPS/IDP, положив сначала весь трафик в офисе :) , а потом заблокировал только P2P. По окончании действия годового пакета была куплена старшая железка DFL и управление трафиком пользователей было настроено при помощи бесплатного и нелимитированного по времени прокси-сервера из пакета Endian Firewall Community. Так было удобнее для нас.

Одним словом, возводить DFL до уровня UTM NGTP (Next Generation Threat Prevention) мы не стали. Оставили его на уровне NGFW, чем он и по сей день успешно занимается на менее ответственном участке.

Сейчас у меня стоит кластер из CPCB 61000 :D
Изображение === Изображение

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 39


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB