È probabilmente una domanda stupida, ma potrebbe essere ancora utile non solo per me.
Ho un firewall Juniper SRX in una filiale. Tutte le porte sono bloccate da Internet alla rete interna. Tutte le porte sono aperte dalla rete interna a Internet.
C'è qualche vantaggio nell'usare IPS su di esso?
Mi proteggerà da qualsiasi tipo di attacco se tutte le porte in arrivo sono bloccate?
Risposte:
Ho un firewall Juniper SRX in una filiale. Tutte le porte sono bloccate da Internet alla rete interna. Tutte le porte sono aperte dalla rete interna a Internet. C'è qualche vantaggio nell'usare IPS su di esso? Mi proteggerà da qualsiasi tipo di attacco se tutte le porte in arrivo sono bloccate?
Sì, c'è un vantaggio e sì, può proteggere da alcuni tipi di problemi / attacchi.
In particolare stai solo bloccando le connessioni in entrata, qualsiasi compromesso che inizia su uno dei tuoi computer e origina una connessione in uscita continuerà a funzionare.
I compromessi potrebbero essere introdotti in uno dei computer locali da un ampio numero di fonti. Ecco un breve elenco (non inclusivo) di vettori di attacco:
Un IDS / IPS che monitora il tuo traffico in uscita è in grado di monitorare e aiutare a mitigare gli host compromessi sulla tua rete dal raggiungere Internet. Ciò può impedire le funzioni di comando e controllo, la possibilità per qualcuno di tornare in una di quelle connessioni, l'installazione di ulteriore software dannoso, il furto di dati, ecc.
Ti offre anche il vantaggio aggiuntivo di informarti sugli host compromessi in modo che tu possa gestirli (possibilmente prima che compromettano altri host sulla tua rete).