Comments 14
Какую пропускную способность он у вас вытягивает?
Приветствую!
Мы запустили цикл статей, этой информацией поделимся в одной из следующих публикаций, немного терпения=)
Какую в итоге функциональность из всей рекламируемой включили? Сигнатуры IPS все 100% включены или только по-умолчанию?
В рамках первой статьи больше работал с IPS. Модуль WAF немного затронул, но в него стоит глубже погружаться. В целях тестирования включал все, но стоит разделять тестирование и продуктивную историю. Беспорядочно включать все, думаю, что сами понимаете, смысла особого не имеет. Я сторонник того, что лучше исходить от конкретной задачи и под нее настраивать необходимые модули или сигнатуры.
а откуда вызнаете какая конкретная задача у хакера? )
Безусловно, мы не обладаем информацией о намерениях атакующего, но мы знаем, что защищаем. Поясню свою мысль на простом примере. Допустим, что в парке вашей организации находятся исключительно хосты на базе nix'овых OS. При настройке вашего NGFW стоит это учитывать. Не стоит включать сигнатуры, которые актуальны для Win машин.
У меня даже дома парк ИТ средств меняется со скоростью, которая мне неподвластна. Представляете какая скорость изменений ИТ средств и программного обеспечения в организациях где 1000 и более человек?
Если кто-то принесет Windows в сеть, то вы сразу же сможете включить сигнатуры? А как вы узнаете, что кто-то принес Windows? ) Или какой у вас план на этот случай? )
Подход, который вы описываете, обычно рассказывают сотрудники Check Point и Cisco, потому что у них не получается включить все сигнатуры без кардинального падения производительности. Поэтому им приходится выключать все сигнатуры, которые повышают задержки для трафика, идущего через устройство с этими проверками.
Интересно! Ждем продолжения))
Хмм, NGAF, очень интересно.. Ждём продолжения!
Эволюция NGFW: тестируем новинку Sangfor NGAF