NGFW Континент 4

Межсетевое экранирование. Система обнаружения вторжений.

Обработка трафика узлом безопаности

Сетевые пакеты, поступающие на узел безопаности, обрабатываются в следующем порядке:

  1. Модуль поведенческого анализа
  2. Отслеживание соединений
  3. Destination NAT
  4. QoS входящего трафика - приоритизация входящего трафика
  5. Межсетевое экранирование
  6. Web-фильтр
  7. Контроль приложений
  8. Управление соединениями
  9. Обнаружение вторжений
  10. Маршрутизация - поддерживается динамическая и статическая маршрутизация
  11. Source NAT - трансляция пакета с заменой адреса отправителя
  12. QoS исходящего трафика - приоритизация исходящего трафика

Сетевые функции

Настройка сетевых параметров выполняется в МК, через свойства УБ

К сетевым функциям относятся:

Межсетевое экранирование

Система обнаружения вторжений

Модуль поведенческого анализа

  • предназначен для обнаружения и предотвращения:
    • атак сканирования
    • атак на основе корректности протоколов
    • угроз типа "отказ в обслуживании"
  • в основе работы - методики анализа характеристик сетевого трафика, с учётом их изменений во времени с помощью набора шаблонов атак
  • анализирует внешний и внутренний трафик, в том числе трафик, поступающий из VPN-туннелей
  • для блокировки трафика МПА создаёт правила фильтрации
  • при обнаружении атаки выполняется одно из следующих действий:
    • регистрация событий в журнале сетевой безопаности и отражение их в консоли мониторинга и аудита
    • регистрация событий в журнале сетевой безопасности и временная блокировка источника атаки
    • сбор статистики

Отслеживание соединений

  • предназначено для идентификации всех пакетов, составляющих поток, и их последующей обработки
  • собранные данные используются в правилах МЭ и NAT

Destination NAT

  • трансляция адреса с заменой адреса получателя
  • используется для преобразования транзитных пакетов
  • решаемые задачи:
    • сокрытие структуры внутренней сети за одним публичным адресом
    • предоставление пользователям с неуникальными внутрисетевыми адресами доступа к внешним сетям общего пользования
    • обеспечение доступа извне к внутрисетевым сервисам: по определённым портам, с переопределением портов и по всем портам (обычно используется для доступа к сервисам из DMZ)

Web-фильтр

  • обрабатывает трафик на уровне протоколов HTTP, HTTPS и FTP
  • web-/ftp-фильтры описываются следующими параметрами:
    • адрес - доменное имя сервера-получателя
    • схема - схема адресации ресурсов интернета (FTP, HTTP или HTTPS)
    • методы - методы запроса выбранного прикладного протокола
    • контент - список MIME-заголовков и расширений файлов
    • маршруты - веб-страницы, имена загружаемых файлов или соответствующие регулярные выражения
    • описание - краткое описание фильтра в произвольной форме
  • имеются встроенные фильтры Лаборатории Касперского и правила SkyDNS
  • работает по принципу "man-in-the-middle"
  • поддерживает HTTPS-инспекцию трафика с подменой сертификатов
  • Не применяется в тех средах, где используется защита от HTTPS-инспекции
  • для сохранения доступа в средах с защитой от HTTPS-инспекции необходимо создавать исключения
  • существуют встроенные исключения, а также можно создавать пользовательские исключения

Контроль приложений

  • дополнительная проверка сетевого трафика (приложений и протоколов)
  • проводится по транспортным протоколам TCP и UDP
  • порт получателя может быть любым

управление соединениями предусматривает:

  • управление отслеживанием связанных соединений по определённым протоколам
  • просмотр средствами локального управления списка установленных соединений, с возможностью их удаления
  • настройка разрыва соединений на узле безопасности при установлении политики

осуществляется отслеживание связанных соединений для следующих протоколов:

  • FTP;
  • GRE;
  • H.323;
  • PPTP;
  • SIP;
  • TFTP

предусмотрено отключение отслеживания связанных соединений. может выполняться как для правил фильтрации, так и для правил трансляции

Настройка сетевых интефейсов

  • любой интерфейс может иметь несколько адресов;
  • параметры сетевого интерфейса:
    • тип интерфейса (не определён, внутренний, внешний, мониторинг, Inline, порт коммутатора);
    • для внешнего интерфейса способ определения топологии: автоматический, комбинированный;
    • при комбинированном способе из списка адресов исключаются адреса частных сетей;

    • для внутреннего интерфейса способ определения топологии: автоматический, ручной;
    • название, IP-адрес и маска;
    • разрешенный протокол: OSPF, BGP;
    • для внешнего интерфейса: защита от подмены IP-адреса (Антиспуфинг);

Агрегация интерфейсов.

