Configurar Excepciones del IPS

Cuando habilita la función IPS, el Firebox examina el tráfico para buscar patrones de tráfico que coinciden con las firmas de intrusiones conocidas. Cuando ocurre una coincidencia con una firma del IPS, el Firebox deniega el contenido y bloquea la intrusión. Si desea permitir el tráfico bloqueado por una firma del IPS, puede buscar el número de identificación de la firma (la identificación de la firma) y agregarla a la lista de excepciones del IPS.

Encontrar la Identificación de la Firma del IPS

Cuando Firebox bloquea una conexión basada en una coincidencia con una firma del IPS, la identificación de la firma aparece en el archivo de registro si habilitó la generación de registros en el IPS. Para ver qué firma del IPS bloqueó la conexión, busque el archivo de registro del número de identificación de la firma del IPS. Si una firma del IPS bloquea una conexión que usted desea permitir, utilice la identificación de firma para agregar una excepción del IPS a fin de permitir esa conexión.

En Firebox System Manager o en Fireware Web UI, puede buscar la identificación de firmas de IPS para ver información acerca de la amenaza que una identificación de firma representa. Para más información, consulte Mostrar Información de las Firmas del IPS.

Agregue una excepción de firmas del IPS

  1. Seleccione Servicios de Suscripción > Intrusion Prevention Service.
    Se abre la página de configuración de IPS.
  2. Seleccione la pestaña Excepciones.
    Se abre la lista de excepciones de firma de IPS.
  3. Haga clic en Agregar.
    Se abre el cuadro de diálogo Agregar Excepción.

Screen shot of the Signature Exceptions dialog box

  1. En el cuadro de texto Identificación, ingrese la identificación de la firma de IPS que desea agregar.
  2. De la lista desplegable Acción, seleccione la acción que desea que IPS realice para esta firma. Las acciones disponibles son:
  • Permitir — Permite la conexión.
  • Descartar — Deniega la solicitud específica y descarta la conexión. No se envía información al origen del contenido.
  • Bloquear — Deniega la solicitud, descarta la conexión y agrega la dirección IP de origen del contenido a la lista de Sitios Bloqueados. Si el contenido que coincide con una firma del IPS provino de un cliente, la dirección IP del cliente se agrega a la lista de Sitios Bloqueados. Si el contenido provino de un servidor, la dirección IP del servidor se agrega a la lista de Sitios bloqueados.
  1. Para enviar un mensaje de registro para esta excepción de IPS, marque la casilla de selección Registrar.
  2. Si desea enviar una alarma para esta excepción de IPS, seleccione la casilla de selección Alarma.
  3. Haga clic en Aceptar.
    La excepción se agrega a la lista de excepciones de firmas.

Screen shot of the IPS Exceptions tab

  1. Haga clic en Guardar

Para editar la configuración para una excepción, seleccione la excepción y haga clic en Editar.

Para eliminar una excepción, seleccione la excepción y haga clic en Eliminar.

  1. Seleccione Servicios de Suscripción > Intrusion Prevention.
    Se abre el cuadro de diálogo Intrusion Prevention Service.

Screen shot of the Intrusion Prevention Service dialog box - Settings tab

  1. Haga clic en Excepciones.
    Se abre el cuadro de diálogo Excepciones de Firmas.

Screen shot of the Signature Exceptions dialog box

  1. En el cuadro de texto Identificación de Firma, ingrese la identificación de la firma que desea agregar.
  2. De la lista desplegable Acción, seleccione la acción que desea que IPS realice para esta firma. Las acciones disponibles son:
  • Permitir — Permite la conexión.
  • Descartar — Deniega la solicitud específica y descarta la conexión. No se envía información al origen del contenido.
  • Bloquear — Deniega la solicitud, descarta la conexión y agrega la dirección IP de origen del contenido a la lista de Sitios Bloqueados. Si el contenido que coincide con una firma del IPS provino de un cliente, la dirección IP del cliente se agrega a la lista de Sitios Bloqueados. Si el contenido provino de un servidor, la dirección IP del servidor se agrega a la lista de Sitios bloqueados.
  1. Para enviar un mensaje de registro para esta excepción de IPS, marque la casilla de selección Registrar.
  2. Si desea enviar una alarma para esta excepción de IPS, seleccione la casilla de selección Alarma.
  3. Haga clic en Agregar.
    La excepción se agrega a la lista de excepciones de firmas.

Para editar la configuración de una excepción, haga clic en la columna Acción, Alarma o Registro en la tabla de Excepciones de Firma.

Para eliminar una excepción, haga clic en la excepción y haga clic en Eliminar.

Ver También

Configurar Intrusion Prevention