Защита от сетевых угроз

Под SVM в этом разделе понимается SVM с установленным компонентом Защита от сетевых угроз.

SVM с установленным компонентом Защита от сетевых угроз обеспечивает защиту виртуальных машин на гипервизоре VMware ESXi. Параметры, которые SVM применяют во время защиты виртуальных машин от сетевых угроз, задаются с помощью политик. Kaspersky Security начинает защищать виртуальные машины только после того, как вы настроили параметры защиты от сетевых угроз в активной политике.

Kaspersky Security защищает от сетевых угроз только те виртуальные машины, для которых выполняются все условия защиты виртуальных машин.

Компонент Kaspersky Security Защита от сетевых угроз выполняет следующие функции:

• Предотвращение вторжений. Kaspersky Security позволяет обнаруживать и блокировать в трафике защищенных виртуальных машин активность, характерную для сетевых атак, и подозрительную сетевую активность, которая может быть признаком вторжения в защищаемую инфраструктуру.

  Kaspersky Security может проверять трафик с IP-адресов в формате IPv4 и IPv6.

• Проверка веб-адресов. Kaspersky Security позволяет проверять веб-адреса, к которым обращается пользователь или какая-либо программа, и блокировать доступ к веб-адресам в случае обнаружения угрозы.

Параметры работы компонента Защита от сетевых угроз зависят от режима обработки трафика, выбранного при регистрации службы сетевой защиты:

• Если вы выбрали Стандартный режим, при обнаружении признаков вторжений или попытки доступа к опасным или нежелательным веб-адресам Kaspersky Security выполняет то действие, которое указано в параметрах политики, и передает информацию о событиях на Сервер администрирования Kaspersky Security Center.
• Если вы выбрали Режим мониторинга, при обнаружении признаков вторжений или попытки доступа к опасным или нежелательным веб-адресам Kaspersky Security не предпринимает действий по предотвращению угроз, а только передает информацию о событиях на Сервер администрирования Kaspersky Security Center.

Вы можете выбрать режим обработки трафика только при регистрации службы сетевой защиты (Kaspersky Network Protection).

Вы можете настраивать исключения из защиты от сетевых угроз следующими способами:

• Исключать из проверки входящий или исходящий трафик всех виртуальных машин, которым назначена одна политика безопасности NSX (NSX Security Policy). Вы можете указать, какой трафик следует проверять, в политике безопасности NSX, в которой настроено использование службы сетевой защиты (Kaspersky Network Protection). Настройка политики безопасности NSX (NSX Security Policy) выполняется в консоли VMware vSphere Web Client.
• Формировать правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security может исключать из проверки трафик определенных IP-адресов или применять при его обработке особые действия.

Информация о событиях, произошедших во время защиты виртуальных машин от сетевых угроз, передается на Сервер администрирования Kaspersky Security Center и записывается в отчет.

Описания известных в настоящее время видов сетевых атак и признаков вторжений, а также базы вредоносных и фишинговых веб-адресов содержатся в базах программы и пополняются в процессе обновления баз программы.

Условия защиты виртуальных машин от сетевых угроз

Одна SVM с установленным компонентом Защита от сетевых угроз, развернутая на гипервизоре VMware ESXi, обеспечивает защиту всех виртуальных машин на этом гипервизоре, для которых выполняются следующие условия:

• виртуальная машина входит в состав группы безопасности NSX (NSX Security Group), настроенной в консоли VMware vSphere Web Client;
• для этой группы назначена политика безопасности NSX (NSX Security Policy), в которой настроено использование службы сетевой защиты (Kaspersky Network Protection) и включено перенаправление трафика службе сетевой защиты (параметр Redirect to service).

Компонент Защита от сетевых угроз может проверять исходящий и / или входящий трафик виртуальных машин. Вы можете указать, какой трафик следует проверять, в политике безопасности NSX (NSX Security Policy), в которой настроено использование службы сетевой защиты (Kaspersky Network Protection). Настройка политики безопасности NSX (NSX Security Policy) выполняется в консоли VMware vSphere Web Client.

Предотвращение вторжений

В ходе защиты виртуальных машин от вторжений Kaspersky Security может выполнять следующие действия:

• Обнаруживать сетевые атаки на защищенные виртуальные машины.

