Добрый день.
Извиняюсь, но я не нашёл внятного ответа на свой вопрос.
Имеется домашняя локальная сеть, в которой живут 3 компьютера со стартным набором программ, торрентами, скайпами, icq, DC+ и им подобными.
От оператора эта сеть огорожена DFL-210 с реальным IP. Он обеспечивает NAT и мапит требуемые порты в локалку.
Ограничений внутри локалки нет - сеть-то домашняя.

Задача:
Как наиболее простым способом настроить политики для контроля трафика, чтобы не прошла зараза снаружи. Подписка куплена и активирована.

Спасибо. Игорь.

NAT сам по себе достаточно мощная защита (кроме дурака).

К тому же, что вы понимаете под "заразой"?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Зараза - это все что может быть внутри P2P, Http, ICQ и прочего. Т.к. в месяц через этот DFL проходит до 10TB траффика.

P2P, ICQ - могут только определяться и блокироваться.
НТТР - можно блокировать при помощи ALG определенные типы файлов и/или сайты.

На бОльшее расчитывать не стоит - DFL это все-таки отличный девайс, но 3 уровня.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Насколько я понимаю, смысл ips и ids защиты состоит в перлюстрации пакетов и соотношении их структуры с определёнными правилами, полученными по подписке. А после нужно настроить девайс, чтобы он принимал меры при обнаружение соответствия пакетов контенту обновлямой подписки, а это кстати далеко не уровень приложений.
А ALG - это совершенно другой механизм и к превентивной защите он может иметь отношение только на уровне направления трафика на анализ. Мне совсем не нужно резать положительный контент.
И например нет механизма ALG на пиринговые сети, Skype, ICQ и другие приложения.

Так профессора из ДЛИНК мне ответят наконец-то?

И ещё раз:
мне дадут ответ на вопрос?
Спасибо.

Эти механизмы предусмотрены только для блокирование атак и блокирование некоторых типов трафика. Данные сервисы работает на 7 уровне, отсюда ограничение, невозможность работы с шифроваными пакетами, т.к. устройсво не может их проанализировать.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Замечательно!
Так как включить эти режимы?
Или для каждого типа сигнатуры писать своё правило - это же несерьёзно - там же 250 строк. Даже если прочитать значение каждой на http://security.dlink.com.tw - раньше устройство следующего поколения выйдет.
К примеру. При маппинге порта внутрь локалки для битторента что включать?
IDS_P2P_POLICY
POLICY_P2P_EMULE
POLICY_P2P_GENERAL
POLICY_P2P_GNUTELLA
POLICY_P2P_POLICY
или ещё чего?

Как настроить правило защиты при маппинге?

Добавляете правло в IDS/IPD и на него уже накладываете сигнатуры. пример есть как на диске с устройством так и на security.dlink.tw

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Так что, их все по очереди 250 штук накладывать?
На каждое правило открытых портов?
Если мапятся 8 портов - это же около 2000 правил!!

и вообще на security.dlink.tw я нашёл описание для обновлений только. Где там общее описание этих 250 сигнатур?

А зачем все? вы видимо не совсем владете ситуацией, атаки могут быть осуществлены только на определенные сервисы, например атакой предназначенной на SQL сервер вы никак не повредите почтовому серверу.

Для того чтоб применять IDP/IPS надо понимать что делаете и зачем.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Так вот я и не могу найти описания внятной привязки сигнатур к сервисам.
Как на закладке сервисы:
Name Type Parameters Comments
bootpc UDP 68 Bootstrap protocol (also DHCP) client
all_services IPProto 0-255 All possible IP protocols

По всем позициям на вкладке IDP Factory Signatures

А для этого надо понимать какая атака может быть использована против какого сервиса и следить за уязвимостями, эта функция для профессионалов. Описание сигнатур есть на security.dlink.com.tw[/b]

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо за помощь. Вроде все как прояснилось. Начало работать.
А то в своём соку варюсь - даже посоветоваться было не с кем. Все советчики верхушек нахватались, а таких слов как IPS и IDS даже не слышали.

Остался один вопрос - чем характерны группы POLICY?