配置了入侵防御检测却未有效阻断攻击

发布时间:  2014-09-20 浏览次数:  85 下载次数:  0
问题描述
典型组网如图29-1所示,某企业在网络边界处部署了NGFW作为安全网关。在NGFW上配置入侵防御功能,防范Internet用户、内部用户对内网服务器的攻击,并在内网用户访问Internet服务器时,防范含有恶意代码的网站对用户发起的攻击。
在某个时刻,FTP服务器受到了来自Internet的某种网络攻击,导致FTP服务器工作异常。该服务器管理员通过查看主机自带的安全软件记录该攻击的详细信息,上报给NGFW管理员。

处理过程
有记录该攻击事件的日志,但是对应签名的“动作”为“alert”。
查看方法:
1. 在“威胁日志”中,查找匹配该攻击的日志,单击该条日志前的 。
2. 在“威胁”区域框中,“动作”为“alert”。
可能原因如下:
− 该签名被过滤到签名过滤器中,且动作为“告警”。
− 该签名被引用到例外签名中,且动作为“告警”。
处理步骤如下:
1. 在“威胁”区域框中,查看并记录“威胁ID”后的ID值。
2. 在“威胁”区域框中,单击“配置文件”后的名称,进入“修改入侵防御配置文件”界面。
3. 在“例外签名”中,查找该签名的ID。如果可以查找到,则修改该签名的动作为“阻断”。
4. 如果例外签名中未引用该签名,则说明该签名被过滤到签名过滤器中。
在“例外签名”中,输入该签名ID,并选择动作为“阻断”。
5. 单击“确定”,退出入侵防御配置文件界面。
6. 单击界面右上角的“提交”。

说明:执行编译需要占用系统资源,在高负载情况下编译时间可能稍长,对系统有一定影响,请勿频繁操作。

没有记录该攻击事件的日志,即该攻击未命中签名。
可能原因及相应的处理步骤如下:
1. 安全策略中添加的入侵防御配置文件未包含匹配该攻击的签名。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击源安全区域为Untrust、目的安全区域为DMZ的安全策略,进入安全策略修改界面。
c. 在“内容安全配置文件”中单击“入侵防御”后的“配置”,进入入侵防御配置文件界面。
d. 在“签名过滤器”和“例外签名”中,查看签名过滤器或例外签名中是否引入了匹配该攻击的签名。
e. 如果均未查找到匹配该攻击的签名,则在“例外签名”中,输入签名ID,单击“添加”,并选择动作为“阻断”。
f. 单击“确定”,退出入侵防御配置文件界面。
g. 单击界面右上角的“提交”。

说明:执行编译需要占用系统资源,在高负载情况下编译时间可能稍长,对系统有一定影响,请勿频繁操作。

2. 安全策略中未添加入侵防御配置文件。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击源安全区域为Untrust、目的安全区域为DMZ的安全策略,进入安全策略修改界面。
c. 在“内容安全配置文件”区域框中,查看“入侵防御”中是否引用了入侵防御配置文件。
d. 如果域间安全策略中未添加入侵防御配置文件,请在下拉列表中选择入侵防御配置文件,并单击“确定”,将安全配置文件应用到策略中。
选择入侵防御配置文件前,请确保该配置文件中包含了对应的签名。具体方法请参见配置入侵防御。
e. 单击界面右上角的“提交”。

说明:执行编译需要占用系统资源,在高负载情况下编译时间可能稍长,对系统有一定影响,请勿频繁操作。

3. 修改配置后,未提交编译。
如果以上原因均已排查无误,问题仍然没有解决,请在最终修改完配置后,单击右上角的“提交”按钮进行编译。
如果单击“提交”后,系统提示没有可提交的内容,说明并非此项原因导致,请进行其他项的排除。

说明:执行编译需要占用系统资源,在高负载情况下编译时间可能稍长,对系统有一定影响,请勿频繁操作。

4. 未加载最新版本入侵防御签名库。
选择“系统 > 升级中心”,查看“入侵防御特征库”的当前版本是否为最新版本。
如果当前版本不是最新版本,请进行版本升级。升级方式请参见升级中心。
5. 如果以上原因均已排查无误,问题仍然没有解决,请联系技术支持工程师。

END