IPSプロファイル設定の構成

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。Security Policies > Threat Preventionを選択します。

2

Custom Policy Toolsセクションで、Profilesをクリックします。

Profiles ページが表示されます。

3

プロファイルを右クリックし、Edit をクリックします。

4

ナビゲーションツリーでIPS > Additional Activationをクリックします。

5

プロファイルのカスタマイズされた保護機能を設定する(「アクティベーション・フィールドの追加」を参照)。

6

ナビゲーションツリーでIPS > Pre-R80 Settingsをクリックします。

7

新しくダウンロードされたIPS閉じた さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。プロテクションの設定を行う(「更新情報」を参照)

8
  1. ナビゲーションツリーでIPS > Pre-R80 Settingsをクリックします。
  2. 該当するClient およびServer の保護機能を有効にします(「R80以前の設定」を参照)。
  3. このプロファイルから除外するIPS保護カテゴリを設定します(「R80以前の設定」を参照)。

:これらのカテゴリーは、Additional Activation のページの保護機能とは異なります。

9

OKをクリックします。。

10

Install Policyをクリックします。

アクティベーション・フィールドの追加

さらに細かく設定するには、Profile 設定ウィンドウのAdditional Activation セクションで、有効化する IPS 保護と無効化する IPS 保護を選択することができます。IPSのプロテクションは、製品ベンダー脅威年などのタグ(カテゴリー)に分類され、検索しやすいように整理されています。ゲートウェイは、一般的なプロファイル保護設定に関係なく、アクティブな保護を実施し、非アクティブな保護は実施しません。

  • Activate IPS protections according to the following additional properties - 選択すると、このページで設定したカテゴリがプロファイルの IPS 保護を変更します。

    • Protections to activate - このセクションのIPS保護カテゴリーは、このThreat Preventionプロファイルを使用するSecurity Gatewayで有効になります。

    • Protections to deactivate - このセクションのIPS保護カテゴリは、このThreat Preventionプロファイルを使用するSecurity Gatewayでは有効ではありません。

    これらのカテゴリは、アクティベーションモードの閾値(信頼性、重大性、性能)に準拠した保護機能のみをフィルタリングし、追加します。

    例えば、保護機能が「パフォーマンス」評価で非アクティブになっている場合、そのカテゴリがProtections to activate になっていても有効にはなりません。

更新情報

IPSでは、数多くのプロテクションが用意されています。自分の環境に関連するものを使いこなすには時間がかかります。基本的なセキュリティの設定が簡単にでき、安全に自動起動できるものもあります。

Threat Preventionプロファイルでは、新たにアップデートされたIPSプロテクションのアップデートポリシーを設定することができます。この操作は、Profiles のナビゲーションツリーにあるIPS > Updates のページで行うことができます。

  • Active - According to profile settings -デフォルトで選択されています。保護機能は、Profile のGeneral ページにある設定に従って有効になります。これは、Check Point が推奨する設定です。

    Set activation as staging mode - 新しくアップデートされた保護機能は、設定を変更するまでステージング・モードのままです。ステージングモードのプロテクションのデフォルトの動作は、検出閉じた UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。です。IPSProtections ページでアクションを手動で変更することができます (「プロテクションの活性化」参照)。

    Configure をクリックすると、特定の保護機能をステージングモードから除外することができます。

  • Inactive - 新規にアップデートされたプロテクトが有効にならない

ベストプラクティス- 初期段階では、IPS ポリシーに基づく保護を IPS が有効にするようにします。この間、IPSが生成するアラートやネットワークトラフィックの処理方法を分析しながら、トラフィックの流れに与える影響を最小限に抑えることができます。その後、必要に応じて保護設定を手動で変更することができます。

R80以前の設定

R80 以前の設定は、R80 以前のゲートウェイにのみ関連します。

Protections Activation

  • Client Protections - クライアント(パーソナルコンピュータなど)のみを保護するプロテクションを有効にする場合に選択します。

  • Server Protections - サーバのみを保護するプロテクションを有効にする場合に選択します。

    ネットワークにクライアントのみ、またはサーバのみが存在する場合、プロテクションを解除することでゲートウェイのパフォーマンスを向上させることができます。Client ProtectionsとServer Protectionsを選択すると、それを除くすべての保護が有効になります。

    • ここで選択されたオプションで除外される

    • アプリケーションの制御やエンジンの設定

    • パフォーマンスへの影響 - クリティカルと定義される

Excluded Protections Categories

Do not activate protections of the following categories - ここで選択したIPSの保護カテゴリは、自動的に有効になるわけではありません。ルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。のアクションにこのプロファイルを持つThreat Preventionポリシールール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。から除外されます。