Назад | Перейти на главную страницу

Есть ли польза от использования IPS для исходящего трафика?

Наверное, глупый вопрос, но все же может быть полезен не только мне.

У меня в филиале стоит брандмауэр Juniper SRX. Все порты заблокированы из Интернета во внутреннюю сеть. Все порты открыты из внутренней сети в Интернет.

Есть ли польза от использования на нем IPS?

Будет ли он защищать меня от любых атак, если все входящие порты заблокированы?

У меня в филиале стоит брандмауэр Juniper SRX. Все порты заблокированы из Интернета во внутреннюю сеть. Все порты открыты из внутренней сети в Интернет. Есть ли польза от использования на нем IPS? Будет ли он защищать меня от любых атак, если все входящие порты заблокированы?

Да, есть преимущество, и да, он может защитить от определенных типов проблем / атак.

В частности, вы блокируете только входящие соединения, любой взлом, который начинается на одном из ваших компьютеров и порождает исходящее соединение, все равно будет работать.

На один из ваших локальных компьютеров могут быть поставлены компромиссы из самых разных источников. Вот краткий (неполный) список векторов атаки:

  • вложения электронной почты
  • веб-сайты
  • привезенные извне хранилища (флешки, диски и т. д.)
  • зарядка устройств через USB (например Электронные сигареты)

IDS / IPS, отслеживающий исходящий трафик, может отслеживать и предотвращать попадание в Интернет скомпрометированных хостов в вашей сети. Это может предотвратить функции управления и контроля, возможность для кого-то вернуться в одно из этих подключений, установку дополнительных вредоносных программ, кражу данных и т. Д.

Это также дает вам дополнительное преимущество, информируя вас о скомпрометированных хостах, чтобы вы могли с ними справиться (возможно, до того, как они скомпрометируют другие хосты в вашей сети).