流量安全业务因没有启动接口防御模式导致防御失败

发布时间:  2014-06-12 浏览次数:  331 下载次数:  0
问题描述
现象描述:
某网络采用直路IPS部署方式,当攻击者发出SYN Flood攻击,但是NIP并没有启用防御,受害主机仍然能收到攻击流量。 
告警信息
通过流量安全日志,没有任何告警以及日志产生。
处理过程
1、SYN Flood攻击流量没有到达NIP2100。 根据在受害主机抓包发现,流量已经通过NIP2100。
2、SYN Flood攻击流量到达NIP2100,但是没有启用全局相应的策略。根据查看全局配置,发现已经启用。

3、SYN Flood攻击流量到达NIP2100,没有启用相应的防御开关。连接外部网络的b01接口,错误的配置了服务器流量防御模式。应该为客户端流量防御。 
4、修改后发现可以正常防御流量。
 

根因
由于没有任何告警,分析威胁防护策略没有启用。
1、SYN Flood攻击流量没有到达NIP2100。
2、SYN Flood攻击流量到达NIP2100,但是没有启用全局相应的策略。
3、SYN Flood攻击流量到达NIP2100,没有启用相应的防御开关。
建议与总结
1、在流量安全的配置中,切记配置防御模式,否则不会防御生效。此防御模式仅对流量安全策略有效。
2、主要防御模式的选择,连接内部网络的接口配置服务器流量防御,连接外部网络的接口配置客户端流量防御。原因是“服务器流量防御”不会对此接口的流量进行防范,“客户端流量防御”会对此接口的流量进行防范。

END