【IDS/IPS】误拦截如何处理

2线-彭汝佳发表于:2020年09月02日 14:27:40更新于:2020年09月10日 10:23:36

适配版本


产品:IDS/IPS

版本:版本无关

平台:平台无关

内容


IPS串联部署在内网环境中,启用ips特征模板后,对客户的正常业务造成影响,需要首先去查看可视–事件监控中是否有对应阻断业务的ip和端口,如果ip和端口及发生时间均对应阻断业务时,我们判断是ips特征误拦截造成的业务影响。

针对于这种情况发生,有两种处理方式:

1)在现有的特征模板中禁用这条特征。(此操作使所有ip不会再匹配这个特征)

2)新建一条安全策略,源和目的分别设置为被阻拦业务的地址,调用一个新的ips模板,在这个新的ips模板中禁用这个特征,将新建的安全策略置顶。(此操作不会影响其他ip地址继续匹配这个特征)

一、在现有策略中禁用特征:

1、我们需要先确认图中标注的特征id,如图例:1000022


2、进安全策略中查看调用的特征模板,如图例调用的默认IPS模板

image.png

image.png

默认模版无法修改特征选项,需自定义新的IPS1模版,调用IPS默认模版即可。

3、在资源--策略对象–入侵特征对象中找到ips模板点击右侧编辑按钮

image.png

4、在打开的模板页面右上角搜索特征ID1000022,点击右侧的启用按钮,将这个对应特征禁用。

image.png

二、在新建策略中禁用特征:

1、确认特征ID,并在新建特征模板ips2中禁用,如例子1000022

image.png

2、在资源--资源对象–地址对象中新建地址对象192.168.10.27和192.168.10.30

image.png

3、新建安全策略,调用地址和策略模板ips2,并将策略置顶

image.png