28 de de mayo de 2018

Check Point R80.10

IPS

Mejores prácticas
Clasificación: [protected]
© 2018 Check Point Software Technologies Ltd.

Todos los derechos reservados. Este producto y la documentación relacionada están protegidos por copyright y distribuido bajo licencias
que restringen su uso, copia, distribución y descompilación. Ninguna parte de este producto o la documentación relacionada puede ser
reproducida en cualquier forma o por cualquier medio sin la autorización previa por escrito de Check Point. Mientras que todas las
precauciones se han tomado en la preparación de este libro, Check Point no asume ninguna responsabilidad por errores u omisiones. Esta
publicación y características aquí descritas están sujetas a cambio sin previo aviso. Leyenda de derechos restringidos:

El uso, duplicación o divulgación por el gobierno está sujeto a las restricciones establecidas en el subpárrafo (c) (1) (ii) de los
derechos de datos técnicos y cláusula de software de ordenador del DFARS
252.227-7013 y FAR 52.227-19.

MARCAS:

Consulte la página de derechos de autor http://www.checkpoint.com/copyright.html para obtener una lista de nuestras marcas registradas.

Consulte las notas de copyright de terceros http://www.checkpoint.com/3rd_party_copyright.html

para obtener una lista de los derechos de autor y licencias pertinentes de terceros.
Información importante
el último software

Le recomendamos que instale la versión más reciente del software para mantenerse al día con las últimas mejoras
funcionales, correcciones de estabilidad, mejoras de seguridad y protección contra ataques nuevos y en evolución.

La última versión de este documento

Descargar la última versión de este documento

http://downloads.checkpoint.com/dc/download.htm?ID=59099 . Para obtener más

información, visite el Centro de soporte Check Point

http://supportcenter.checkpoint.com .

Realimentación

Check Point está comprometido en un esfuerzo continuo para mejorar la documentación. Por favor ayúdenos

enviando sus comentarios

mailto: cp_techpub_feedback@checkpoint.com ? subject = Evaluación de Check Point R80.10 IPS Buenas
Prácticas .

Revisión histórica

Fecha Descripción

28 de de mayo de 2018 Agregado IPS Protecciones retirados en el R80 (en la página 6 )

08 de febrero de 2018 Primera versión de este documento

Contenido
Información importante ................................................ .................................................. . 3
Introducción ................................................. .................................................. ................ 5
R80.10 Mejoras .............................................. ................................................. 6
IPS Protecciones eliminó en R80 ............................................. ................................... 6
Inicial proceso de configuración de IPS .............................................. .................................... 7
Instalación inicial ................................................ .................................................. .... 7
Actualización de Protecciones ................................................ ................................................ 7
Recopilar y analizar los sucesos de IPS iniciales ........................................... .............. 8
Protecciones que requieren más análisis ............................................. ...................... 8
Programación IPS Actualizaciones ............................................... ............................................. 9
Continuo proceso de configuración de IPS .............................................. .............................. 10
Recopilar y analizar nuevas medidas de protección ............................................. ................. 10
Mantenimiento de software blades IPS .............................................. .................................. 11
Actualizaciones IPS ................................................ .................................................. ........... 11
Actualizaciones de software ................................................ ................................................. 11
Comunidades de usuarios ................................................ .................................................. 11
Extensión de la configuración IPS .............................................. ................................... 12
Clonar el perfil ............................................... .................................................. . 12
Configuración del perfil ............................................... ............................................. 12
Configuración de los valores de inspección Protecciones .............................................. ............. 13
Configuración de correo electrónico de inspección ............................................... ........................................ 13

Optimización Web Security Protecciones .............................................. ........................ 14

Excluyendo Protecciones ................................................ ............................................. 15
Perfiles separados ................................................ .................................................. .. dieciséis
La optimización del rendimiento ................................................ .................................................. . 17
Visión de conjunto ................................................. .................................................. ............... 17
Supervisión del rendimiento de impacto ............................................... .............................. 17
Configuración de los parámetros de interpretación de puerta de enlace de seguridad ....................................... 18
1
CAPÍTULO
Introducción
En esta sección:

R80.10 Mejoras .................................................. .................................................. 6 IPS Protecciones eliminó en R80 ................................................

