Configurar Intrusion Prevention
Para utilizar Intrusion Prevention Service (IPS), debe tener una llave de licencia para activar el servicio. Para obtener más información, consulte:
Modos de Escaneo IPS
IPS tiene dos modos de escaneo
- Escaneo Completo — Escanea todos los paquetes para políticas que tengan IPS habilitado.
- Escaneo Rápido — Escanea menos paquetes dentro de cada conexión para mejorar el desempeño.
El modo de escaneo completo inspecciona una parte más grande del archivo y requiere más tiempo y recursos para completarse. El modo de escaneo rápido inspecciona una parte más pequeña de cada archivo que, en la mayoría de los casos, es suficiente para identificar todas las amenazas; además proporciona un rendimiento de IPS mucho mejor. WatchGuard recomienda usar el modo de escaneo Rápido en la mayoría de los entornos.
Niveles de Amenaza de IPS
El IPS categoriza las firmas de IPS en cinco niveles de amenaza, según la gravedad de la amenaza. Los niveles de gravedad, desde el más alto al más bajo son:
- Crítico
- Alto
- Medio
- Bajo
- Información
Cuando habilita el IPS, la configuración predeterminada es descartar y registrar el tráfico que coincida con los niveles de amenaza Crítico, Alto, Medio o Bajo. El tráfico que coincida con el nivel de amenaza de Información está permitido y no se registra de manera predeterminada.
Acciones de IPS
Para cada nivel de amenaza, puede seleccionar una de estas acciones:
- Permitir — Permite la conexión.
- Descartar — Deniega la solicitud específica y descarta la conexión. No se envía información al origen del contenido.
- Bloquear — Deniega la solicitud, descarta la conexión y agrega la dirección IP de origen del contenido a la lista de Sitios Bloqueados. Si el contenido que coincide con una firma del IPS provino de un cliente, la dirección IP del cliente se agrega a la lista de Sitios Bloqueados. Si el contenido provino de un servidor, la dirección IP del servidor se agrega a la lista de Sitios bloqueados.
Habilitar y Configurar IPS
Si su Firebox tiene una suscripción IPS activa, el Web Setup Wizard y el Quick Setup Wizard habilitan IPS automáticamente con la configuración recomendada. Para más información, consulte Políticas y Ajustes Predeterminados del Asistente Setup Wizard.
Cuando habilita IPS, aparece un mensaje de advertencia si las actualizaciones automáticas están deshabilitadas para las firmas del IPS. Para configurar actualizaciones automáticas, consulte Configurar el Servidor de Actualización del IPS.
- En Fireware Web UI, seleccione Servicios de Suscripción > Intrusion Prevention Service.
Si IPS tiene licencia, pero no está habilitado, el IPS Setup Wizard se inicia automáticamente. - Haga clic en Siguiente para comenzar.
- Seleccione el Modo de Escaneo.
- Para cada nivel de amenaza, en la lista desplegable Acción, seleccione la acción.
- Para cada nivel de amenaza, si desea enviar un mensaje de registro para una acción de IPS, marque la casilla de selección Registro.
- Para cada nivel de amenaza, para activar una alarma para una acción del IPS, marque la casilla de selección Alarma.
- Haga clic en Siguiente.
- Seleccione las políticas de Firewall que utilizan IPS. Haga clic en Siguiente.
- Haga clic en Finalizar.
- Seleccione Servicios de Suscripción > Intrusion Prevention Service.
- Si IPS no está habilitado, haga clic en Omitir para configurar los ajustes manualmente.
- Marque la casilla de selección Habilitar Intrusion Prevention.
- Seleccione el Modo de Escaneo. Puede seleccionar uno de dos modos: Escaneo Completo o Escaneo Rápido.
- Para cada nivel de amenaza, en la lista desplegable Acción, seleccione la acción.
- Para cada nivel de amenaza, si desea enviar un mensaje de registro para una acción de IPS, marque la casilla de selección Registro.
- Para cada nivel de amenaza, para activar una alarma para una acción del IPS, marque la casilla de selección Alarma.
- Haga clic en Guardar.
- Seleccione Servicios de Suscripción > Intrusion Prevention.
- Marque la casilla de selección Habilitar Intrusion Prevention.
- Seleccione el Modo de Escaneo.
- Para cada nivel de amenaza, en la lista desplegable Acción, seleccione la acción.
- Para cada nivel de amenaza, si desea enviar un mensaje de registro para una acción de IPS, marque la casilla de selección Registro.
- Para cada nivel de amenaza, para activar una alarma para una acción del IPS, marque la casilla de selección Alarma.
- Haga clic en Aceptar.
Si habilita IPS para una política de proxy-HTTPS, también debe habilitar la Inspección de Contenido en la acción de proxy-HTTPS, para que el IPS escanee el contenido HTTPS. Para más información, consulte Proxy HTTPS: Inspección de Contenido.
Configurar Otros Ajustes del IPS
Para mantener sus firmas actualizadas, asegúrese de haber habilitado las actualizaciones automáticas de las firmas de IPS.
- Para configurar los ajustes de actualización de las firmas, seleccione Actualizar Servidor. Para más información, consulte Configurar el Servidor de Actualización del IPS.
- Puede deshabilitar o habilitar IPS para cada política en su configuración. Para más información, consulte Habilitar o Deshabilitar el IPS para una Política.
- Para agregar firmas a la lista de excepciones, seleccione Firmas. Para más información, consulte Configurar Excepciones del IPS.
- Para configurar los ajustes de notificación para IPS, haga clic en Notificación. Para más información, consulte Establecer las Preferencias de Generación de Registros y Notificación.