  Если обнаружение сетевых атак включено, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение между виртуальной машиной и IP-адресом, с которого произведена сетевая атака, или прервать соединение и заблокировать трафик с этого IP-адреса, чтобы автоматически защитить виртуальную машину от возможных будущих сетевых атак с этого IP-адреса.

• Обнаруживать в трафике защищенных виртуальных машин подозрительную сетевую активность. Наличие в трафике защищенной виртуальной машины подозрительной сетевой активности может быть признаком вторжения в защищаемую инфраструктуру. При анализе трафика виртуальных машин применяются правила выявления подозрительной сетевой активности, которые содержатся в базах программы Kaspersky Security.

  Если контроль сетевой активности включен, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах политики. Например, программа может прервать соединение с IP-адресом, который проявляет подозрительную сетевую активность, или прервать соединение и заблокировать трафик с этого IP-адреса.

Если в соответствии с настроенными параметрами Kaspersky Security блокирует трафик с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности, то продолжительность блокировки по умолчанию составляет 60 минут. Вы можете изменить продолжительность блокировки трафика. По истечении указанного времени трафик автоматически разблокируется.

При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

Список источников сетевых угроз, заблокированных в результате работы каждой SVM с компонентом Защита от сетевых угроз, отображается в свойствах программы, установленной на этой SVM. По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. При необходимости вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.

Вы можете настроить правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик определенных IP-адресов или применяет особые действия при обработке этого трафика.

При обнаружении сетевой атаки или подозрительной сетевой активности Kaspersky Security назначает тег безопасности IDS_IPS.threat=high виртуальной машине, в трафике которой обнаружена активность, характерная для сетевых атак, или подозрительная сетевая активность.

Включение и выключение функции обнаружения сетевых атак

Чтобы включить или выключить функцию обнаружения сетевых атак, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Выполните одно из следующих действий:
   • Установите флажок Обнаруживать сетевые атаки, если вы хотите, чтобы программа Kaspersky Security обнаруживала в трафике защищенных виртуальных машин активность, характерную для сетевых атак.

     Если флажок установлен, при обнаружении попытки сетевой атаки на защищенную виртуальную машину Kaspersky Security выполняет действие, заданное в параметрах программы. Если сетевая защита развернута в стандартном режиме, по умолчанию Kaspersky Security прерывает соединение между защищенной виртуальной машиной и IP-адресом, с которого произведена сетевая атака, а также блокирует трафик с этого IP-адреса на 60 минут. Вы можете изменить это действие и период блокировки трафика. Если сетевая защита развернута в режиме мониторинга, Kaspersky Security не выполняет никаких действий по предотвращению сетевой атаки.

   • Снимите флажок Обнаруживать сетевые атаки, если вы хотите, чтобы программа Kaspersky Security не проверяла трафик защищенных виртуальных машин на наличие активности, характерной для сетевых атак.
4. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Настройка параметров обнаружения сетевых атак

Чтобы настроить параметры обнаружения сетевых атак, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Установите флажок Обнаруживать сетевые атаки, если функция обнаружения сетевых атак выключена.
4. Выберите действие в раскрывающемся списке
   Действие при обнаружении сетевой атаки, если сетевая защита развернута в стандартном режиме

   

   Раскрывающийся список содержит действия, которые может выполнять Kaspersky Security при обнаружении сетевой атаки на защищенную виртуальную машину, если сетевая защита развернута в стандартном режиме. Вы можете выбрать один из следующих вариантов:

   • Игнорировать. Kaspersky Security не выполняет никаких действий по предотвращению сетевой атаки.
   • Прерывать соединение. Kaspersky Security прерывает соединение между защищенной виртуальной машиной и IP-адресом, с которого произведена сетевая атака.
   • Прерывать соединение и блокировать трафик с IP-адреса отправителя. Kaspersky Security прерывает соединение между защищенной виртуальной машиной и IP-адресом, с которого произведена сетевая атака, а также блокирует трафик с этого IP-адреса. Трафик блокируется в той виртуальной локальной сети, в которой была обнаружена попытка сетевой атаки. Продолжительность блокировки трафика настраивается в поле При обнаружении угрозы блокировать трафик на N минут.

