Ak155防火墙策略的问题

在对象-应用安全-入侵防御 去自定义配置文件，给这些阻断的特征改成放行。

不过误阻断一般是特征库版本问题，最好先升级下特征库版本到最新看看还会不会阻断。

启用入侵防御特征库后出现阻断问题，可通过以下步骤排查和解决（引用信息中的相关文档）：

1. 定位触发规则：

   • 在防火墙的安全日志中查看被阻断的访问记录，确认触发的威胁ID（如信息所示）。
   • 若日志未明确记录，可临时在入侵防御配置文件中开启抓包功能（信息的“抓包”参数），捕获被阻断的报文进行分析。

2. 设置例外特征：

   • 在入侵防御配置文件的“设置例外特征”区域，输入日志中查到的威胁ID，将其添加为例外（信息）。
   • 编辑该例外特征的动作，修改为允许（信息的“修改例外特征”功能），确保此规则不再阻断业务流量。

3. 调整特征库动作：

   • 若无法确定具体威胁ID，可尝试在配置文件中启用**“日志”功能**但不阻断（信息），观察一段时间内的攻击日志，再针对性放行。
   • 或通过**“设置特征统一动作”** 将筛选出的特征动作临时改为允许（信息），但需谨慎评估安全风险。

4. 验证特征库配置：

   • 检查是否因特征库版本过旧导致误判（信息），需升级至官网最新版本（升级方法见信息）。
   • 确认License有效性（信息），无效License可能影响特征库功能。

5. 其他注意事项：

   • 提交配置后需单击 <提交> 按钮激活策略（信息），但此操作会短暂中断DPI业务，建议在业务低峰期操作。
   • 若需长期放行特定业务，建议在安全策略中单独配置放行规则（信息），而非全局关闭入侵防御。

引用说明：

• 定位威胁ID的方法见信息。
• 例外特征配置步骤见信息的“设置例外特征”和“修改例外特征”部分。
• 特征库升级参考信息，License检查参考信息。

通过以上步骤，既可保持入侵防御功能启用，又能避免误阻断关键业务流量。

要找出是哪条入侵特征库规则阻断了单位内部服务器的访问，最关键也最高效的方法，是通过分析防火墙的安全日志（IPS日志）。日志文件会像“监控录像”一样，清晰地记录下每一次阻断事件以及对应触发的规则ID。

 第一步：定位阻断规则，找出“误报”ID

1. 开启IPS的日志记录功能：要定位问题，首先得确保“监控摄像头”是开着的。
   在Web管理界面中，进入 “系统 > 日志设置”，确保开启了“入侵防御日志”，并将级别设置为“信息”或更高，以便记录所有匹配上的事件。

2. 获取并分析日志：开启日志后，需要从被阻断的电脑上再次尝试访问内部服务器，重现故障。然后找到对应的日志条目，里面会包含关键信息。

   • 在Web界面，可在 “系统 > 日志查询” 或 “监控 > 安全日志” 界面，按时间点筛选。

   • 通过命令行（SSH/Telnet），执行以下命令来快速搜索：

     display logbuffer | include IPS

   • 解读日志：在日志中，你需要重点关注以下信息：

     • SrcIP / DstIP：源IP（客户端电脑）和目的IP（内部服务器）。请确认日志中拦截的就是你期望的访问流量。

     • SigID 或 IPSID：**这是问题的关键 **。这个ID就是误判为“攻击”的特征库规则编号。

     • Action：应显示为Block或Deny，表示该事件被防火墙阻断。

     • AttackName：规则的名称，通常会包含攻击的简要描述，比如SQL Injection、Trojan Horse等。这能帮你初步判断它为什么会被拦截。

 第二步：根据日志，采取“对症”的解决措施

找到具体的SigID后，可以参考下面三种方案来解决问题。这三种方案各有侧重，你可以根据自己的网络环境和需求灵活选择。

方案一：升级特征库（首选建议，治本）

有时误报是由于特征库规则过时造成的。请务必先将入侵防御特征库升级到最新版本，H3C会持续优化规则，许多已知的误报在新版本中已被修复。这往往是解决问题的根本方法。

方案二：精细配置IPS例外（影响小，推荐）

如果升级库后问题依旧，最稳妥的方式是为误报规则创建“例外”，让它对特定服务器或IP段仅告警，不阻断。这是一种兼顾了安全防护和业务连续性的精细调整方式。

Web界面配置（推荐）：

1. 进入 “策略 > 入侵防御”，找到你正在使用的IPS策略（例如默认策略）。

2. 在策略规则列表中，点击 “添加” 或类似选项，新建一条例外规则。

3. 配置过滤条件：

   • 规则ID：填入你从日志中查到的那个阻断规则的SigID。

   • 源/目的安全域：根据你的网络拓扑，指定为Trust（内网）到Trust（内网）或Local（防火墙自身）。

   • 源IP地址：选择“any”或指定需要访问服务器的那些客户端电脑的IP。

   • 目的IP地址：这是关键。输入你单位内部服务器的IP地址（例如192.168.20.0/24），确保例外不影响其他流量。

   • 动作：必须选择“允许”或“仅告警”，这样匹配到这条规则的流量就不会被阻断了。

一、先定位：是哪条特征在拦（必做）

1. 看 IPS 日志（Web 界面）

1. 登录防火墙 Web
2. 进入：数据中心 → 日志中心 → 安全日志 → 入侵防御日志
3. 过滤：

• 源：被阻断的电脑 IP
• 目的：内部服务器 IP
• 动作：丢弃 /reset

4. 找到对应记录，重点记：

• Attack ID（特征 ID）
• 特征名称 / 签名名
• 源目 IP、端口、协议

2. 命令行查看（备选）

二、临时解决：把误拦特征改成 “告警放行”

1. 进入：策略 → 安全策略 → IPS 策略
2. 新建 / 编辑 IPS 配置文件（你现在安全策略里引用的那个）
3. 找到那条特征：

• 方式 A：直接在日志里点 特征 ID → 加入例外列表
• 方式 B：在 IPS 特征库搜索刚才记下的 Attack ID

4. 把动作从 丢弃 改成：

• 允许（Permit）+ 记录日志

5. 保存、更新策略，不需要停用整个 IPS

三、更稳做法：给内部业务开 “白名单”

方案 A：源目 IP 例外（推荐）

1. 进入 IPS 策略 → 例外签名 / 例外 IP
2. 添加例外：

• 源：内部电脑网段
• 目的：内部服务器 IP / 段
• 动作：不检测 IPS
  这样内网互访直接绕过 IPS，又不影响外网防护。

方案 B：安全策略分层

• 外网 → 内网：启用完整 IPS
• 内网 → 内网：不启用 IPS / 只放行业务端口

四、排查思路总结（以后遇到类似误杀）

1. 必看日志：IPS 日志里找 ips-drop + 特征 ID
2. 不要一刀切：关闭整个 IPS 不安全，只禁用 / 放行误杀单条特征
3. 内网白名单：信任网段互访直接免 IPS 检测，最省事