  • объединение физических интерфейсов в один логический;
  • настройку можно производить только после появления в ЦУС сведений об интерфейсах узла безопасности;
  • приоритет интерфейсов определяется их порядком в списке выбранных интерфейсов (наивсший приоритет у верхнего интефейса);
  • режим агрегации: Active-Backup, LACP (802.3ad);

  • LACP - способ агрегации, при котором выбор интерфейса происходит по вычисленной определённым образом хеш-функции (возможные варианты: Layer2, Layer2+3, Layer3+4 )

  • сетевые настройки агрегированного интерфейса наследуются от сетевых настроек интерфейсов, составляющих этот агрегированный интерфейс
  • флаг DF - запрещает фрагментацию пакета. Возможные значения: Сбросить, Не менять
  • Анонсируемые адреса ЦУС - адреса, по которым узлы безопасности могутфлаг DF - запрещает фрагментацию пакета. Возможные значения: Сбросить, Не менять подключаться к ЦУС в случае, когда основной адрес ЦУС недоступен (например, ЦУС расположен за NAT)
  • Дополнительные адреса на УБ - адреса, по которым УБ могут подключаться к ЦУС в случае, если основной адрес ЦУС недоступен для УБ
  • Анонсируемый адрес ЦУС устанавливается на ЦУС и распроостраняется на все подчинённые УБ; дополнительный адрес настраивается индивидуально для каждого узла

  • VLAN-интерфейсы: поддерживаются, настройка осуществляется только после появления в ЦУС сведений о физических интерфейсах УБ
  • Задаваемые параметры: VLAN ID и имя интерфейса, на котором создаётся VLAN

  • Bridge-интерфейс - используются в качестве портов виртуального коммутатора, могут иметь адрес и передавать трафик из L2VPN в L3VPN
  • Если bridge-интерфейс не используется в составе виртуального коммутатора, то для него должен быть задан режим Transparent или STP
<< >>

Настройка таблицы маршрутизации

  • настройка динамической маршрутизации осуществляется в следующем порядке:
    • формируется конфигурационный файл;
    • на УБ активируется режим динамической маршрутизации и загружается файл конфигурации в БД ЦУС;
    • осуществляется сохранение настроек и установка политики на узел безопасности

Настройка DNS и NTP

  • настройка выполняется в Менеджере конфигурации через раздел "Структура", свойства узла безопасности
  • настройка через меню локального управления: Сеть -> Настройка DNS

  • в роли NTP-сервера может выступать сам ЦУС или внешний NTP-сервер;
  • синхронизация осуществляется каждый час, наиболее точный сервер выбирается автоматически;
  • если NTP работает под управлением Windows, то на нём должны быть настроены следующие параметры:
    • regedit SYSTEM\CurrentControlSet\Services\W32Time\Config\LocalClockDispersion = 0 ;
    • regedit SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags = 5
  • настройка в Менеджере конфигурации: Структура -> свойства узла безопасности -> Дата и время
  • в случае настройки NTP через Менеджер конфигурации, есть возможность задать симметричный ключ для внешнего сервера

  • настройка в меню локального управления: Настройки -> Системное время -> Настройка NTP
  • в меню локального управления не предусмотрена установка симметричного ключа для NTP-сервера