     Это действие выбрано по умолчанию.

   Информация об обнаружении сетевых атаках и выполненных действиях отправляется в Kaspersky Security Center.

   Выбор действия доступен, если установлен флажок Обнаруживать сетевые атаки.

   .

   Если сетевая защита развернута в режиме мониторинга, при обнаружении сетевой атаки Kaspersky Security выполняет действие Игнорировать.

5. Если требуется, измените значение параметра
   При обнаружении угрозы блокировать трафик на N минут

   

   Продолжительность блокировки трафика с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности. При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

   По умолчанию продолжительность блокировки составляет 60 минут.

   

   Продолжительность блокировки трафика с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности. При определении источника сетевой атаки или подозрительной сетевой активности учитывается принадлежность трафика к виртуальной локальной сети (VLAN). Kaspersky Security блокирует трафик с IP-адреса только в той виртуальной локальной сети, в которой была обнаружена сетевая атака или подозрительная сетевая активность.

   По умолчанию продолжительность блокировки составляет 60 минут.

   .
6. Если требуется, настройте правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик с определенных IP-адресов или применяет особые действия при обработке этого трафика.
7. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Включение и выключение контроля сетевой активности виртуальных машин

Функция обнаружения подозрительной сетевой активности доступна, только если вы используете программу по расширенной лицензии.

Чтобы включить или выключить контроль сетевой активности виртуальных машин, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Выполните одно из следующих действий:
   • Установите флажок Контролировать сетевую активность виртуальных машин, если вы хотите, чтобы программа Kaspersky Security обнаруживала в трафике защищенных виртуальных машин подозрительную сетевую активность, которая может быть признаком вторжения в защищаемую инфраструктуру.

     Если флажок установлен, при обнаружении в трафике защищенных виртуальных машин подозрительной сетевой активности Kaspersky Security выполняет действие, заданное в параметрах программы. Если сетевая защита развернута в стандартном режиме, по умолчанию Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами. Вы можете изменить это действие. Если сетевая защита развернута в режиме мониторинга, Kaspersky Security не выполняет никаких действий в отношении виртуальных машин, проявляющих подозрительную сетевую активность.

   • Снимите флажок Контролировать сетевую активность виртуальных машин, если вы хотите, чтобы программа Kaspersky Security не проверяла трафик защищенных виртуальных машин на наличие подозрительной сетевой активности.
4. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Настройка параметров контроля сетевой активности виртуальных машин

Функция обнаружения подозрительной сетевой активности доступна, только если вы используете программу по расширенной лицензии.

Чтобы настроить параметры контроля сетевой активности защищенных виртуальных машин, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Предотвращение вторжений.
3. Установите флажок Контролировать сетевую активность виртуальных машин, если контроль сетевой активности виртуальных машин выключен.
4. Нажмите на кнопку Настройка.

   Откроется окно Параметры контроля сетевой активности.

5. Укажите категории программ, признаки сетевой активности которых должна обнаруживать программа Kaspersky Security:
   • Рекламные программы

     

     Включение / выключение обнаружения сетевой активности, характерной для рекламных программ.

     Рекламные программы предназначены для показа пользователю рекламной информации, перенаправления запросов поиска на рекламные веб-сайты и передачи своему разработчику маркетинговой информации о пользователе. В отличие от троянских программ-шпионов рекламные программы передают эту информацию с разрешения пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для рекламных программ.

     Если флажок снят, обнаружение активности, характерной для рекламных программ, выключено.

     По умолчанию флажок снят.

   • Другие программы

     

     Включение / выключение обнаружения сетевой активности, характерной для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Среди таких программ находятся программы для загрузки файлов, программы удаленного администрирования, программы для отслеживания действий пользователя, программы для работы с паролями. Эти программы используются в легальных целях, но если злоумышленники получат доступ к таким программам, они могут использовать некоторые их функции для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок установлен, Kaspersky Security обнаруживает в трафике защищенных виртуальных машин активность, характерную для легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда виртуальной машине или данным пользователя.

     Если флажок снят, обнаружение активности, характерной для таких программ, выключено.

     По умолчанию флажок снят.

