Differences

This shows you the differences between two versions of the page.

--- tssltd:система_обнаружения_вторжений [2025/01/14 12:21] – i.sharapov
+++ tssltd:система_обнаружения_вторжений [2025/01/17 15:08] (current) – i.sharapov
@@ Line 4: / Line 4: @@
 <WRAP indent>
-Устройство МКСЗ «Diamond Next» можно использовать для детектирования и блокировки сетевых атак. Актуальная база сигнатур, которая еженедельно обновляется и включает в себя порядка 35000 правил, позволяет реагировать практически на любые сетевые угрозы. Обновление сигнатурных правил можно производить локально или в автоматическом режиме с авторизованного сервера. Поддерживается возможность написания собственных сигнатурных правил.
+Устройство <wrap em>МКСЗ «Diamond Next»</wrap> поддерживает возможность анализировать сетевой трафик. При обнаружении сетевой атаки в зависимости от режима работы, сетевой трафик может быть обработан или заблокирован.
-При детектировании сетевой атаки происходит запись в журнал системы обнаружения или предотвращения вторжений, а также записывается файл с атакой в формате pcap для дальнейшего расследования инцидента. Поддерживается возможность написания собственных сигнатур. Устройство может быть установлено как в разрыв канала передачи данных, так и подключено через span порт. При установке устройства в разрыв канала передачи данных механизм детектирования можно активировать либо в прозрачном режиме до механизма межсетевого экранирования, либо в стандартном режиме после механизма межсетевого экранирования. Прозрачный режим позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. Стандартный режим позволяет анализировать очищенный сетевой трафик, который прошел через механизм фильтрации. Стандартный режим работы может затрачивать меньшее количество ресурсов, чем прозрачный режим.
+Актуальная база сигнатурных правил включает в себя порядка 35000 правил, что позволяет реагировать практически на любые сетевые угрозы. База с правилами обновляется на регулярной основе несколько раз в неделю. Обновление сигнатурных правил можно производить локально или в автоматическом режиме с авторизованного сервера. Поддерживается возможность написания собственных сигнатурных правил.
+При детектировании сетевой атаки происходит запись в журнал системы обнаружения или предотвращения вторжений, а также записывается файл с атакой в формате pcap для дальнейшего расследования инцидента. Устройство может быть установлено как в разрыв канала передачи данных, так и подключено через span порт. При установке устройства в разрыв канала передачи данных механизм детектирования можно активировать либо в прозрачном режиме, либо в стандартном режиме.
+  *** Подключение устройства через SPAN порт:** Подключение через SPAN порт (Т-образное подключение) позволяет перенаправлять сетевой трафик с других устройств на устройство МКСЗ Diamond Next для дальнейшего анализа подсистемой обнаружения вторжений. Устройство может осуществлять анализ трафика на нескольких сетевых интерфейсах.
+{{ :tssltd:ids_1.jpg |}}
+  *** Прозрачный режим работы:** Прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован.
+{{ :tssltd:ids_2.jpg |}}
+  *** Стандартный режим работы:** Стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.
+{{ :tssltd:ids_3.jpg |}}
 </WRAP>
 [[tssltd:мксз_diamond_next|Вернуться к оглавлению]]