.................................. 6

R80.10 SmartConsole incluye estos perfiles prevención de amenazas por defecto:

• Perfil optimizado

• Perfil básico

• Perfil estricta

Check Point recomienda el uso de la salida de la caja de perfil optimizado que proporciona el equilibrio entre una excelente protección para los

productos de red y protocolos comunes de los ataques recientes o populares y repercusión en el rendimiento. Sin embargo, su organización

puede tener ambientes adicionales. Por lo tanto, es posible que desee para personalizar su perfil para mejor ajuste tráfico de red de la

organización. A medida que el mundo de las amenazas informáticas y sus necesidades de red es dinámica, es posible que necesite ajustar y

mantener perfiles de IPS y protecciones establecidas para prevenir / detectar / inactiva o añadir excepciones. Uno de los elementos clave para

mantener una política eficaz IPS es monitorear eventos IPS:

• IPS opinión eventos protecciones como se describe en la guía.

• Identificar dónde tiene que ajustar IPS y excluir los protocolos de tráfico únicas. Al revisar la política

de IPS, tenga en cuenta:

• Cobertura - ¿El IPS de cobertura de la póliza todos los activos críticos de la red y los servicios, las vulnerabilidades y amenazas?

• Exactitud - Hacer todas las protecciones en el IPS de alerta política de amenazas reales en su entorno?

• Actuación - Los IPS hoja usa inspecciones profundas, y por lo tanto los recursos de puerta de enlace adicionales. ¿El hardware de

puerta de enlace de seguridad (CPU y memoria) se ajusta a los IPS de la cuchilla de políticas? El perfil optimizado equilibra las

compensaciones entre estas tres medidas y la seguridad de la empresa, el cumplimiento y los requisitos operacionales.

Nota - Esta guía no se explica la manera de mitigar los ataques de malware.

Check Point R80.10 IPS Buenas Prácticas | 5

 Introducción

R80.10 Mejoras
Check Point R80.10 IPS hace que sea fácil de administrar la seguridad para redes complejas. Por favor revise estas nuevas
características en el Check Point Guía de administración de R80.10 de seguridad:
http://downloads.checkpoint.com/dc/download.htm?ID=54842

• Separados de control de acceso y Política de Prevención de Amenazas

• Amenaza múltiples perfiles de Prevención por la puerta de enlace.

• etiquetas IPS protecciones predefinido.

• Guarda automáticamente varias actualizaciones de IPS, lo que permite volver a una actualización anterior sin afectar a IPS otra configuración de

seguridad tales como la configuración de perfiles, reglas, excepciones, etc. Estas nuevas características ayudan a IPS el personalizar el administrador

de perfiles para adaptarse a la topología de la organización y crear la prevención de amenazas base de reglas en consecuencia .

IPS Protecciones eliminó en R80

En el IPS paquete para R80.10, protecciones que ya no son necesarios fueron retirados de las IPS de la hoja.

Para obtener una lista completa de las protecciones y las razones de su eliminación, consulte sk103766
http://supportcontent.checkpoint.com/solutions?id=sk103766 .

Check Point R80.10 IPS Buenas Prácticas | 6

2
CAPITULO
Inicial proceso de configuración de IPS
En esta sección:

Instalación inicial .................................................. .................................................. ........ 7 Protecciones Actualizando ...............................................

.................................................. .. 7 recolección y análisis de los eventos iniciales de IPS ..................................................

.......... 8 Protecciones que requieren más análisis .................................................. ...................... 8 Programar

actualizaciones de IPS .................................................. ............................................... 9

Instalación inicial
El IPS de Check Point Software Blade utiliza miles de protecciones de seguridad para mantener su red. Al configurar IPS, por primera

vez, es imposible analizar cada protección. El perfil optimizado proporciona una excelente seguridad con impacto en el rendimiento

bueno. Este perfil permite que todas las protecciones que:

• Protección contra las amenazas relevantes e importantes en productos de uso común.

• Detectar el ataque de una manera fiable.

• Tener un impacto en el rendimiento moderado. Se

recomienda usar el perfil optimizado.

Protecciones de actualización
Al activar el IPS, por primera vez, se cargarán las más recientes protecciones IPS. Le recomendamos que utilice una
actualización manual la primera vez que actualice IPS y luego automatizar el proceso.