   Kaspersky Security всегда обнаруживает в трафике защищенных виртуальных машин сетевую активность, характерную для таких вредоносных программ, как вирусы, черви и троянские программы.

6. Если Kaspersky Security выявляет сетевую активность, которая, по вашему мнению, не является признаком вторжения в защищаемую инфраструктуру, вы можете настроить список правил, которые Kaspersky Security не будет применять для выявления подозрительной сетевой активности в трафике защищенных виртуальных машин.

   Чтобы добавить в список правило, в соответствии с которым обнаруживается сетевая активность, нажмите на кнопку Добавить, расположенную над списком, и введите в строке списка идентификатор правила в следующем формате: <число>:<число>:<число>.

   Информацию о примененном правиле вы можете посмотреть в тексте события, отправленного в Kaspersky Security Center во время обнаружения подозрительной сетевой активности.

7. Нажмите на кнопку ОК в окне Параметры контроля сетевой активности.
8. Выберите действие в раскрывающемся списке
   Действие при обнаружении подозрительной активности, если сетевая защита развернута в стандартном режиме

   

   Раскрывающийся список содержит действия, которые может выполнять Kaspersky Security при обнаружении подозрительной сетевой активности в трафике защищенных виртуальных машин, если сетевая защита развернута в стандартном режиме. Вы можете выбрать один из следующих вариантов:

   • Игнорировать. Kaspersky Security не выполняет никаких действий в отношении виртуальных машин, проявляющих подозрительную сетевую активность.
   • Прерывать соединение. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами.

     Это действие выбрано по умолчанию.

   • Прерывать соединение и блокировать трафик с IP-адреса отправителя. Kaspersky Security прерывает соединение между защищенной виртуальной машиной, которая проявляет подозрительную сетевую активность, и другими виртуальными машинами, а также блокирует трафик с IP-адреса, который является источником подозрительной сетевой активности. Трафик блокируется в той виртуальной локальной сети, в которой была обнаружена подозрительная сетевая активность. Продолжительность блокировки трафика настраивается в поле При обнаружении угрозы блокировать трафик на N минут.

   Информация об обнаружении подозрительной сетевой активности и выполненных действиях отправляется в Kaspersky Security Center.

   Выбор действия доступен, если установлен флажок Контролировать сетевую активность виртуальных машин.

   .

   Если сетевая защита развернута в режиме мониторинга, при обнаружении подозрительной сетевой активности Kaspersky Security выполняет действие Игнорировать.

9. Если требуется, измените значение параметра При обнаружении угрозы блокировать трафик на N минут.
10. Если требуется, настройте правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик с определенных IP-адресов или применяет особые действия при обработке этого трафика.
11. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Просмотр списка заблокированных источников сетевых угроз

В свойствах программы, установленной на SVM с компонентом Защита от сетевых угроз, вы можете просмотреть список источников сетевых угроз, заблокированных в результате работы этой SVM.

Чтобы просмотреть список заблокированных источников сетевых угроз на SVM, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте окно свойств SVM:
   1. Выберите группу администрирования, содержащую кластер KSC, в котором находится нужная SVM.
   2. В рабочей области выберите закладку Устройства.
   3. В списке выберите SVM и откройте окно свойств SVM двойным щелчком мыши или выбрав пункт Свойства в контекстном меню.

   Откроется окно Свойства: <Имя SVM>.

2. В окне свойств SVM в списке слева выберите раздел Программы.

   В правой части окна отобразится список программ, установленных на этой SVM.

3. Выберите программу Kaspersky Security для виртуальных сред 6.0 Защита без агента и откройте окно параметров программы двойным щелчком мыши или выбрав пункт Свойства в контекстном меню.

   Откроется окно Параметры программы Kaspersky Security для виртуальных сред 6.0 Защита без агента.

4. В окне параметров программы в списке слева выберите раздел Список заблокированных источников сетевых угроз.

В правой части окна отобразится таблица, содержащая список источников сетевых угроз, заблокированных в результате работы этой SVM, то есть список IP-адресов, трафик с которых программа Kaspersky Security заблокировала в результате обнаружения сетевой атаки или подозрительной сетевой активности.

