Configurer les Exceptions IPS
Lorsque vous activez la fonctionnalité IPS, le Firebox vérifie le trafic et y recherche des modèles correspondant aux signatures d'intrusions reconnues. Lorsqu'une correspondance de signature IPS se produit, le Firebox refuse le contenu et l'intrusion est bloquée. Si vous souhaitez autoriser le trafic bloqué par une signature IPS, vous pouvez rechercher le numéro identifiant de la signature et ajouter cette dernière à la liste d'exceptions IPS.
Rechercher l'identifiant de signature IPS
Lorsque le Firebox bloque une connexion sur la base d'une correspondance avec une signature IPS, l'identifiant de signature apparaît dans le fichier journal si vous avez activé la journalisation pour IPS. Pour savoir quelle signature IPS a bloqué la connexion, recherchez le numéro d'identifiant de signature IPS dans le fichier journal. Si une connexion que vous souhaitez autoriser est bloquée par une signature IPS, utilisez l'identifiant de signature pour ajouter une exception IPS autorisant cette connexion.
Ajouter une exception de signature IPS
- Sélectionnez services d'Abonnement > Intrusion Prevention Service.
La page de configuration IPS s'ouvre. - Sélectionnez l'onglet Exceptions.
La liste des exceptions de signatures IPS s'ouvre. - Cliquez sur Ajouter.
La boîte de dialogue Ajouter une Exception s'ouvre.
- Dans la zone de texte ID, saisissez le numéro identifiant la signature IPS que vous souhaitez ajouter.
- Dans la liste déroulante Action, sélectionnez l'action que vous voulez faire adopter à IPS pour cette signature. Les actions disponibles sont :
- Autoriser — Autorise la connexion.
- Abandonner — Refuse la requête et abandonne la connexion. Aucune information n'est envoyée à la source du contenu.
- Bloquer — Refuse la requête, abandonne la connexion et ajoute l'adresse IP de la source du contenu à la liste des Sites Bloqués. Si le contenu qui correspond à une signature IPS provient d'un client, l'adresse IP du client est ajoutée à la liste des Sites bloqués. Si le contenu provient d'un serveur, l'adresse IP du serveur est ajoutée à la liste des Sites Bloqués.
- Pour envoyer un message de journal pour cette exception IPS, cochez la case Journal.
- Pour envoyer une alarme pour cette exception IPS, cochez la case Alarme.
- Cliquez sur OK.
L'exception est ajoutée à la liste d'Exceptions de signatures.
- Cliquez sur Enregistrer
Pour modifier les paramètres d'une exception, sélectionnez l'exception et cliquez sur Modifier.
Pour supprimer une exception, cliquez sur l'exception, puis sur Supprimer.
- Sélectionnez services d'Abonnement > Intrusion Prevention.
La boîte de dialogue Intrusion Prevention Service s'ouvre.
- Cliquez sur Exceptions.
La boîte de dialogue Exceptions de Signatures s'ouvre.
- Dans la zone de texte ID de signature, inscrivez le numéro identifiant la signature que vous souhaitez ajouter.
- Dans la liste déroulante Action, sélectionnez l'action que vous voulez faire adopter à IPS pour cette signature. Les actions disponibles sont :
- Autoriser — Autorise la connexion.
- Abandonner — Refuse la requête et abandonne la connexion. Aucune information n'est envoyée à la source du contenu.
- Bloquer — Refuse la requête, abandonne la connexion et ajoute l'adresse IP de la source du contenu à la liste des Sites Bloqués. Si le contenu qui correspond à une signature IPS provient d'un client, l'adresse IP du client est ajoutée à la liste des Sites bloqués. Si le contenu provient d'un serveur, l'adresse IP du serveur est ajoutée à la liste des Sites Bloqués.
- Pour envoyer un message de journal pour cette exception IPS, cochez la case Journal.
- Pour envoyer une alarme pour cette exception IPS, cochez la case Alarme.
- Cliquez sur Ajouter.
L'exception est ajoutée à la liste d'Exceptions de signatures.
Pour modifier les paramètres d'une exception, cliquez sur la colonne Action, Alarme ou Journal dans le tableau Exceptions de Signatures.
Pour supprimer une exception, cliquez sur l'exception, puis sur Supprimer.