Configurer Intrusion Prevention
Pour activer et utiliser Intrusion Prevention Service (IPS), vous devez disposer d'une clé de fonctionnalité. Pour de plus amples informations, consultez :
- Obtenir une Clé de Fonctionnalité Firebox
- Ajouter ou Supprimer Manuellement une Clé de Fonctionnalité
Mode d'Analyse IPS
IPS possède deux modes d'analyse
- Analyse Complète — Analyse tous les paquets des stratégies pour lesquelles IPS est activé.
- Analyse Rapide — Analyse moins de paquets dans chaque connexion pour améliorer les performances.
Le mode Analyse complète inspecte une grande portion du fichier et nécessite davantage de temps et de ressources. Le mode d'analyse rapide inspecte une petite portion de chaque fichier qui, dans la plupart des cas, est suffisante pour identifier toutes les menaces, et offre de bien meilleures performances IPS. WatchGuard vous recommande d'utiliser le mode Analyse rapide dans la plupart des environnements.
Niveaux de Menace d'IPS
IPS classe ses signatures en cinq niveaux de menace, par rapport à leur sévérité. Les niveaux de menace sont (du plus important au moins important) :
- Critique
- Élevée
- Moyenne
- Basse
- Informations
Lorsque vous activez IPS, le paramètre par défaut est de supprimer et de consigner le trafic correspondant aux niveaux de menace Critique, Élevée, Moyenne et Basse. Par défaut, le trafic correspondant au niveau de menace Informations est autorisé et n'est pas consigné.
Actions IPS
Vous pouvez sélectionner l'une des actions suivantes pour chaque niveau de menace :
- Autoriser — Autorise la connexion.
- Abandonner — Refuse la requête et abandonne la connexion. Aucune information n'est envoyée à la source du contenu.
- Bloquer — Refuse la requête, abandonne la connexion et ajoute l'adresse IP de la source du contenu à la liste des Sites Bloqués. Si le contenu qui correspond à une signature IPS provient d'un client, l'adresse IP du client est ajoutée à la liste des Sites bloqués. Si le contenu provient d'un serveur, l'adresse IP du serveur est ajoutée à la liste des Sites Bloqués.
Activer et Configurer IPS
Si votre Firebox possède un abonnement IPS actif, l'assistant Web Setup Wizard ou Quick Setup Wizard active automatiquement IPS avec les paramètres recommandés. Pour plus d'informations, consultez Stratégies et Paramètres par Défaut de l'Assistant Setup Wizard.
Lorsque vous activez l'IPS, un message d'avertissement apparait si les mises à jour automatiques sont désactivées pour les signatures IPS. Pour configurer les mises à jour automatiques, voir Configurer le Serveur de Mise à Jour IPS.
- Dans Fireware Web UI, sélectionnez services d'Abonnement > Intrusion Prevention Service.
Si IPS possède une licence mais n'a pas été activé, l'assistant IPS Setup Wizard se lance automatiquement. - Cliquez sur Suivant pour commencer.
- Sélectionnez le Mode d'Analyse.
- Pour chaque niveau de menace, sélectionnez l'action dans la liste déroulante Action.
- Pour chaque niveau de menace, pour envoyer un message de journal pour une action d'IPS, cochez la case Journal.
- Pour chaque niveau de menace, pour déclencher une alarme pour une action d'IPS, cochez la case Alarme.
- Cliquez sur Suivant.
- Sélectionnez les stratégies de pare-feu qui utilisent IPS. Cliquez sur Suivant.
- Cliquez sur Terminer.
- Sélectionnez services d'Abonnement > Intrusion Prevention Service.
- Si IPS n'a pas été activé, cliquez sur Ignorer pour configurer manuellement les paramètres.
- Cochez la case Activer Intrusion Prevention.
- Sélectionnez le Mode d'Analyse. Vous pouvez sélectionner l'un des deux modes : Analyse Complète ou Analyse Rapide.
- Pour chaque niveau de menace, sélectionnez l'action dans la liste déroulante Action.
- Pour chaque niveau de menace, pour envoyer un message de journal pour une action d'IPS, cochez la case Journal.
- Pour chaque niveau de menace, pour déclencher une alarme pour une action d'IPS, cochez la case Alarme.
- Cliquez sur Enregistrer.
- Sélectionnez services d'Abonnement > Intrusion Prevention.
- Cochez la case Activer Intrusion Prevention.
- Sélectionnez le Mode d'Analyse.
- Pour chaque niveau de menace, sélectionnez l'action dans la liste déroulante Action.
- Pour chaque niveau de menace, pour envoyer un message de journal pour une action d'IPS, cochez la case Journal.
- Pour chaque niveau de menace, pour déclencher une alarme pour une action d'IPS, cochez la case Alarme.
- Cliquez sur OK.
Si IPS est activé dans une stratégie de proxy-HTTPS, il est également nécessaire d'activer l'Inspection de Contenu dans l'action de proxy-HTTPS afin qu'IPS analyse le contenu HTTPS. Pour plus d'informations, consultez Proxy HTTPS : inspection du contenu.
Configurer d'Autres Paramètres d'IPS
Pour conserver vos signatures à jour, assurez-vous d'activer les mises à jour automatiques des signatures IPS.
- Pour configurer les paramètres de mise à jour des signatures, sélectionnez Serveur de mise à jour. Pour plus d'informations, consultez Configurer le Serveur de Mise à Jour IPS.
- Vous pouvez désactiver ou activer IPS pour chaque stratégie de votre configuration. Pour plus d'informations, consultez Activer ou désactiver IPS pour une Stratégie.
- Pour ajouter des signatures à la liste d'exceptions, sélectionnez Signatures. Pour plus d'informations, consultez Configurer les Exceptions IPS.
- Pour configurer les paramètres de notification pour IPS, cliquez sur Notification. Pour plus d'informations, consultez Définir les préférences de Journalisation et de Notification.