Реактивный режим - защита от уже известных уязвимостей. Для максимально эффективной работы СОВ в реактивном режиме необходимо поддерживать актуальность базы данных сигнатур.
При использовании реактивного режима работы системы обнаружения и предотвращения вторжений необходимо настроить три типа правил:
-
Правила-исключения: трафик, соответствующий условиям правил, не обрабатывается СОВ, что снижает нагрузку на устройство и количество ложных срабатываний. Для данных правил необходимы зоны/адреса источника/назначения.
-
Блокирующие правила для проверки трафика на наличие актуальных сигнатур и блокировки нежелательной сетевой активности. Наборы сигнатур определяются профилем СОВ.
Правила, записывающие срабатывания сигнатур в журнал СОВ и не блокирующие трафик, необходимы для накопления статистики. Администратору необходимо периодически анализировать журнал срабатываний правил СОВ и при обнаружении угроз, не являющихся ложным срабатыванием, добавлять сигнатуры в профили, использующийся в правилах второго типа.
Данные правила могут применяться постоянно или периодически (в целях снижения нагрузки).
Обновление базы сигнатур происходит регулярно при наличии подписки на модуль Security Updates (SU).
Настройка правил производится в разделе Политики безопасности --> СОВ; настройка профилей СОВ - в разделе Библиотеки --> Профили СОВ.