Подключился к данному сервису.
"Порадовало" большое количество сигнатур.
Сразу встал вопрос, как все это хозяйство правильно настроить.

Вот что я сделал у себя:
1) для SMTP
# Action Signature(s)
1 Protect IDS_SMTP*

2) для POP3
# Action Signature(s)
1 Protect IPS_POP3*

3) для HTTP
# Action Signature(s)
1 Protect IDS_HTTP*
2 Protect IDS_BROWSER*
3 Protect IDS_WEB*
4 Protect IDS_TROJAN_GENERAL
5 Protect IDS_VIRUS_GENERAL

Кстати,
после Protect IDS_HTTP*, перестало грузиться большое количество новостных сайтов. Не понятно в чем проблема.
после Protect IPS_POP3*, некоторые письма не удается загрузить с сервера.


А как у вас настроено, если это не секрет конечно?

В дополнение, перестала работат авторизация на Web-почтовых клиентах.

Делаю вывод, что IDS штука опасная.

Подскажите, есть ли подробное описание механизма IDP/IPS?
(руководство читал)

Есть образец настройки http://ftp.dlink.ru/pub/FireWall/How%20 ... 20rule.doc

Sergey Vasiliev, с настройкой все понятно.
Не понятно, как работают сами сигнатуры. Почему они блокируют определенные вещи, я об этом выше писал.

Сигнатура представляет из себя маску, которая накладывается на проходящий трафик, если есть совпадение, тогда устройство действует согласно настроенным правилам.

это тоже понятно.
Но что делать, например, если я задал сигнатуру для POP3
# Action Signature(s)
1 Protect IPS_POP3*

после этого при получении писем, почтовые клиенты, во время приема определенных писем подвисают( на этих письмах) ?

Идет ожидание, пока DFL полностью не проанализирует содержимое письма.

Спасибо)

А не срабатываение авторизации почты в web клиенте?
для HTTP
# Action Signature(s)
1 Protect IDS_HTTP*

А некоторые сайты (новостные особенно) грузятся по 20 мин и более

Sergey Vasiliev, подскажите пожалуйста, если анализ письма длиной несколько килобайт длится 20 минут это нормально?

Письма, с некоторыми вложениями(pdf документы) не отходят, если
активны настройки для SMTP
# Action Signature(s)
1 Protect IDS_SMTP*

Вы можете прочитать как срабатывает каждая сигнатура в Status -> IDP / IPS Status Приведите суда что там выводится.

Sergey Vasiliev, спасибо.

В том то и дело, что в статусе пусто, хотя стоит галочка выводить в лог.
Либо почтовый клиент не получает отклик от сервера и поэтому сам прерывает передачу, либо что-то еще.

Можно конечно включать по одной сигнатуре и смотреть работает или нет, но это непродуктивно.
Вот.

Описания сигнатур можно посмотреть тут http://security.dlink.com.tw/netdefend_ ... 8#celllist к сожалению поиск не реализован, и придется искать вручную.

Спасибо, Сергей.
Как раз хотел об этом спросить.