Multi WAN

  • предоставляют возможность настроить подключение УБ одновременно к нескольким провайдерам;
  • предусмотрены следующие режимы:
    • передача трафика в соответствии с таблицей маршрутизации;
    • обеспечение отказоустойчивости канала связи;
    • балансировка трафика между внешними интерфейсами
  • Multi WAN на ЦУС и резервном ЦУС не поддерживается
  • попадает трафик только от внутренних интерфейсов, исходящий трафик распределяется в соответствии с заданными правилами WAN
  • исходящие ICMP-пакеты в Multi WAN не попадают, а обрабатываются в соответствии со статическими маршрутами таблицы main
  • в Multi WAN не должен попадать:
    • трафик сети синхронизации кластера;
    • трафик управления и логирования;
    • трафик от УБ в сторону хостов, расположенных за внутренними интерфейсами этого УБ;
    • трафик, проходящий между всеми внутренними интерфейсами и не предназначенный к отправке в каналы WAN
  • для предотвращения попадания нежелательного трафика в WAN-каналы, администратор должен создать соответствующие правила-исключения
  • при установке политики прохождение трафика прерывается; для минимизации прерывания трафика нужно настроить маршрут по умолчанию
  • настройка Multi WAN включает:
    • включение режима Multi WAN и настройку основных параметров;
    • настройку WAN-каналов;
    • формирование правил WAN;
    • установку политики на УБ
  • настройка Multi WAN (общие параметры):
    • "Сбрасывать соединения при переключении каналов";
    • "Выполнять автоматическую трансляцию отправителя";
  • параметры настройки каналов Multi WAN:
    • внешний интерфейс, подключаемый к сети провайдера;
    • агрегированный интерфейс не может быть использован в качестве WAN-канала;
    • следующий узел - адрес шлюза по умолчанию, предоставленный провайдером;
    • краткое описание
    • параметры отслеживания:
      • "Регистрировать событие при отказе канала"
      • "Регистрировать событие при восстановлении канала"
  • установка параметров диагностики:
    • "Количество успешных попыток" для определения восстановления канала WAN;
    • "Количество неуспешных попыток" для определения отказа канала WAN
    • настройка контрольной точки, по доступности которой будет оцениваться работоспособность канала WAN
    • параметры контрольной точки: Состояние, Название, Метод (TCP(handshake) или ICMP(ping)), Адрес, Порт, Ожидание ответа (Макс.время - 3000 мс)
    • максимальное количество контрольных точек - 2
  • Формирование правил WAN:
  • используются следующие объекты ЦУС: Пользователи, Протоколы и приложения, Страны, DNS-имена, Временные интервалы, Классы трафика, УБ, отличные от УБ, на котором настроен Multi WAN
  • для каждого транзитного правила WAN автоматически создаётся дублирующее локальное правило, в котором отбрасываются внутренние интерфейсы и адреса отправителя
  • правила-исключения должны быть расположены в начале списка правил WAN
  • Формирование правил WAN (продолжение):
  • параметры правила WAN:
    • номер правила;
    • отправитель;
    • получатель;
    • сервис;
    • интерфейс: внутренний интерфейс, используемый в качестве точки входа;
    • тип правила: резервирование, балансировка, исключение;
    • канал: список каналов WAN для режимов Балансировка и Резервирование
<< >>

Правила приоритизации (QoS)

  • поддерживается работа следующих механизмов QoS:
    • приоритизация трафика;
    • минимизация джиттера для трафика реального времени;
    • маркировка IP-пакетов;
    • управление приоритетом трафика при его передаче по VPN
  • предусмотрены следующие уровни приоритета:
    • Реального времени,
    • Наивысший,
    • Высокий,
    • Выше среднего,
    • Средний,
    • Ниже среднего,
    • Низкий,
    • Неприоритетный
  • минимизация джиттера - приоритетная задача при передаче потокового трафика
  • достигается назначением наивысшего приоритета потоковому трафику

  • маркировка пакетов осуществляется с помощью DSCP-метки в заголовке пакета

  • для управления приоритетом применяется метод HFCP с дополнительными параметрами:
    • доля общей полосы пропускания, выделенная для каждого приоритета
    • максимальная полоса пропускания, устанавливаемая каждому приоритета

  • порядок настройки приоритизации трафика:
    • активация компонента QoS для УБ;
    • создание правил приоритизации трафика;
    • настройка профилей и привязка к ним правил приоритизации;
    • назначение профилей трафика интерфейсам УБ
  • приоритизация трафика активируется в свойствах УБ;
  • правила приоритизации настраиваются в Контроль доступа -> Приоритизация трафика;
  • параметры правила приоритизации:
    • Название;
    • Фильтр: Отправитель, Получатель, Сервис, Класс трафика, Объём (передаваемых данных для сессии);
    • Действие: Маркировка (добавление ToS-байта с информацией о приоритете в заголовок пакета, подходящего под правило), Приоритет
    • Временной интервал;
    • Лог;
    • Узлы безопасности, на которые должно быть установлено правило;
    • Краткое описание
  • профили приоритизации настраиваются в Контроль доступа -> Приоритизация трафика -> Профили приоритизации правила;
  • параметры профиля приоритизации исходящего трафика:
    • Название, Описание и Тип трафика;
    • Пропускная способность: "Ограничена пропускной способностью интерфейса" или "Скорость исходящего трафика"
    • Параметры очереди интерфейса для исходящего трафика:
      • Приоритет;
      • Ограничение ширины канала (%): Минимум, Максимум;
      • Скорость, Кбит/с
  • параметры профиля приоритизации входящего трафика:
    • Название, Описание и Тип трафика;
    • Пропускная способность: "Ограничена пропускной способностью интерфейса" или "Скорость исходящего трафика"
<< >>

