IPSの最適化

IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade（侵入防止システム）。は、お客様のネットワークを脅威から守る堅牢なソリューションです。本章の推奨事項を実施することで、最適なセキュリティとパフォーマンスを維持することができます。

チェック・ポイントでは、HTTP、DNS、SMTP などのプロトコルを重視した業界標準のトラフィックに基づいて、パフォーマンスへの影響と深刻度を評価します。ネットワークトラフィックに他のネットワークプロトコルが多く含まれる場合、ゲートウェイへの検査の影響や攻撃に対するリスクの重大性を評価する際に、それを考慮する必要があります。

パフォーマンスインパクトの管理

Check Point Security Gateway は、ネットワークを保護するために多くの機能を備えています。ネットワークトラフィックの負荷が高い場合、これらのセキュリティ機能は、ゲートウェイの迅速なトラフィック通過能力を圧迫する可能性があります。IPSは、セキュリティの必要性とネットワークの高いパフォーマンスを維持する必要性のバランスをとる機能を備えています。

負荷時バイパス

IPS を環境に組み込むには、ゲートウェイでBypass Under Load を有効にし、ネットワークの使用量が多いときに IPS の活動を停止させるようにします。IPS検査は、接続性と性能に違いをもたらすことができます。通常、パケット検査にかかる時間は目立たないが、高負荷時には致命的な問題になることがある。IPSは、トラフィックを検査せずにゲートウェイを通過させ、ゲートウェイのリソースが許容レベルに戻った後に、IPSが検査を再開します。

ベストプラクティス- IPS の保護は一時的に無効になるため、Bypass Under Load は Threat Prevention の初期展開時にのみ適用してください。Gatewayの保護とパフォーマンスを最適化した後、この機能を無効にして、ネットワークが攻撃から保護されていることを確認します。

高負荷時にIPSインスペクションをバイパスする方法

ステップ	手順
1	SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Gateways& Serversをクリックし、Security Gatewayをダブルクリックします。ゲートウェイウィンドウが開き、General Properties ページが表示されます。
2	ナビゲーションツリーでIPSをクリックします。
3	Bypass IPS inspection when gateway is under heavy loadを選択します。
4	IPS がオフの間の活動のログを設定するには、Track ドロップダウンリストで、追跡方法を選択します。
5	高負荷の定義を設定するには、Advanced をクリックします。
6	High フィールドには、「Heavy Load」を定義するCPU Usage とMemory Usage のパーセンテージを入力し、その時点で IPS 検査がバイパスされます。
7	Low フィールドには、「重負荷」から「通常負荷」への復帰を定義するCPU Usage およびMemory Usage のパーセンテージを記入してください。
8	OKをクリックします。をクリックして、Gateway Load Thresholds のウィンドウを閉じます。
9	OKをクリックします。。
10	Threat Preventionポリシーをインストールします。

チューニングプロテクション

IPSポリシー設定

IPSポリシー設定により、いくつかの基本的な決定を行うことで、保護機能全体を制御することができます。重要度が低いものや信頼度が低いものを含めて多数の保護機能を有効にすると、さまざまな攻撃を防ぐことができますが、ログやアラートの量が多くなり、管理が困難になる可能性があります。このようなセキュリティレベルは、機密性の高いデータやリソースには必要かもしれませんが、高いセキュリティを必要としないデータやリソースに適用した場合、意図しないシステムリソースやログ管理の課題を引き起こす可能性があります。

ベストプラクティス- IPS ポリシー設定を調整し、最も効率的な方法で検査作業を集中させます。システムのパフォーマンスとログの発生が快適なレベルに達したら、IPSポリシーの設定を変更して、より多くの保護機能を盛り込み、セキュリティレベルを向上させることができます。個々の保護機能は、IPSポリシーの設定を上書きするように設定することができます。

IPSポリシーの詳細については、「保護機能を自動的に有効化する」を参照してください。

注：IPS保護を無効にする前に、慎重にリスク評価を行う必要があります。

重要度の高い保護対策に注力

IPSの保護は、深刻度によって分類されています。管理者は、ある種の攻撃はネットワーク環境に対して最小限のリスクしかもたらさないと判断することがあります（低重度攻撃とも呼ばれます）。システムリソースとログをよりリスクの高い攻撃の防御に集中させるために、より深刻度の高い保護機能のみをオンにすることを検討してください。

高信頼性プロテクションにフォーカス

IPSの保護は、攻撃を検知する高度な手法で設計されていますが、捉えどころのない特定の攻撃を検知するためには、幅広い保護定義が必要です。これらの信頼度の低い保護機能は、システムの異常や自作アプリケーションであるトラフィックに反応して、実際の攻撃ではないものの、検査やログを生成することがあります。より信頼度の高い保護機能のみをオンにして、確実に攻撃を検知する保護機能に集中することを検討してください。

IPSネットワーク例外は、脅威とならないトラフィックのロギングを回避するためにも有効です。

低性能の衝撃保護に注力

IPSは、マルチギガビットのスループットを維持しながら、トラフィックの分析を行うことができるように設計されています。一部の保護機能では、トラフィックが攻撃されていないか検査するために、より多くのシステムリソースを必要とする場合があります。ゲートウェイが使用するシステムリソースの量を減らすために、影響の少ない保護機能のみをオンにすることを検討してください。