Thiết bị IPS Proventia G200 không những có khả năng ngăn chặn các tấn công thâm nhập qua các dấu hiệu tấn công mà nó còn có khả năng của một tường lửa thông thường, qua đó ngăn chặn một phần những gói tin không hợp lệ vào trong miền mạng cần bảo vệ.
Chúng ta có thể sử dụng các luật firewall để ngăn chặn tấn công từ các nguồn và đích của gói tin.
Các luật của tường lửa chỉ được thực hiện khi thiết bị ở trong hình thái Inline, ở hình thái Passive, nó sẽ không làm gì, còn ở Simulation, nó sẽ miêu tả quá trình thực hiện luật những không thực hiện nó.
Chúng ta có thể tạo ra các luật cho tường lửa dựa vào những tiêu chí sau
• Adapter
• Tầm VLAN
• Giao thức (TCP, UDP, hay ICMP)
• Khoảng IP và cổng nguồn, đích
Các hành động xử lý của tường lửa khi một gói tin trùng khớp với luật đặt ra như sau :
• Ignore: Cho phép gói tin trùng khớp đi qua, không có bất cứ hành động hay phản hồi nào sau đó.
• Protect: Gói tin trùng khớp sẽ được xử lý bởi những phản hồi thông thường logging, drop (không phải là hành động drop của tường lửa thông thường),RealSecure Kills, và Dynamic Blocking. (xem thêm trong phần cấu hình phản hồi).
• Monitor: Hoạt động như một danh sách IP “trắng”, tức là bỏ qua phản hồi Dynamic Blocking, Drop, RSKill. Tuy nhiên các phản hồi khác vẫn được áp dụng. Chú ý: hành động monitor mặc định bỏ qua RSKill tuy nhiên chúng ta có thể thiết lập lại bằng cách đặt giá trị sensor.whitelistresets thành true (1).
• Drop: Chặn gói tin không cho qua tường lửa. Khác với những tường lửa thông thường, tường lửa của IPS là trong suốt nên sẽ không có địa chỉ. Những gói tin bị chặn này sẽ phản hồi lại cho bên gửi rằng là mục tiêu không trả lời. Bên gửi sẽ cố gắng gửi lại một số lần và sẽ bị time out.
• Drop and Reset: Giống như hành động drop nhưng sẽ gửi một gói tin ngắt tới nguồn để bên nguồn ngắt kết nối nhanh hơn.
Cũng như các tường lửa khác, các luật của tường lửa trong IPS được đọc từ trên xuống dưới. Giả sử nếu một gói tin trùng khớp với luật có hành động Ignore đặt ở trên, tất cả phần còn lại của luật tường lửa sẽ không được đọc nữa. Ta có thể thấy rõ hơn qua ví dụ dưới đây :
Adapter any IP src addr any dst addr xxx.xx.x.xx tcp dst port 80 (Action = “ignore”)
adapter any ip src addr any dst addr xxx.xx.x.1-xxx.x.x.255 (Action = “drop”)
Luật đầu tiên cho phép tất cả các lưu thông mạng qua cổng 80 của máy xxx.xx.x.xx đi qua như là một lưu thông hợp lệ, tất cả các lưu thông khác bị chặn. Tuy nhiên nếu đảo ngược 2 luật trên, tất cả các lưu thông đều bị chặn, kể cả lưu thông tới web server trên máy xxx.xx.x.xx ở cổng 80.
Cần nhắc lại rằng các luật của tường lửa chỉ hoạt động khi thiết bị ở hình thái inline.
Để tắt hay bật tính năng tường lửa
1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules. 2. Muốn bật tính năng tường lửa hay không?
Nếu có, chọn Firewall Rules check box. Nếu không thì đến bước 3.
Nếu có, bỏ Firewall Rules check box. Nếu không, kết thúc ở đây.
Để thêm một luật tường lửa
1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules. 2. Nhấn Add.
Cửa số gõ tên hiện ra.
3. Gõ tên luật rồi nhấn OK. Luật đã được thêm vào danh sách. 4. Muốn bật tính năng lưu vết cho luật này hay không?
Nếu có chọn Log.
Nếu không, bỏ tùy chọn Log.
5. Chọn một hành động cho luật tường lửa từ danh sách hành động. Những hành động chọn được là : “Ignore” “Monitor” “Protect” “Drop” “DropAndReset”
6. Từ thực đơn File, chọn save. Một cửa sổ xác nhận xuất hiện. 7. Nhấn OK.
8. Nhấn Close.
Để loại bỏ một luật tường lửa
1. Trong cửa sổ Policy Editor chọn thẻ Firewall Rules.
2. Chọn một luật trong thanh bên phải rồi nhấn Remove. Luật sẽ được loại bỏ. 3. Từ thực đơn File nhấn Save và xác nhận.
4. Nhấn OK.
5. Từ thực đơn File chọn Close.
Sau khi tùy chỉnh luật tường lửa, cần áp dụng luật vào thiết bị.