跳轉到

IPS & Threat Prevention

Access Control 決定「能不能連」,Threat Prevention 則是在允許的流量裡,找出並擋掉攻擊與惡意內容。它是一組 Blade 的集合,靠 Profile 統一管理。

Threat Prevention 的組成

Blade 防什麼
IPS 入侵防禦,比對攻擊特徵(漏洞利用、掃描等)
Anti-Bot 偵測已被感染、對外連 C&C 的內部主機
Anti-Virus 攔截已知惡意檔案 / 下載
Threat Emulation 沙箱引爆未知檔案(zero-day),看行為
Threat Extraction 把檔案內可能的惡意成分清掉,交付乾淨版本

Profile:集中管理偵測強度

不像 Access Control 一條一條寫,Threat Prevention 用 Profile 設定「偵測什麼、動作是 Detect 還是 Prevent」,再套用到規則:

graph LR
    PR[Threat Prevention 規則] --> PF[Profile<br/>Optimized / Strict / 自訂]
    PF --> B1[IPS]
    PF --> B2[Anti-Bot]
    PF --> B3[Anti-Virus]
    PF --> B4[Threat Emulation]

內建 Profile:

  • Optimized:效能與防護平衡,最常用的起點
  • Strict:防護最高,誤判風險與效能成本也高。
  • 可複製後自訂。

Detect vs Prevent

  • Prevent:阻擋該惡意活動與通訊,可顯示 UserCheck 訊息。
  • Detect:檢查並記錄威脅但不阻擋,流量照過、記 Log(觀察期 / 上線初期常用,避免誤殺)。
  • Inactive:該保護不啟用。

上線節奏建議

新環境先用 Detect 跑一段時間,從 Logs 觀察有沒有誤判,調整例外後再切 Prevent。直接全開 Prevent + Strict 容易擋到正常業務。

IPS 的更新與保護等級

  • IPS / Anti-Virus / Anti-Bot 更新預設每 2 小時自動執行(R80.20+ 的 Gateway 可直接下載);無 Internet 環境支援離線更新(手動上傳),更新後仍須 Install Policy 才生效。設定在 SmartConsole → Threat Prevention → Updates。
  • 每個 Protection 有信心度(Confidence)、效能影響(Performance Impact)、嚴重性(Severity)標記,Profile 可依這些自動套用 Detect/Prevent。
  • 重大漏洞(例如新公布的 CVE)Check Point 常會發布對應 IPS Protection,可當作來不及打 patch 時的虛擬補丁(virtual patching)

驗證與排錯

# Threat Prevention 各 Blade 統計(expert)
cpstat -f all threat-prevention     # 視版本可用子選項
fw stat                              # 確認策略已安裝

# Threat Emulation(沙箱)CLI
tecli show downloads {all|images|dr|sa|raw|types}   # TE 下載中的檔案 / 規則
tecli show emulator vm {synopsis|detailed}          # 佇列與 VM 狀態
tecli debug {on|off}                                # 開關 TE debug

# Logs:在 SmartConsole 的 Logs & Monitor 用 blade 篩選
#   blade:IPS / blade:"Anti-Bot" 看命中事件

效能要評估

Threat Emulation(沙箱)與 HTTPS Inspection 都吃資源。大流量環境上線前,先看 cpview 評估 CPU,必要時用雲端沙箱(Threat Emulation Cloud)分擔。

版本提醒

Profile 化的 Threat Prevention 架構在 R81.10 ~ R82.10 一致。R82 起 AI / 機器學習類的威脅引擎、以及與 Infinity ThreatCloud 的整合持續加強;IPS / AV / AB 特徵更新與大版本無關,雲端即時更新。

小結

  • Threat Prevention = IPS + Anti-Bot + Anti-Virus + Threat Emulation/Extraction。
  • Profile 集中管理偵測強度,套到規則上。
  • Detect 觀察、調例外,再切 Prevent
  • 重大 CVE 可用 IPS Protection 做虛擬補丁過渡。