В таблице для каждого источника сетевых угроз отображается следующая информация:

• IP-адрес – IP-адрес, трафик с которого программа Kaspersky Security заблокировала в результате обнаружения сетевой атаки или подозрительной сетевой активности.
• VLAN ID – идентификатор виртуальной локальной сети (VLAN), к которой относится заблокированный трафик.
• Начало блокировки – дата и время, когда программа Kaspersky Security заблокировала трафик с IP-адреса.
• Окончание блокировки – дата и время, когда трафик с IP-адреса будет автоматически разблокирован.

В списке заблокированных источников сетевых угроз вы можете выполнять следующие действия:

• Выполнять поиск заблокированных источников сетевых угроз по значениям графы IP-адрес. По умолчанию в таблице отображается информация только о последних 100 заблокированных источниках сетевых угроз. Если источник сетевых угроз, информацию о котором вы хотите посмотреть, не отображается в таблице, вы можете воспользоваться поиском. Для этого нужно ввести в поисковой строке IP-адрес, начало IP-адреса или маску подсети и нажать на кнопку Найти. В результате в таблице отображается не более 100 заблокированных источников сетевых угроз, удовлетворяющих условиям поиска.
• Сортировать список по любой графе таблицы. Если поисковый запрос не задан, сортировка выполняется по всему списку заблокированных источников сетевых угроз. Если вы выполнили поиск, сортировка применяется только к списку источников сетевых угроз, которые удовлетворяют условиям поиска.
• Обновлять информацию с помощью кнопки Обновить.

По истечении времени блокировки, заданного в параметрах программы, источник сетевых угроз автоматически удаляется из списка. Если требуется, вы можете отменить блокировку трафика с выбранных IP-адресов, не дожидаясь автоматической разблокировки.

Чтобы разблокировать трафик с IP-адреса, который признан источником сетевых угроз,

выберите один или несколько источников сетевых угроз в списке и нажмите на кнопку Разблокировать, расположенную в нижней части окна.

Проверка веб-адресов

Kaspersky Security может проверять веб-адреса, к которым обращаются по протоколу HTTP пользователь или какая-либо программа, установленная на защищенной виртуальной машине. При проверке веб-адресов Kaspersky Security может использовать базы вредоносных и фишинговых веб-адресов, а также информацию о репутации интернет-ресурсов, полученную из Глобального KSN.

По умолчанию, если проверка веб-адресов включена, Kaspersky Security проверяет веб-адреса на принадлежность к вредоносным, фишинговым и рекламным веб-адресам. Kaspersky Security также может проверять веб-адреса на принадлежность к категории веб-адресов, связанных с распространением легальных программ, которые могут быть использованы для нанесения вреда виртуальной машине или данным пользователя. Вы можете указать, какие категории веб-адресов должна обнаруживать программа.

Для обнаружения рекламных веб-адресов и веб-адресов, связанных с распространением легальных программ, которые могут быть использованы для нанесения вреда виртуальной машине или данным пользователя, требуется использование Глобального KSN в работе программы Kaspersky Security. Если Глобальный KSN не используется, программа не проверяет веб-адреса на принадлежность к этим категориям веб-адресов.

Если вы используете программу в режиме multitenancy, Kaspersky Security проверяет веб-адреса, к которым происходит обращение с виртуальных машин, только по базам вредоносных и фишинговых веб-адресов.

Если проверка включена, при обнаружении принадлежности веб-адреса к одной или нескольким выбранным категориям веб-адресов, Kaspersky Security выполняет заданное в параметрах программы действие, например блокирует или разрешает доступ к этому веб-адресу.

Если программа Kaspersky Security блокирует доступ к веб-адресу, к которому обращается пользователь, в браузере на защищенной виртуальной машине отображается сообщение о блокировке.

Вы можете сформировать список веб-адресов, доступ к которым Kaspersky Security не блокирует, независимо от действия, заданного в параметрах программы.

Kaspersky Security не проверяет веб-адрес, если к нему происходит обращение с IP-адреса, трафик которого исключен из проверки в соответствии с правилами исключения из защиты от сетевых угроз.

