Provavelmente é uma pergunta estúpida, mas ainda pode ser útil não apenas para mim.
Eu tenho um firewall Juniper SRX em uma filial. Todas as portas estão bloqueadas da Internet para a rede interna. Todas as portas são abertas da rede interna para a Internet.
Existe algum benefício em usar IPS nele?
Isso me protegerá de qualquer tipo de ataque se todas as portas de entrada forem bloqueadas?
Sim, existe um benefício e sim pode proteger contra certos tipos de problemas/ataques.
Especificamente, você está bloqueando apenas conexões de entrada, qualquer comprometimento que comece em um de seus computadores e origine uma conexão de saída ainda funcionará.
Compromissos podem ser introduzidos em um de seus computadores locais a partir de um grande número de fontes. Aqui está uma breve (não inclusiva) lista de vetores de ataque:
Um IDS/IPS monitorando seu tráfego de saída é capaz de monitorar e ajudar a evitar que hosts comprometidos em sua rede cheguem à Internet. Isso pode impedir as funções de comando e controle, a capacidade de alguém voltar em uma dessas conexões, a instalação de outros softwares maliciosos, o roubo de dados, etc.
Ele também fornece o benefício adicional de informar sobre hosts comprometidos para que você possa lidar com eles (possivelmente antes que eles comprometam outros hosts em sua rede).