Настройка DHCP

  • может работать в двух режимах: сервер и ретранслятор;
  • режим ретранслятора (DHCP Relay) используется в том случае, если DHCP-сервер недоступен для компьютеров напрямую;
  • настройка выполняется через Менеджер конфигурации: свойства узла безопасности -> DHCP;
  • настраиваемые параметры:
    • режим работы DHCP: Сервер, Ретранслятор;
      • Сервер,
      • Ретранслятор
  • для режима Сервер определяются:
    • Интерфейс,
    • Пул адресов,
    • Шлюз по умолчанию,
    • DNS-адреса,
    • Время аренды,
    • Постоянные адреса,
    • Параметры загрузки по сети,
    • Опции DHCP-сервера
  • для режима Ретранслятор определяются:
    • адрес DHCP-сервера,
    • параметры ретранслятора (ID сервера, Circuit ID, Remote ID),
    • параметры ретранслятора устанавливаются автоматически
<< >>

Межсетевое экранирование. Общие сведения.

  • межсетевой экран предназначен для защиты сегментов сети от несанкционированного доступа;
  • настройка МЭ осуществляется путём определения правил фильтрации и трансляции;
  • правила фильтрации и трансляции выполняются по порядку, от первого до последнего;
  • по умолчанию в Континент 4 настроена политика "Всё запрещено";
  • фильтрация пакетов выполняется до и после обработки пакета блоком криптографической защиты;
  • правила фильтрации подразделяются на:
    • системные (встроеннные) - формируются автоматически, при инициализации ЦУС;
    • пользовательские
  • фильтрация трафика осуществляется на основании:
    • адресов отправителя и получателя;
    • DNS-имени;
    • пользователя;
    • сервиса;
    • страны;
    • типа протокола;
    • номеров интерфейсов

Web-фильтрация трафика

  • осуществляется проверка пакетов на прикладном уровне;
  • web-фильтры используют следующие параметры:
    • адрес - доменное имя получателя;
    • схема - схема адресации (HTTP, HTTPS или FTP);
    • методы - методы запроса выбранного протокола;
    • контент - список MIME-заголовков и расширений файлов;
    • маршруты - название веб-страниц, имена загружаемых файлов или соответствующие регулярные выражения;
    • описание - краткое описание фильтра
  • комплекс поставляется с предустановленными группами фильтров от Лаборатории Касперского и вендорскими правилами SkyDNS;
  • поддерживается вскрытие HTTPS-трафика. Если веб-ресурсы используют защиту от HTTPS-инспекции, тогда использование web-фильтрации невозможно. Для сохранения доступа к таким ресурсам создаётся набор исключений.
  • Контроль приложений
  • дополнительная проверка трафика;
  • проверка проводится только для трафика по протоколам TCP или UDP;

  • Управление соединениями предусматривает:
    • управление механизмом отслеживания связанных соединений;
    • просмотр связанных соединений средствами локального управления;
    • настройка разрыва соединений при устаноке политики;
    • поддерживаются: GRE, FTP, H.323, PPTP, SIP, TFTP
<< >>

Объекты ЦУС

  • перед созданием правил фильтрации и трансляции создаются объекты ЦУС;
  • в правилах могут использоваться следующие объекты ЦУС:
    • Сетевой объект - отправитель или получатель пакета, может быть адрес, подсеть или диапазон адресов;
    • Сервис - протокол передачи, порт отправителя и/или получателя;
    • Пользователь - пользователь защищаемой сети;
    • Протоколы и приложения - те протоколы и приложения, трафик по которым можно обнаружить;
    • Узел безопасности - узел безопаности, на который будет установлено правило;
    • Страна - код страны отправителя/получателя пакета;
    • DNS-имя - DNS-имя получателя/отправителя пакета;
    • Временной интервал - расписание действия правила;
    • Класс трафика - класс трафика, назначаемый в правилах приоритизации
  • Объект Пользователь используется в качестве отправителя в правилах удалённого доступа и правилах фильтрации
  • Пользователи могут загружаться из:
    • локальной БД ЦУС;
    • из Active Directory