Включение и выключение проверки веб-адресов

Чтобы включить или выключить проверку веб-адресов, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Проверка веб-адресов.
3. Выполните одно из следующих действий:
   • Установите флажок Проверять веб-адреса, если вы хотите, чтобы программа Kaspersky Security проверяла принадлежность веб-адресов, к которым обращается пользователь или какая-либо программа, к категориям веб-адресов, выбранным для обнаружения. По умолчанию Kaspersky Security проверяет веб-адреса на принадлежность к вредоносным, фишинговым и рекламным веб-адресам. Вы можете выбрать категории веб-адресов для обнаружения в окне, которое открывается по кнопке Настройка.

     При обнаружении принадлежности веб-адреса к одной или нескольким выбранным категориям веб-адресов Kaspersky Security по умолчанию блокирует доступ к этому веб-адресу. Вы можете изменить это действие, а также сформировать список веб-адресов, доступ к которым Kaspersky Security не будет блокировать в случае обнаружения угрозы.

   • Снимите флажок Проверять веб-адреса, если вы хотите выключить проверку веб-адресов.
4. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Настройка параметров проверки веб-адресов

Чтобы настроить параметры проверки веб-адресов, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Проверка веб-адресов.
3. Установите флажок Проверять веб-адреса, если проверка веб-адресов выключена.
4. Нажмите на кнопку Настройка.

   Откроется окно Веб-адреса для обнаружения.

5. Укажите категории веб-адресов, которые должна обнаруживать программа Kaspersky Security:
   • Вредоносные веб-адреса

     

     Включение / выключение проверки веб-адресов по базе вредоносных веб-адресов.

     Если флажок установлен, Kaspersky Security проверяет веб-адреса, к которым обращается пользователь или какая-либо программа, на принадлежность к категории вредоносных веб-адресов.

     Если флажок снят, программа не проверяет веб-адреса на принадлежность к этой категории.

     По умолчанию флажок установлен.

   • Фишинговые веб-адреса

     

     Включение / выключение проверки веб-адресов по базе фишинговых веб-адресов.

     Если флажок установлен, Kaspersky Security проверяет веб-адреса, к которым обращается пользователь или какая-либо программа, на принадлежность к категории фишинговых веб-адресов.

     Если флажок снят, программа не проверяет веб-адреса на принадлежность к этой категории.

     По умолчанию флажок установлен.

   • Рекламные веб-адреса

     

     Включение / выключение проверки веб-адресов на принадлежность к категории веб-адресов, которые используются для показа рекламы или связаны с распространением рекламных программ.

     Рекламные программы предназначены для показа пользователю рекламной информации, перенаправления запросов поиска на рекламные веб-сайты и передачи своему разработчику маркетинговой информации о пользователе. В отличие от троянских программ-шпионов рекламные программы передают эту информацию с разрешения пользователя.

     Для обнаружения рекламных веб-адресов требуется использование Глобального KSN в работе программы Kaspersky Security.

     Если флажок установлен и используется Глобальный KSN, Kaspersky Security проверяет веб-адреса, к которым обращается пользователь или какая-либо программа, на принадлежность к категории рекламных веб-адресов.

     Если флажок снят, Kaspersky Security не проверяет веб-адреса на принадлежность к этой категории.

     По умолчанию флажок установлен.

   • Другие веб-адреса

     

     Включение / выключение проверки веб-адресов на принадлежность к категории веб-адресов, связанных с распространением легальных программ, которые могут быть использованы для нанесения вреда виртуальной машине или данным пользователя.

     Среди таких программ находятся программы для загрузки файлов, программы удаленного администрирования, программы для отслеживания действий пользователя, программы для работы с паролями. Эти программы используются в легальных целях, но если злоумышленники получат доступ к таким программам, они могут использовать некоторые их функции для нанесения вреда виртуальной машине или данным пользователя.

     Для обнаружения веб-адресов, связанных с распространением легальных программ, которые могут быть использованы для нанесения вреда виртуальной машине или данным пользователя, требуется использование Глобального KSN в работе программы Kaspersky Security.

     Если флажок установлен и используется Глобальный KSN, Kaspersky Security проверяет веб-адреса, к которым обращается пользователь или какая-либо программа, на принадлежность к этой категории.

     Если флажок снят, Kaspersky Security не проверяет веб-адреса на принадлежность к этой категории.

     По умолчанию флажок снят.