Para actualizar manualmente las protecciones IPS:

1. En SmartConsole, haga clic Políticas de seguridad > Prevención frente a amenazas.

2. En el Herramientas de amenaza sección, haga clic Actualizaciones.

3. En el IPS de sección, haga clic Actualizar ahora.

4. Instalar la política de prevención de amenazas.

Check Point R80.10 IPS Buenas Prácticas | 7

 Inicial proceso de configuración de IPS

Recopilar y analizar los eventos iniciales de IPS

Es muy recomendable que utilice los informes SmartEvent para una visión clara de las protecciones que generan registros para facilitar la

sintonización de perfil. Por favor revise la Check Point R80.10 registro y la supervisión Guía de administración http://downloads.checkpoint.com/dc/download.ht

. Después de la actualización primeras IPS, se deja correr durante al menos una semana.

Cuando IPS ha generado los registros, revise los registros y utilizar esta guía para configurar el modo de la protección de uno de estos:

• Prevenir el modo - Bloquea el tráfico y genera un registro.

• modo de detección - Permite el tráfico y genera un registro.

Protecciones con alto grado de confianza se pueden configurar para evitar en estas protecciones están estrechamente monitorizados y

analizados por Check Point.

Protecciones que los eventos generados solamente para el tráfico malicioso debe ser ajustada para evitar. Utilice estos indicadores

para identificar eventos como malicioso:

• País y la reputación de la dirección IP de origen (por ejemplo, utilizar ipvoid.com).

• URL

• El análisis de captura de paquetes

Protecciones que no generaron ningún evento durante la puesta a punto inicial se puede establecer en el modo de prevenir.

Protecciones que requieren más análisis

Algunas protecciones generan eventos, tanto para el tráfico legítimo y malicioso. Una posible razón es que las aplicaciones
heredadas a menudo usan el tráfico no estándar y generan eventos IPS. Es recomendable que buscar patrones en los
acontecimientos del tráfico legítimo y crear excepciones IPS de red. Por ejemplo, puede haber un pequeño conjunto de Fuente o
direcciones IP de destino, servicios o puertos. Si puede identificar un patrón para los tipos de tráfico:

1. Crear excepciones de red para cada tipo de tráfico.

2. Establecer la protección de prevenir.

Si no se puede identificar un patrón:

1. Establecer la protección de detectar.

2. Informar de la protección a la comprobación Support Center Point http://supportcenter.checkpoint.com .

Check Point R80.10 IPS Buenas Prácticas | 8

 Inicial proceso de configuración de IPS

Programar actualizaciones de IPS

Después de la actualización IPS iniciales, configure IPS para actualizar automáticamente y de forma regular:

Para configurar las actualizaciones programadas IPS:

1. En SmartConsole, vaya a la Políticas de seguridad página y seleccione Prevención frente a amenazas.

2. En Política de Prevención de Amenazas > Herramientas de amenazas, hacer clic Actualizaciones.

3. En la sección para el Software Blade corresponde, haga clic Planificación de actualizaciones.

los actualización programada Se abre la ventana.

4. Asegurarse Habilitar actualización programada IPS se selecciona.

5. Hacer clic Configurar.

6. En la ventana que se abre, establecer el Update en tim ey el frecuencia que mejor se adapten a su negocio:

• Diario

• Todos los días

7. Hacer clic OKAY, y haga clic Okay de nuevo.

8. Instalar la política de prevención de amenazas.

Check Point R80.10 IPS Buenas Prácticas | 9

3
CAPÍTULO
Continuo proceso de configuración de IPS
En esta sección:

Recopilar y analizar nuevas medidas de protección .................................................. ............... 10

Recopilar y analizar nuevas medidas de protección

Después de configurar correctamente la instalación IPS iniciales, la mayoría de las protecciones se despliegan en el modo de prevenir. A pocos

permanecen en modo de detección para un análisis adicional.

Sin embargo, las nuevas amenazas continuamente surgen y el tráfico de la red cambia con nuevas aplicaciones, servicios y protocolos.
Nosotros recomendamos que ejecute un análisis y revisión periódica IPS IPS eventos.

protecciones recién descargados estarán en el modo de puesta en escena. Revisar los eventos de estas protecciones y cambiar su modo de
estadificación de detectar.

