บทความนี้อธิบายวิธีตั้งค่า IPS (Intrusion Prevention System) Template บน Sangfor NGAF/NSF เพื่อตรวจจับและป้องกันการโจมตีเครือข่ายโดยอัตโนมัติ
IPS คืออะไร
IPS ตรวจจับ Traffic ที่ตรงกับ Attack Signature และดำเนินการ Block หรือ Alert โดย NGAF มี IPS Signature Database ที่อัปเดตได้ ครอบคลุมการโจมตีหลายประเภท:
- Exploit (Buffer Overflow, Remote Code Execution)
- Web Attack (SQL Injection, XSS, File Inclusion)
- Malware Communication
- Brute-Force Attack
- Protocol Anomaly
ขั้นตอนการตั้งค่า IPS Template
1. สร้าง IPS Template
ไปที่ Objects > Security Policy Template > IPS กด Add
2. กำหนดค่า Template
- Template Name: ตั้งชื่อที่สื่อความหมาย (เช่น "Server_IPS_Strict")
-
Protection Level: เลือกระดับการป้องกัน
- Strict: Block ทุก Severity (Critical, High, Medium, Low)
- Standard: Block Critical/High, Alert Medium/Low
- Loose: Alert เท่านั้น ไม่ Block
3. กำหนด Action ตาม Severity
- Critical / High: แนะนำ Block
- Medium: แนะนำ Block หรือ Alert ตาม Environment
- Low / Informational: แนะนำ Alert
4. เลือก Signature Category
- สามารถเปิด/ปิด Signature ตามหมวดหมู่ เช่น Web Attack, Network Attack, Malware
- สามารถ Exclude Signature ID เฉพาะที่เป็น False Positive ได้
5. กด OK เพื่อบันทึก
Apply IPS Template ใน Policy
ไปที่ Policies > Network Security สร้างหรือแก้ไข Policy:
- เปิด IPS แล้วเลือก Template ที่สร้างไว้
- สำหรับ Server Scenario: เน้น Signature ที่เกี่ยวกับ Server-Side Attack
- สำหรับ Internet Access: เน้น Signature ที่เกี่ยวกับ Malware, Botnet
การจัดการ False Positive
- ตรวจสอบ IPS Log ที่ Monitor > Logs > Security Logs
- หาก Signature ที่ Block เป็น False Positive ให้ Note Signature ID
- กลับไปที่ IPS Template แล้ว Exclude Signature ID นั้น
หมายเหตุ
- อัปเดต Threat Signature Database เป็นประจำที่ System > Security Capability Update
- แนะนำให้เริ่มด้วย Standard Protection Level แล้วค่อยปรับเป็น Strict หลังจากตรวจสอบ False Positive แล้ว
- IPS จะ Inspect ได้เฉพาะ Unencrypted Traffic หรือ Traffic ที่ผ่าน SSL Decryption แล้ว
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น