6. Нажмите на кнопку ОК в окне Веб-адреса для обнаружения.
7. Выберите действие в раскрывающемся списке
   Действие при обнаружении угрозы, если сетевая защита развернута в стандартном режиме

   

   Раскрывающийся список содержит действия, которые может выполнять Kaspersky Security, если устанавливает принадлежность веб-адреса к одной или нескольким категориям веб-адресов, выбранным для обнаружения, и сетевая защита развернута в стандартном режиме. Вы можете выбрать один из следующих вариантов:

   • Игнорировать. Kaspersky Security разрешает доступ к веб-адресу. При этом в Kaspersky Security Center формируется событие с информацией о том, что доступ к веб-адресу предоставлен.
   • Блокировать. Kaspersky Security блокирует доступ к веб-адресу.

     Это действие выбрано по умолчанию.

   Выбор действия доступен, если установлен флажок Проверять веб-адреса.

   .

   Если сетевая защита развернута в режиме мониторинга, при обнаружении принадлежности веб-адреса к одной или нескольким выбранным категориям Kaspersky Security выполняет действие Игнорировать.

8. В таблице Не блокировать доступ к указанным веб-адресам нажмите на кнопку Добавить или на клавишу INSERT и введите веб-адрес в графе
   Веб-адрес

   

   Веб-адрес, доступ к которому Kaspersky Security не блокирует независимо от настроенных параметров проверки веб-адресов.

   При указании веб-адресов следует учитывать следующие особенности:

   • Допускается указывать веб-адреса как с идентификатором сетевого протокола (например, http://example.org/index.html), так и без идентификатора протокола (например, example.org/index.html).
   • Маски не поддерживаются при вводе веб-адресов.
   • Вы можете указывать адрес как отдельной веб-страницы, так и веб-сайта. Если вы указали адрес веб-сайта, из блокирования исключаются также все веб-страницы этого веб-сайта. Например, если указан веб-адрес http://www.example.org, то исключаются также веб-адреса http://example.org/index.html и http://example.org/test/index.html.
   • Веб-адреса с префиксом www и без префикса www считаются разными веб-адресами. Например, если указан веб-адрес example.org, то из блокирования исключаются только адреса example.org и http://example.org, но программа может блокировать адреса www.example.org и http://www.example.org.
   .
9. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Настройка сообщения о блокировке веб-адреса

В случае блокировки веб-адреса, к которому обращается пользователь, Kaspersky Security отображает сообщение о блокировке в браузере на защищенной виртуальной машине. Вы можете просмотреть пример сообщения о блокировке веб-адреса и выбрать язык сообщения о блокировке.

Чтобы выбрать язык сообщения о блокировке веб-адреса и просмотреть пример сообщения, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Прочее.
3. По ссылке Посмотреть пример сообщения откройте пример сообщения о блокировке веб-адреса, которое отображается в браузере на защищенной виртуальной машине.

   Пример сообщения открывается в окне браузера.

4. В блоке Настройка локализации в раскрывающемся списке Язык сообщения о блокировке веб-адреса выберите язык сообщения о блокировке веб-адреса.

   По умолчанию выбран язык, соответствующий локализации плагина управления Kaspersky Security.

5. Нажмите на кнопку ОК в окне Свойства: <Название политики>.

Настройка исключений из защиты от сетевых угроз

В политике вы можете настроить правила исключения из защиты от сетевых угроз, в соответствии с которыми Kaspersky Security исключает из проверки трафик с определенных IP-адресов или применяет особые действия при обработке этого трафика. Вы можете задавать правила исключения как для трафика с отдельных IP-адресов, так и для трафика со всех IP-адресов в IP-подсети. При формировании области действия правил учитывается принадлежность трафика к виртуальной локальной сети (VLAN).

Если группа портов виртуального коммутатора работает в режиме Virtual Switch Tagging (VST), при применении правил исключения к трафику виртуальных машин, относящихся к этой группе портов, не учитывается принадлежность трафика к виртуальной локальной сети (VLAN).