Ejecutar un análisis sobre las nuevas medidas de protección y determinar si pueden funcionar en el modo de evitar, en la que realizamos

anteriormente para recopilar y analizar los sucesos de IPS iniciales (en la página 8 ).

Check Point R80.10 IPS Buenas Prácticas | 10

4
CAPÍTULO
Mantenimiento de software blades IPS
En esta sección:

Actualizaciones IPS .................................................. .................................................. ............... 11 Actualizaciones de

software .................................................. .................................................. ... Comunidades de Usuarios 11 ..................................................

.................................................. .... 11

Actualizaciones IPS
Check Point lanza nuevas protecciones IPS casi a diario. Revisar el Check Point publicada actualización de seguridad de IPS, que
contiene protecciones nuevas y actualizadas que incluyen protecciones contra vulnerabilidades urgentes y de día cero. Si las
protecciones son cruciales para su red, de implementar en el modo de prevenir. Considere el beneficio de prevenir el malware activo y
ataques salvajes usando Check Point IPS.

Actualizaciones de software
Es importante revisar las notas de la versión de las nuevas versiones de software e instalar periódicamente actualizaciones de software. Check
Point IPS combina las características del motor de IPS y nuevas protecciones que se agregan continuamente. El motor es el código del núcleo que
analiza e inspecciona el tráfico y que a menudo se mejora como parte de las actualizaciones de software para puertas de enlace de seguridad.
Estas mejoras dan mejores IPS protección y rendimiento.

comunidades de usuarios
Nos animamos a aprender, compartir e inspirarse utilizando nuestra plataforma Checkmates
http://community.checkpoint.com .

Check Point R80.10 IPS Buenas Prácticas | 11

5
CAPÍTULO
Extensión de la configuración IPS
En esta sección:

Clonación del Perfil .................................................. .................................................. .... 12 Configuración del perfil ..................................................

............................................... 12 Configuración de los ajustes de inspección Protecciones ..................................................

............ 13 Configuración de correo electrónico de Inspección .................................................. ..........................................

Protecciones 13 Optimizar la seguridad Web .................................................. ........................ 14 Protecciones

Excluyendo .................................................. ................................................ 15 perfiles separados ..................................................

.................................................. ...... dieciséis

Clonación del Perfil

Haga una copia del perfil optimizado antes de iniciar la puesta a punto inicial IPS. Para una implementación multi-servidor de dominio, se
recomienda que se crea una política IPS separadas y llevar a cabo estos pasos para cada segmento.

Para clonar el perfil optimizado:

1. Navegar a Las políticas de seguridad pestaña en el panel izquierdo y, a continuación, haga clic Política de prevención de la amenaza.

2. Haga clic con el Perfil optimizado y editar.

3. Hacer clic OKAY.

Aparece un mensaje que le preguntará si desea clonar el perfil.

4. Introduzca un nuevo nombre para el perfil y haga clic clonado OKAY.

Configuración del perfil

Configurar la configuración del perfil para ayudar al análisis inicial de la inspección IPS con el modo de puesta en escena. La acción predeterminada para las

protecciones es prevenir, pero las protecciones modo de puesta en escena se ejecute en modo Detectar.

Configurar nuevas protecciones que se agregan a la perfil para ejecutar en el modo de Prevent (durante puesta en escena, estas protecciones se

configuran de detectar).

Para configurar el perfil:

1. Vaya a la Las políticas de seguridad pestaña en el panel izquierdo y haga clic Política de prevención de la amenaza.

2. Haga clic con el perfil y seleccionar el perfil que ha creado clonado.

3. Haga clic con el perfil clonado y editar.

4. por IPS modo de activación, Seleccione Evitar.

5. En el árbol de navegación, haga clic IPS > Actualizaciones.

Las protecciones recién descargados se establecen en Activo - De acuerdo con la configuración del perfil.

6. Establecer como la activación el modo de puesta en escena (Detect).

7. Hacer clic OKAY.

Check Point R80.10 IPS Buenas Prácticas | 12

 Extensión de la configuración IPS

Configurar la inspección Ajustes Protecciones

Algunos ajustes de cortafuegos de inspección puede ser configurado para ayudar a proteger la red. Para facilitar su uso, incluimos su
configuración en este documento.

