【IDS】【安全策略】无入侵检测事件

颜采蘋发表于:2021年06月15日 14:57:24

1 问题描述

       现场反馈设备无法产生入侵检测事件,可视-事件监控-入侵检测事件IDS事件列表显示为空。检查配置:安全策略中,条件匹配是源目地址any,安全业务-入侵检测使用的是level 5模板:

image.png

       全局配置-安全策略-安全状态检查级别为高:

image.png

       全局配置-会话策略-状态检查策略为1级,且会话优先未开启:

image.png

       首页查看会话数较少:

image.png 

2 适用场景

       全系列版本。

3 原因分析

       启用IDS模式的接口,即流量接收口未放通VLAN导致;客户实际业务流量存在VLAN,接口不放通VLAN, 流量到接口后就不处理了,无法创建会话,安全策略检测是基于会话的,所以没有事件产生。接口配置如下图:

image.png

4 解决办法

       启用IDS模式的接口放通VLAN解决,如下图:

image.png