Сканирование всего трафика набором сигнатур, доступных в UserGate, и блокирование всех обнаруженных совпадений не являются оптимальным решением для защиты сети, так как:
-
Система обнаружения и предотвращения вторжений является одним из самых ресурсоёмких механизмов UserGate, соответственно, сканирование большим количеством сигнатур может создать чрезмерную нагрузку на устройство, а также вносит серьёзную задержку в передачу трафика.
-
Возможно большое количество ложных срабатываний. Например, многие системы мониторинга для проверки доступности сетевого оборудования используют «пустые» пакеты ICMP, которые с точки зрения СОВ - подозрительный трафик. Очевидно, что такой трафик нужно исключить из обработки СОВ.
Во избежание вышеуказанных проблем и обеспечения надёжной защиты сети необходимо корректно настроить работу системы обнаружения и предотвращения вторжений. СОВ может работать в реактивном и проактивном режиме, которые будут рассмотрены далее.