Configuración de correo electrónico de inspección

Activar protecciones para los protocolos que utiliza su entorno para mensajes de correo electrónico y añadir seguridad personalizada a los servidores de

correo.

Configuración POP3 / IMAP Alcance

De manera predeterminada, al configurar los protocolos POP3 / IMAP Seguridad poniendo en Las políticas de seguridad > Configuración de Inspección > POP3

/ IMAP de Seguridad, que se aplican a todos los hosts que se definen como servidores de correo de acuerdo con la configuración de acción de cada perfil de IPS.

También puede limitar el alcance de esta protección sólo a los servidores de correo especificadas.

Para especificar los hosts obtienen los parámetros de protección de POP3 / IMAP:

1. Navegar a Las políticas de seguridad > ajustes de inspección.

2. En el campo de búsqueda, escriba "POP3 / IMAP de Seguridad."

3. En los resultados de búsqueda que aparecen, haga doble clic POP3 / IMAP Seguridad.

4. Seleccione el perfil y haga clic Editar.

5. En el árbol de navegación, haga clic Avanzado.

6. En el Ámbito de protección área, haga clic Aplicar a los servidores de correo seleccionadas.

7. Hacer clic Ver.

los Seleccione Servidores ventana se abre y todos los servidores de correo se selecciona de forma predeterminada.

8. Cambiar la selección de los servidores en los que no se deben hacer cumplir POP3 e IMAP protecciones:

• Para eliminar servidores de la lista - Borrar los servidores.

• Para agregar servidores a esta lista - Haga clic Añadir, seleccione los servidores y haga clic OKAY.

• Para editar la configuración del servidor - Seleccione un servidor, haga clic Editar, Editar configuración en la ventana de configuración

de nodo anfitrión que se abre y haga clic OKAY.

9. Hacer clic OKAY.

Las opciones de inspección POP3 / IMAP de seguridad tienen una lista de comandos que reconoce a IPS e inspecciona. Las definiciones de los
comandos POP3 se aplican a todos los perfiles de IPS. En el Detalles protecciones - POP3 / IMAP configuración de Seguridad ventana, se
puede editar la lista de comandos POP3 que se aplican a todos los perfiles o editar la lista de comandos POP3 que se aplican a los perfiles
específicos.

Para editar la lista de comandos POP3 que se aplica a todos los perfiles:

1. En el Detalles de la protección - POP3 / IMAP configuración de Seguridad ventana, haga clic Editar para el POP3

Definiciones Comandos.

2. Editar la lista según sea necesario:

• Para añadir un nuevo comando - Haga clic Añadir e introduzca el nuevo comando.

• Para cambiar un comando existente - Seleccione el comando y haga clic Editar.

• Para eliminar un comando - Seleccionar el comando, haga clic Eliminar y en la ventana que se abre, haga clic si para confirmar.

3. Hacer clic OKAY.

Check Point R80.10 IPS Buenas Prácticas | 13

 Extensión de la configuración IPS

Para bloquear o permitir un comando POP3 para un perfil:

1. En el Detalles de la protección - POP3 / IMAP configuración de Seguridad ventana, seleccione el perfil

cuya configuración desea editar.
2. Hacer clic Editar.

3. En la lista de comandos POP3 conocidos, desactive cualquier comando que no desee bloqueado.

4. Cuando termine de editar los protocolos POP3 / IMAP configuración de seguridad, haga clic Okay para guardarlos y salir del

Detalles de la protección - POP3 / IMAP configuración de Seguridad ventana.

Optimización Web Security Protecciones

Puede administrar de Web Intelligence para configurar los ajustes del servidor Web para maximizar la seguridad y reducir el rendimiento de puerta
de enlace de seguridad o de lo contrario.

Mejorar la conectividad de alcance del ajuste

Algunos ajustes de inspección que son demasiado severa pueden tener un impacto negativo en la conectividad desde y hacia servidores web válidos.

• El formato HTTP tamaños de protección longitudes restringe URL, longitudes de cabecera o el número de cabeceras. Esta es una buena
práctica, ya que estos elementos pueden ser utilizados para realizar un ataque de denegación de servicio en un servidor Web.

• El ASCII Sólo Solicitud de protección puede bloquear la conectividad a las páginas Web que tienen caracteres no ASCII en direcciones URL.

