Что для вас важно в NGFW? «Нормальный IPS, который не отъедает 80% аппаратных ресурсов», — ответит инженер по сетевой безопасности. Что ж, вызов принят! Дорогие сетевики, наш коллега Алексей Егоров, главный архитектор проектов, написал отличную статью на Хабр, в которой подробно рассказывает, как устроена система предотвращения вторжений (IPS) в нашем PT NGFW: https://vk.cc/cOPH7X Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре. Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа (но это сведет весь эффект от работы NGFW к нулю) или тонкая настройка IPS. В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке». Например, в PT NGFW трафик проверяется всеми сигнатурами вне зависимости от того, какой именно набор сигнатур подключен к правилу. При этом действия с трафиком и отображение событий выполняются только по сигнатурам, которые помещены в набор. Эта логика удобна для администраторов, потому что им не приходится волноваться насчет утилизации аппаратных ресурсов межсетевого экрана при формировании набора сигнатур. 👀 Больше подробностей — в материале на Хабре: https://vk.cc/cOPH7X #PTNGFW #PositiveTechnologies