In che modo CheckPoint R65 / R70 gestisce le violazioni IPS del traffico in uscita dagli host che sono in NAT? È necessario includere l'IP di NAT nell'elenco delle eccezioni o è sufficiente includere l'indirizzo IP privato?
Saluti
In che modo CheckPoint R65 / R70 gestisce le violazioni IPS del traffico in uscita dagli host che sono in NAT? È necessario includere l'IP di NAT nell'elenco delle eccezioni o è sufficiente includere l'indirizzo IP privato?
Saluti
Supponendo che si stiano eseguendo IPS e blade FW-1 su un singolo sistema, piuttosto che come standalone. Supponendo inoltre che le regole NAT facciano parte dello stesso modulo di imposizione FW-1 su cui è in esecuzione l'IPS.
Il pacchetto entrerà nel kernel del firewall, sarà elaborato per SecureXL / ClusterXL / CoreXL, il controllo della tabella di stato, blah blah blah, salirà la catena, sarà valutato rispetto alla base di regole di sicurezza, che determinerebbe se l'ispezione IPS è necessaria, quindi elaborata lungo la catena in uscita ... NATS applicato, crittografato / log e inviato al sistema operativo per il routing. Quindi l'IPS controllerebbe l'IP non tradotto.
Ho intenzione di ricontrollare i miei materiali SE quando arrivo a casa, ma ne sono sicuro al 99%.
Sicuramente "fw ctl chain" ti mostrerà l'ordine di elaborazione di tutti i tuoi componenti FW-1. quello che vorresti cercare è che sia passato a IPS prima che lasci "FW VM Outbound" (che verrebbe applicato alla base di regole NAT).
Nota a margine: l'architettura IPS è in realtà diversa in R65 e R70. R65 è il vecchio SmartDefense e R70 IPS deriva dall'acquisizione di Network Flight Recorder e dall'integrazione di tale tecnologia. Il metodo < = R65 per determinare se un pacchetto richiede NAT è con le regole (definizioni del servizio) nella rule base di sicurezza. Con R70 hai la tua base di regole IPS.
Leggi altre domande sui tag configuration network ids