Чтобы настроить правило исключения из защиты от сетевых угроз, выполните следующие действия:

1. В Консоли администрирования Kaspersky Security Center откройте свойства политики, в области действия которой находятся нужные виртуальные машины:
   1. В дереве консоли выберите папку или группу администрирования, в которой создана политика.
   2. В рабочей области выберите закладку Политики.
   3. В списке политик выберите политику и двойным щелчком мыши по политике откройте окно Свойства: <Название политики>.
2. В окне свойств политики в разделе Защита от сетевых угроз выберите подраздел Исключения из защиты.
3. Нажмите на кнопку Добавить или на клавишу INSERT и укажите область действия правила исключения в графе
   Область действия

   

   Область действия правила исключения из защиты от сетевых угроз описывает трафик, который Kaspersky Security исключает из проверки или при обработке которого применяет особые действия.

   Графа может содержать одно из следующих значений:

   • <источник трафика> novlan – правило исключения применяется к трафику с указанного источника, не отмеченному тегом принадлежности к какой-либо виртуальной локальной сети;
   • <источник трафика> vlan <ID> – правило исключения применяется к трафику с указанного источника, отмеченному тегом принадлежности к виртуальной локальной сети с указанным идентификатором;
   • <источник трафика> vlan 4095 – правило исключения применяется к трафику с указанного источника, отмеченному тегом принадлежности к виртуальной локальной сети с любым идентификатором из диапазона 1–4095;
   • <источник трафика> vlan * – правило исключения применяется к трафику с указанного источника, независимо от наличия тега принадлежности к виртуальной локальной сети;

   где:

   <источник трафика> – IP-адрес сетевого устройства или подсети в формате IPv4 или IPv6, например: 192.168.0.1, 192.168.0.0/16, fd00::1, fd00::/64

   <ID> – идентификатор виртуальной локальной сети, может принимать значения 1–4094.

   .
4. Выберите правило исключения в графе
   Правило

   

   Раскрывающийся список позволяет выбрать правило, которое Kaspersky Security будет применять при обработке трафика с IP-адресов, входящих в область действия правила исключения:

   • По умолчанию. При обработке трафика с IP-адресов, которые входят в область действия правила, Kaspersky Security применяет действие, настроенное в параметрах предотвращения вторжений и / или в параметрах проверки веб-адресов. Этот вариант позволяет гибко настраивать исключения для IP-подсетей: например, вы можете задать правило исключения для трафика IP-подсети в целом, но при этом не применять его для трафика с отдельных IP-адресов из этой IP-подсети.
   • Не проверять. Kaspersky Security исключает из проверки трафик с IP-адресов, которые входят в область действия правила. Kaspersky Security не обнаруживает сетевые атаки и подозрительную сетевую активность в трафике этих IP-адресов. Kaspersky Security не проверяет веб-адреса, к которым происходит обращение с этих IP-адресов.
   • Не блокировать. Kaspersky Security исключает из блокирования трафик с IP-адресов, которые входят в область действия правила. Если в трафике этих IP-адресов обнаружена активность, характерная для сетевых атак, и / или подозрительная сетевая активность, Kaspersky Security не блокирует трафик с этих IP-адресов независимо от настроенных действий при обнаружении угрозы. Это правило исключения может применяться, если в параметрах предотвращения вторжений задано действие Прерывать соединение и блокировать трафик с IP-адреса отправителя.

     Если трафик IP-адресов, которые входят в область действия правила, был ранее заблокирован, после исключения из блокирования Kaspersky Security отменяет блокировку.

   • Игнорировать. Kaspersky Security обнаруживает сетевые атаки и / или подозрительную сетевую активность в трафике с IP-адресов, которые входят в область действия правила, но не выполняет никаких действий в отношении трафика с этих IP-адресов. Kaspersky Security не блокирует доступ к опасным и нежелательным веб-адресам, к которым происходит обращение с этих IP-адресов, независимо от настроенных параметров проверки веб-адресов. Это правило исключения может применяться, если в параметрах предотвращения вторжений задано действие Прерывать соединение или Прерывать соединение и блокировать трафик с IP-адреса отправителя.
   .
5. Если требуется, измените положение созданного правила исключения в списке с помощью стрелок, расположенных над списком. Приоритет правила определяется его положением в списке. Если для одной и той же области действия вы задали несколько правил, то в первую очередь применяется правило, расположенное в списке выше.
6. Нажмите на кнопку ОК в окне Свойства: <Название политики>.