¿Cómo controla CheckPoint R65 / R70 las violaciones de IPS del tráfico saliente de los hosts con NAT? ¿Es necesario incluir la dirección IP de NAT en la lista de excepciones o es suficiente para incluir la dirección IP privada?
Saludos
¿Cómo controla CheckPoint R65 / R70 las violaciones de IPS del tráfico saliente de los hosts con NAT? ¿Es necesario incluir la dirección IP de NAT en la lista de excepciones o es suficiente para incluir la dirección IP privada?
Saludos
Suponiendo que está ejecutando IPS y FW-1 blade en un solo sistema, en lugar de estar parado. También suponiendo que las reglas de NAT son parte del mismo módulo de cumplimiento FW-1 en el que se ejecuta el IPS.
El paquete entrará en el kernel del servidor de seguridad, se procesará para SecureXL / ClusterXL / CoreXL, comprobación de la tabla de estados, bla, bla, bla, subirá la cadena, se evaluará contra la base de reglas de seguridad, lo que determinaría si la inspección de IPS es necesaria, luego se procesará en la cadena de salida ... NATS aplicado, cifrado / registro y envío al sistema operativo para enrutamiento. Entonces el IPS verificará la IP no traducida.
Voy a revisar dos veces mis materiales de SE cuando llegue a casa pero estoy 99% seguro de esto.
Seguro que 'fw ctl chain' le mostrará el orden de procesamiento de todos sus componentes FW-1. lo que estaría buscando es que se pase a IPS antes de que salga de "FW VM Outbound" (que se aplicaría con la base de reglas NAT).
Nota al pie: La arquitectura IPS es realmente diferente en R65 y R70. R65 es el antiguo SmartDefense y R70 IPS proviene de la adquisición de Network Flight Recorder y la integración de esa tecnología. El método < = R65 para determinar si un paquete requiere NAT es con reglas (definiciones de servicio) en la base de reglas de seguridad. Con R70, tienes tu propia base de reglas IPS.
Lea otras preguntas en las etiquetas network configuration ids