- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-IPS FAQ
本章节下载: 05-IPS FAQ (159.90 KB)
两个原因:
· 确保流量能够打通,确实到达设备上了。
· 观察设备是否报内存门限告警,设备一旦报内存门限,日志报表上面的数据就不会再更新,除非设备重启。
(1) IPS功能需要安装License才能使用。License过期后,IPS功能可以用,但无法升级到License过期后官网发布的新版本特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
(2) 设备支持预定义IPS特征,其由系统中的IPS特征库自动生成。预定义IPS特征的内容不能被创建、修改和删除,但是预定义IPS特征的动作属性和生效状态属性可以被修改。
(3) IPS动作是指设备对匹配上IPS特征的报文做出的处理。IPS处理动作包括如下几种类型:
a. 黑名单:阻断符合特征的报文。如果设备上同时开启了黑名单过滤功能,则将该报文的源IP地址加入IP黑名单,再次收到来自此IP地址的报文时直接丢弃;如果设备上没有开启黑名单过滤功能,则仅阻断报文,而不会把报文的源IP地址加入IP黑名单。有关黑名单功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”。
b. 丢弃:丢弃符合特征的报文。
c. 允许:允许符合特征的报文通过。
d. 重置:通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接。
e. 重定向:把符合特征的报文重定向到指定的Web页面上。
f. 捕获:捕获符合特征的报文。
g. 日志:对符合特征的报文生成日志信息。
h. 邮件:对符合特征的报文生成邮件信息。
都与应用层检测引擎有关,需要由应用层检测引擎进行检测,并在域间策略中引用业务的策略,各业务以应用层检测引擎的会话信息来进行识别。此外,攻击的识别也与APR的设置相关。
黑名单优先级高于IPS处理。
重置、重定向、黑名单、丢弃、允许5个动作是与的关系,与捕获、日志、邮件是或的关系。
动作优先级从高到低的顺序为:重置>重定向>(黑名单/丢弃)>允许,其中黑名单与丢弃的优先级相同。
如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作进行处理。
一般情况下是由于port-mapping对于本可以识别的攻击报文的端口进行了设置,删除该port-mapping设置,攻击就可以正常识别了。
为了避免修改系统时间绕过License检查,是否能升级特征库不以License状态为准。而是通过对比License授权时间和特征库发布时间,如果特征库发布时间不在License授权时长内则不能升级特征库。
通过报文中CDN-src-ip、X-Forwarded-For字段IP进行提取。
目前抓包功能需要在设备挂载硬盘的情况下才能生效,同时需要在命令行下开启ips capture-cache X(X为1-10,指每次抓包的数量)。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