Esta es una buena práctica porque los encabezados no ASCII o campos de formulario vulnerabilidades abiertas a ciertos ataques, como la

inyección de código.

• La protección métodos HTTP puede bloquear ciertos métodos HTTP, que se sabe que no es seguro, ya que pueden ser utilizados para
explotar vulnerabilidades en un servidor Web.

• Inyección de SQL: Esta protección se ejecuta una exploración en el tráfico a una lista definida por el usuario de los servidores web
especificados. La protección está activa sólo cuando los objetos de red para estos servidores se crean correctamente. No aplicar las
protecciones para la inyección de SQL a todo el tráfico HTTP o innecesarios falsos positivos interrumpirá el tráfico de red.

• HTTP general / CIFS Gusano del colector y el rechazo de cabecera: Estas protecciones permiten añadir y editar expresiones
regulares para que el firewall puede bloquear las peticiones HTTP especificados. Check Point aconseja a los clientes añadir un
patrón de estas protecciones como acción inmediata preventivo contra una nueva amenaza.

Aunque la aplicación de estas restricciones (activando estas protecciones) en la práctica es buena en general, pueden potencialmente bloquean sitios
válidos o aplicaciones importantes. La aplicación de estas medidas de protección a los servidores Web específicos puede resolver los problemas de
conectividad y puede mejorar el rendimiento de la CPU. Esta exclusión de un servidor web de una protección especial es global para todos los perfiles.

Para configurar el ámbito de protección web:

1. Navegar a Las políticas de seguridad > ajustes de inspección para ver la zona de protección.

2. Para aplicar la protección únicamente a un conjunto definido de servidores Web, seleccione Aplicar a web seleccionada

servidores.

3. Hacer clic Personalizar.

4. Para excluir un servidor Web de la protección, desactive la casilla de verificación del servidor.

5. Para añadir un objeto de puerta de entrada a la lista de servidores Web, haga clic Añadir. Desde el Establecer como anfitriones Web

servidores ventana, seleccione los hosts que desee y haga clic OKAY.

Check Point R80.10 IPS Buenas Prácticas | 14

 Extensión de la configuración IPS

6. Para editar un servidor Web, seleccione el servidor Web en la lista y haga clic Editar.

Se abre la ventana de Punto de acogida controlen, mostrando la categoría Servidor Web, que se añade a un host que se define como un
servidor Web.

Puede configurar el equilibrio conectividad de seguridad para cada tipo de protección de Web Intelligence en la ventana de la
protección, pero la aplicación de estas configuraciones siempre depende de si están activadas por el perfil IPS del servidor Web.

Excluyendo Protecciones
El perfil puede incluir protecciones a IPS que no son necesarias para la red. Puede excluir estos IPS protecciones y mejorar el
rendimiento de la red. Por ejemplo, si una organización no utiliza los servicios de VoIP, excluir la protección de IPS para el
tráfico VoIP.

Protecciones excluir por etiquetas

Cada protección IPS se clasifica el uso de etiquetas tales como:

• Tipo

• Vendedor

• Producto

• amenaza años

• tipo de protección

• efecto de la vulnerabilidad

• Tipo de archivo

• protocolo de protección

Puede excluir un grupo de protección utilizando las etiquetas relevantes. Usted puede hacer que sea como parte de la definición del perfil o

directamente desde el punto de vista de IPS Protecciones.

Para excluir la protección por etiqueta utilizando la vista IPS Protecciones:

1. En el panel izquierdo, navegar Las políticas de seguridad y haga clic Política de prevención de la amenaza.

2. Hacer clic Protecciones IPS.

3. De los filtros de la derecha, seleccione las etiquetas cuya protección desea excluir.
4. Seleccionar las protecciones a la izquierda y desactivar las protecciones.

