所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

流量安全业务因没有启动接口防御模式导致防御失败

发布时间:  2019-07-22 浏览次数:  450 下载次数:  0

问题描述

现象描述:
某网络采用直路IPS部署方式,当攻击者发出SYN Flood攻击,但是NIP并没有启用防御,受害主机仍然能收到攻击流量。 

告警信息

通过流量安全日志,没有任何告警以及日志产生。

处理过程

1、SYN Flood攻击流量没有到达NIP2100。 根据在受害主机观察发现,流量已经通过NIP2100。
2、SYN Flood攻击流量到达NIP2100,但是没有启用全局相应的策略。根据查看全局配置,发现已经启用。

3、SYN Flood攻击流量到达NIP2100,没有启用相应的防御开关。连接外部网络的b01接口,错误的配置了服务器流量防御模式。应该为客户端流量防御。 
4、修改后发现可以正常防御流量。
 

根因

由于没有任何告警,分析威胁防护策略没有启用。
1、SYN Flood攻击流量没有到达NIP2100。
2、SYN Flood攻击流量到达NIP2100,但是没有启用全局相应的策略。
3、SYN Flood攻击流量到达NIP2100,没有启用相应的防御开关。

建议与总结

1、在流量安全的配置中,切记配置防御模式,否则不会防御生效。此防御模式仅对流量安全策略有效。
2、主要防御模式的选择,连接内部网络的接口配置服务器流量防御,连接外部网络的接口配置客户端流量防御。原因是“服务器流量防御”不会对此接口的流量进行防范,“客户端流量防御”会对此接口的流量进行防范。

END