A inspeção de pacotes com monitoração de estado é o padrão da indústria para segurança de rede para lidar com o comportamento de invasores mal-intencionados. Como você está executando uma rede assimétrica na qual os pacotes podem entrar e sair em diferentes segmentos de rede, seu IPS provavelmente não pode manter o estado para todas as transações, é altamente provável que os ataques não sejam identificados e possam continuar em seu caminho. entregar sua carga ao seu destino. Então, basicamente, será mais um band-aid do que uma solução com muitas falsas esperanças.
Como as inspeções com informações de estado não apenas examinam as informações de cabeçalho, elas também inspecionam todo o conteúdo do pacote (até a camada de aplicação) e determinam mais contexto sobre o pacote além de suas informações de origem e destino. A inspeção com informações de estado também monitora o estado de uma conexão e compila informações históricas em uma tabela de estado / sessão. Como resultado, as decisões de filtragem dinâmica podem ser expandidas além das regras definidas pelo administrador típico que simplesmente bloqueiam endereços IP conhecidos ou portas TCP (como na filtragem de pacotes estáticos) para levar em conta o contexto de um pacote que foi estabelecido por pacotes que passaram anteriormente o IPS.
Sem a inspeção stateful ativada, você está basicamente fazendo o bloqueio normal do firewall e deixando a maior parte do tráfego sem monitoramento. Não tenho certeza do tipo de linha do tempo em que você está, mas eu instalaria uma caixa IDS na sua rede, conecte-a ao switch principal por meio de uma porta de espelhamento por algumas semanas para ter uma ideia de como e quem são seus principais ameaças de segurança suspeitas e, em seguida, planeje um curso de ação.
Usamos Snorby ou Security Onion em nossa rede e funciona muito bem para identificar possíveis ameaças. Eu mesmo tenho configurado para enviar-me por e-mail todas as noites os relatórios dos dias anteriores, onde ele mostra quais IPs locais têm o tráfego mais suspeito e quais assinaturas estão atingindo. Então, podemos fazer backup e pesquisar se os hits da assinatura são reais ou falsos positivos. Em seguida, trabalhe para corrigir o problema.
Espero que isso ajude