5. Instalar la política.

Para excluir la protección por etiqueta utilizando definiciones de perfiles de prevención de amenazas:

1. Extender el IPS LENGÜETA.

2. Seleccione La activación adicional.

3. Seleccione las etiquetas cuya protección se desea activar.

4. Seleccione las etiquetas cuyas protecciones que desea desactivar.

5. Instalar la política.

Check Point R80.10 IPS Buenas Prácticas | 15

 Extensión de la configuración IPS

Perfiles separados
La afinación de rendimiento inicial se centra en un único perfil IPS que está optimizado para muchas situaciones. Sin embargo, se

recomienda crear una política diferente por cada segmento de la red y la pasarela de acuerdo con los activos protegidos y perfiles

asignar diferentes a cada regla en la política. Los ejemplos de perfiles separados:

• Puertas de enlace en el perímetro con frecuencia utilizan un perfil diferente de puertas de enlace que los centros de datos de protección contra

• Diferentes segmentos de red protegen diferentes tipos de protocolos, cliente / servidor, aplicaciones, etc.

Check Point R80.10 IPS Buenas Prácticas | dieciséis

6
CAPÍTULO
La optimización del rendimiento

En esta sección:

Visión general .................................................. .................................................. .................... 17 Supervisión del rendimiento de

impacto .................................................. ............................... 17 Configuración de los parámetros de interpretación de puerta de

enlace de seguridad .......................................... 18

Visión general
Las siguientes secciones muestran diferentes métodos para reducir IPS protecciones impacto en el rendimiento y para mejorar el rendimiento de puerta
de enlace.

Nota - El impacto en el rendimiento de una protección es casi la misma para prevenir y detectar modos. Prevenir el modo en
ocasiones cae tráfico y no inspecciona la misma.

Supervisión del rendimiento de impacto

El impacto en el rendimiento se deriva de la complejidad de la protección y la cantidad de tráfico inspeccionado debido a la naturaleza de
la mezcla de tráfico. Además, se puede medir el impacto en el rendimiento real de las protecciones de la siguiente manera:

Utilice el comando aplicable en modo experto para recopilar estadísticas el impacto sobre el rendimiento de las

protecciones: Ejecutar: get_ips_statistics.sh

Utilice la herramienta Analizador de IPS y recopilar información acerca de las IPS Protecciones:

• Para obtener información sobre cómo medir el tiempo de CPU consumido por las protecciones de IPS, consulte sk43733

http://supportcontent.checkpoint.com/solutions?id=sk43733 .

• Para obtener información sobre la herramienta Analizador de IPS, consulte sk110737

http://supportcontent.checkpoint.com/solutions?id=sk110737 .

La herramienta Analizador procesa la salida estadística y produce un informe HTML clara basada en esa salida. El informe indica que
IPS protecciones están causando carga crítica, alta o media en la puerta de enlace. Le recomendamos que desactive las protecciones
de rendimiento crítico o añadir excepciones según sea necesario. Puede comunicarse con el Centro de soporte Check Point
http://supportcenter.checkpoint.com ( https://supportcenter.checkpoint.com ) Para informar de estas protecciones.

Check Point R80.10 IPS Buenas Prácticas | 17

 La optimización del rendimiento

Configuración de los parámetros de interpretación de puerta de enlace de seguridad

Cuando el IPS Software Blade está habilitado en una pasarela de seguridad, que podría afectar al rendimiento de la red debido a la
necesidad de inspección profunda de paquetes en el tráfico.

El efecto sobre el rendimiento de la red puede ser mitigado por encolado aparato correcto. Los clientes que deseen hacer que las
conexiones no se caen debido a la alta utilización, sino más bien para excluirlos de la inspección, se puede configurar la puerta de
entrada de derivación IPS inspección cuando hay una carga pesada en el servidor o aparato.

Nota - Al activar este modo tendrá un impacto efectividad de la seguridad en el sistema y no es en absoluto recomendable desde el punto de vista
de la seguridad. el tamaño correcto del aparato se debe utilizar para garantizar la eficacia de alta seguridad de la solución de Check Point la
prevención de amenazas.

Para configurar de derivación bajo carga en la puerta de enlace:

1. Navegar a Gateways y servidores y haga doble clic en la puerta de enlace de seguridad.

2. En el árbol de navegación, haga clic IPS.

3. Seleccione Bypass IPS inspección cuando la puerta de enlace está bajo carga pesada.

4. Hacer clic Avanzado.

5. Cambiar la configuración de la CPU y el uso de la memoria:

• Baja - 50%

• Alta - 75%
6. Hacer clic OKAY.

7. Instalar la política de prevención de amenazas.

Check Point R80.10 IPS Buenas Prácticas | 18