  • Пользователи аутентифицироваться:
    • по паролю;
    • по сертификату

  • за использование объектов Страна отвечает специальный модуль GeoProtection;
  • чтобы использовать GeoProtection требуется лицензия
  • Создание сертификата пользователя:
    • перейти "Администрирование" -> "Сертификаты" -> "Персональные сертификаты"
    • персональный сертификат использует алгоритм ГОСТ

  • Для загрузки пользователей из AD:
    • настроить профиль LDAP, для этого:
    • перейти "Администрирование" -> "LDAP"
    • установить следующие параметры:
      • Имя профиля;
      • Имя домена и базу поиска;
      • УЗ администратора домена;
      • Параметры подключения к DC: имя сервера, адрес и порт
    • импортировать пользователей из AD в локальную базу ЦУС
  • предусмотрена группировка следующих сетевых объектов:
    • страны
    • сервисы;
    • DNS-имена;
    • приложения;
    • пользователи;
    • сетевые объекты;
    • узлы безопаности;
<< >>

Правила фильтрации

  • правила фильтрации создаются: "Контроль доступа" -> "Межсетевой экран";
  • правила фильтрации можно объединять в группы правил;

  • модуль Контроль приложений
  • дополнительная проверка пакетов, после проверки правилами фильтрации;
  • данный модуль работает через TCP и UDP;
  • может работать совместно с системой обнаружения вторжений;
  • не может использоваться совместно с защитой от вредоносных web-сайтов;
  • имеется базовый и расширенный контроль приложений;
  • Web-/FTP-фильтрация
  • профиль Web-фильтрации не может быть установлен одновременно с контролем приложений;
  • для разных прикладных протоколов должны быть созданы разные web-/ftp-фильтры, профили и правила фильтрации;
  • в правиле с профилем фильтрации необходимо указывать конкретный сервис для конкретного типа профиля;
  • правило с профилем должно быть последним в списке для данной сети;
  • правила для Multi WAN не должны пересекаться с правилами Web-/FTP-фильтрации;
  • необходимо создать 2 разных профиля: для Web-/FTP-фильтрации (с группами пользователей и/или URL-категории и/или фильтры Касперского/Кода безопасности) и для сервисов ECAP
  • для модулей URL-фильтрация по категориям, Антивирус и защита от вредоносных сайтов требуется отдельная лицензия
  • Антивирус
  • обеспечивается настройкой ECAP-сервисов;
  • обеспечивает дополнительную проверку пакетов по хеш-функциям вирусов;
  • в комплексе предусмотрены встроенные хеш-функции вирусов от Лаборатории Касперского;
  • также, администратор может создавать пользовательские хеш-функции вирусов;
  • Антивирус (продолжение)
  • Пользовательское определение хеш-функций вирусов представляет из себя json-массив объектов
  • Пример:
    • [{
    • ″md5″:″AAD4AF9090485E80DE17A00D63216295″,
    • ″name″:″Virus.MSExcel.Agent.c″,
    • ″size″:61495
    • }]
<< >>

Правила трансляции

  • преобразование адресов пакетов, проходящих через межсетевой экран;
  • режимы работы трансляции:
    • Не транслировать - правила трансляции не применяются;
    • Отправителя (Source NAT) - изменение адреса отправителя;
    • Получателя (Destination NAT) - изменение адреса получателя и, дополнительно, порта получателя;
    • Отобразить - изменение адреса отправителя один к одному (размерности транслируемых подсетей должны совпадать);
  • настройка правил трансляции осуществляется через Менеджер конфигурации;
  • в Менеджере конфигурации: Контроль доступа -> Трансляция сетевых адресов
  • параметры правила трансляции:
    • номер и название правила;
    • интерфейс - задаётся только в том случае, если для правили указан конкретный узел безопасности;
    • Для sNAT - это интерфейс, через который должен быть отправлен пакет; для dNAT - это интерфейс, через который должен быть принят пакет;
    • установить и описание;
  • параметры правила трансляции:
    • Блок Исходный пакет
    • Отправитель;
    • Получатель;
    • Сервис;

    • Блок Преобразованный пакет
    • Трансляция - режим трансляции адресов;
    • Отправитель;
    • Получатель;
    • Сервис;
<< >>

Протоколы и порты

ЦУС:

  • TCP/22 - подключение по ssh к ЦУС;
  • TCP/80 - передача списка отозванных сертификатов CRL;
  • TCP/443 - передача данных мониторинга между АРМ администратора и ЦУС; передача обновлений с сервера обновлений на ЦУС; мониторинг
  • TCP/444 - подключение МК к ЦУС;
  • TCP/4431 - подключение к web-мониторингу с криптографией по ГОСТ;
  • TCP/6666 - канал управление между ЦУС и УБ;
  • TCP/8888 - передача журналов с УБ на ЦУС;
  • UDP/67 - приём/отправка пакетов от/к DHCP-серверу;
  • UDP/123 - передача данных NTP;
  • UDP/161 - передача snmp-данных мониторинга между АРМ администратора и ЦУС;
  • UDP/10000-10255 - передача данных по VPN-каналам

Узел безопасности:

  • TCP/22 - подключение по ssh к ЦУС;
  • TCP/80 - взаимодействие с Порталом аутентификации;
  • TCP/443 - взаимодействие с Сервером доступа и Порталом аутентификации;
  • UDP/67 - приём/отправка пакетов от/к DHCP-серверу;
  • UDP/123 - передача данных NTP;
  • UDP/161 - передача snmp-данных мониторинга между АРМ администратора и ЦУС;
  • UDP/10000-10255 - передача данных по VPN-каналам;
  • UDP/3780,4334,5405 - передача данных синхронизации в кластере
<< >>

Система обнаружения вторжений

  • дополнительная проверка трафика на наличие сетевых атак;
  • СОВ контролирует:
    • сетевой адрес;
    • используемый порт;
    • значение полей сетевого пакета;
    • идентификаторы протоколов;
    • размер полей пакета;
    • интенсивность трафика
  • предусмотрена работа в 2 режимах работы УБ:
    • СОВ в режиме УБ UTM;
    • СОВ в режиме УБ ″Детектор атак″
  • предусмотрено 2 режима работы СОВ:
    • по схеме Monitor;
    • по схеме Inline
  • анализ трафика осуществляется с использованием сигнатурного метода. В комплексе предусмотрены встроенные и пользовательские решающие правила
  • определённый набор решающих правил привязывается к профилю СОВ. Профиль СОВ также содержит эвристический анализатор для контроля трафика приложений
  • порядок настройки СОВ (предполагается, что узлы безопасности уже подготовлены и подключены к ЦУС):
    • Загрузить в репозиторий лицензию ДА;
    • Настроить режим работы ДА по соответствующей схеме включения;
    • Сформировать набор пользовательских решающих правил;
    • Создать и настроить профиль СОВ;
    • Создать правила политики СОВ;
    • Сохранить выполненные настройки, установить политику на ДА и ЦУС
  • Переменные СОВ - используются в решающих правилах для определения домашней и внешней подсетей, для указания источника и приёмника
  • если БРП обновлена после истечения лицензии на обновление БРП:
    • новые правила на детектор атак установлены не будут;
    • правила, которые были удалены в обновлённой базе, удалятся с детектора атак;
    • правила, которые были изменены в обновлённой базе, не обновятся
  • создание пользовательских решающих правил (описание полей):
    • Описание - вкладка ″Общие сведения″, описание правила в свободной форма;
    • Класс - вкладка ″Общие сведения″, класс трафика, выбирается из заранее определённого списка;
    • Ревизия - вкладка ″Общие сведения″, номер версии правила;
    • Ссылки - вкладка ″Общие сведения″, ссылки на ресурсы Интернета с описанием атаки;
    • Важность - вкладка ″Общие сведения″, уровень значимости атаки;

    • Протокол - вкладка ″Параметры″;
    • Направление - вкладка ″Параметры″;
    • группа параметров Источник - вкладка ″Параметры″, адрес и порт источника;
    • группа параметров Приёмник - вкладка ″Параметры″, адрес и порт получателя;

    • Сигнатура - вкладка ″Сигнатура″, сигнатура атаки

    • значение поля sid не может превышать 4 000 000;
    • в рамках одной процедуры импорта может быть загружено не более 50 000 пользовательских сигнатур
  • способ противодействия, назначаемый для правил БРП, которые изменяются после обновления БРП:
    • Не менять способ противодействия - способ противодействия для обновлённых встроенных сигнатур не будет изменён;
    • Блокировать - способ противодействия для обновлённых встроенных сигнатур изменится на ″Блокировать″
    • Оповещать - способ противодействия для обновлённых встроенных сигнатур изменится на ″Оповещать″
    • Пропустить - способ противодействия для обновлённых встроенных сигнатур изменится на ″Пропустить″
<< >>