TSSLTD

Устройство МКСЗ «Diamond Next» поддерживает возможность анализировать сетевой трафик. При обнаружении сетевой атаки в зависимости от режима работы, сетевой трафик может быть обработан или заблокирован.

Актуальная база сигнатурных правил включает в себя порядка 35000 правил, что позволяет реагировать практически на любые сетевые угрозы. База с правилами обновляется на регулярной основе несколько раз в неделю. Обновление сигнатурных правил можно производить локально или в автоматическом режиме с авторизованного сервера. Поддерживается возможность написания собственных сигнатурных правил.

При детектировании сетевой атаки происходит запись в журнал системы обнаружения или предотвращения вторжений, а также записывается файл с атакой в формате pcap для дальнейшего расследования инцидента. Устройство может быть установлено как в разрыв канала передачи данных, так и подключено через span порт. При установке устройства в разрыв канала передачи данных механизм детектирования можно активировать либо в прозрачном режиме, либо в стандартном режиме.

• Подключение устройства через SPAN порт: Подключение через SPAN порт (Т-образное подключение) позволяет перенаправлять сетевой трафик с других устройств на устройство МКСЗ Diamond Next для дальнейшего анализа подсистемой обнаружения вторжений. Устройство может осуществлять анализ трафика на нескольких сетевых интерфейсах.

• Прозрачный режим работы: Прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован.

• Стандартный режим работы: Стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика.

Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.