Présentation des politiques de prévention des intrusions
Les politiques de prévention des intrusions sont des ensembles définis de configurations de détection et de prévention des intrusions qui inspectent le trafic à la recherche de violations de la sécurité et qui, dans les déploiements en ligne, peuvent bloquer ou modifier le trafic malveillant. Les politiques de prévention des intrusions sont invoquées par votre politique de contrôle d'accès et constituent la dernière ligne de défense du système avant que le trafic ne soit autorisé à atteindre sa destination.
Les règles de prévention des intrusions sont au cœur de chaque politique de prévention des intrusions. Une règle activée oblige le système à générer des incidents d'intrusion pour le trafic correspondant à la règle (et au bloquer éventuellement). La désactivation d’une règle arrête le traitement de la règle.
Le système fournit plusieurs politiques de base en matière de prévention des intrusions, qui vous permettent de profiter de l’expérience de Cisco Talos Intelligence Group (Talos). Pour ces politiques, Talos définit les états des règles de prévention des intrusions et de l’inspecteur (activé ou désactivé), et fournit les configurations initiales pour d’autres paramètres avancés.
![]() Astuces |
Les politiques d’analyse de prévention des intrusions et de réseau fournies par le système portent le même nom, mais contiennent des configurations différentes. Par exemple, la politique d’analyse de réseau équilibrée, sécurité et connectivité, et la politique de prévention des intrusions, sécurité et connectivité équilibrées fonctionnent ensemble et peuvent toutes deux être mises à jour dans les mises à jour des règles de prévention des intrusions. Cependant, la politique d’analyse de réseau régit principalement les options de prétraitement, alors que la politique de prévention de prévention des intrusions régit principalement les règles de prévention des intrusions. |
Si vous créez une politique de prévention des intrusions personnalisée, vous pouvez :
-
Optimiser la détection en activant et en désactivant les règles, ainsi qu’en écrivant et en ajoutant vos propres règles.
-
Utilisez les recommandations de Cisco Secure Firewall pour associer les systèmes d’exploitation, les serveurs et les protocoles d’applications clientes détectés sur votre réseau à des règles spécifiquement écrites pour protéger ces ressources.
Une politique de prévention des intrusions peut abandonner les paquets correspondants et générer des incidents d'intrusion. Pour configurer une règle de prévention des intrusions ou d’abandon de préprocesseur, définissez son état sur Block (Bloquer).
Lorsque vous adaptez votre politique de prévention des intrusions, en particulier lors de l’activation et de l’ajout de règles, gardez à l’esprit que certaines règles de prévention des intrusions exigent que le trafic soit d’abord décodé ou prétraité d’une certaine manière. Avant qu’une politique de prévention des intrusions n’examine un paquet, le paquet est prétraité selon les configurations d’une politique d’analyse de réseau. Si vous désactivez un inspecteur obligatoire, le système l’utilise automatiquement avec ses paramètres actuels, bien que l’inspecteur reste désactivé dans l’interface Web de la politique d’analyse de réseau.
![]() Mise en garde |
Le prétraitement et l’inspection de prévention des intrusions sont si étroitement liés que les politiques d’analyse de réseau et de prévention des intrusions examinant un seul paquet doivent se compléter mutuellement. La personnalisation du prétraitement, en particulier de l’utilisation de plusieurs politiques d’analyse de réseau personnalisées, est une tâche avancée. |
Après avoir configuré une politique de prévention des intrusions personnalisée, vous pouvez l’utiliser dans le cadre de votre configuration de contrôle d’accès en associant la politique de prévention des intrusions à une ou plusieurs règles de contrôle d’accès ou à une action par défaut d’une politique de contrôle d’accès. Cela oblige le système à utiliser la politique de prévention des intrusions pour examiner une partie du trafic autorisé avant que le trafic n’atteigne sa destination finale. Un ensemble de variables que vous associez à la politique de prévention des intrusions vous permet de refléter avec précision votre réseau domestique et externe et, le cas échéant, les serveurs de votre réseau.
Notez que par défaut, le système désactive l’inspection des intrusions des charges utiles chiffrées. Cela permet de réduire les faux positifs et d’améliorer les performances lorsqu’une connexion chiffrée correspond à une règle de contrôle d’accès pour laquelle l’inspection des intrusions est configurée.
Consultez la vidéo pour obtenir de l’aide et des informations supplémentaires concernant la présentation de la politique de prévention des intrusions de Snort 3.