Изучение возможностей программного продукта BlackIce Defender: Методические указания для подготовки к практическому занятию, страница 29

Система обнаружения вторжения BlackICE (IDS) отвечает за анализ сетевого трафика с целью обнаружения вторжений. Когда она обнаруживает вторжение, она сообщает об этом событии на локальную консоль. IDS только контролирует трафик, она фактически не управляет трафиком. Управление трафиком - функция файервола. Вы можете управлять параметрами настройки механизма обнаружения вторжения через вкладку Intrusion Detection.

Доверие

Когда Выдоверяете IP-адресу, компонент обнаружения вторжений BlackICE не анализирует никакой входящий трафик от указанного IP-адреса на наличие вторжений.

Файервол BlackICE может все еще блокировать адреса, если трафик от этого адреса нарушает любое правило файервола. Например, если правило файервола блокировало весь трафик на TCP-порту с номером 3000, и система, которой доверяют, попыталась соединиться с вашим компьютером, используя порт 3000, BlackICE блокирует это действие.

Игнорирование

Когда Выигнорируете указанный тип события (также известный как сигнатура), система обнаружения вторжений BlackICE игнорирует любое событие этого типа. BlackICE может быть указано игнорировать все события данной сигнатуры, или только события, происходящие из специфического IP-адреса.

Также как и при установке доверия, Файервол BlackICE может все еще блокировать игнорируемые события или комбинации событие/адрес, если они нарушают любые существующие правила файервола.

Файервол

Компонент файервола BlackICE отвечает за управление сетевым трафиком. Он может блокировать или разрешать трафик, основанный на правилах файервола. Файервол не анализирует трафик на предмет обнаружения вторжений, он просто блокирует или разрешает трафик в соответствии с правилами, которые действуют на данный момент. Вы можете управлять правилами файервола с помощью окна Advanced Firewall Settings.

Отклонение (блокирование)

Когда Вы создаете блокирующее правило, файервол BlackICE останавливает любой сетевой трафик, прибывающий от IP-адреса  или TCP/UDP порта, идентифицированного в правиле. Например, Вы можете создать запрещающее правило, которое останавливает весь входящий трафик на TCP-порту с номером 5000. Если в любое время какой-либо другой компьютер в сети попытается подключаться к TCP-порту с номером 5000 на вашем компьютере, BlackICE, блокирует это действие.

Принятие

Разрешающее правило - полная противоположность запрещающего правила. Это правило явно разрешает трафик от определенного IP-адреса или TCP/UDP порта.

Установка файерволу принимать трафик от указанного IP-адреса – совсем не то же самое как установка системе обнаружения вторжений доверять адресу. Принятие указанного адреса разрешает вводить в Ваш компьютер любой трафик от указанной системы. Однако механизм обнаружения вторжений BlackICE будет все еще анализировать этот трафик на предмет обнаружения вторжений.

Принимать и доверять

Когда адрес и принимается и доверяется, то и файервол и механизм обнаружения вторжений разрешают входящему трафику обращаться к системе. Эта установка должна использоваться только для адресов, которые являются абсолютно безопасными.

Автоблокирование

Когда BlackICE автоматически блокирует вторжение, механизм обнаружения вторжений заставляет файервол блокировать адрес или порт, которые представляют непосредственную угрозу. Не механизм обнаружения вторжений, а именно файервол фактически блокирует трафик.

Фильтрация сегментами

Когда во вкладке Events в BlackICE накапливается больше событий, чем Вы можете проанализировать, Вы можете ограничить отображение событиями на определенных сетевых сегментах.

Опции окна

Target IP Address or Range: Введите IP-адрес  или диапазон адресов, чтобы просматривать трафик. Используйте формат 0.0.0.0-1.1.1.1, чтобы ввести диапазон. Щелкните Add когда закончите.

Add: Щелкните, чтобы добавить IP-адрес или диапазон в список адресов для просмотра.

Delete: Щелкните, чтобы удалить выбранный адрес или диапазон из списка адресов для просмотра.