根据您描述的现象,这实际上是一个非常典型且合理的IPS检测场景。内网防火墙仍然能看到同样的威胁日志,并不意味着互联网防火墙的丢弃动作无效,而是由多种合理因素导致的。让我为您详细分析原因并提供解决方案。
根本原因分析
1. "丢弃"动作的时间差(最主要原因)
IPS处理流程:互联网防火墙检测到攻击报文时,处理顺序是:
报文进入IPS检测引擎
匹配特征,记录日志
执行丢弃动作
关键点:日志记录发生在丢弃动作之前。这意味着攻击报文被记录后才被丢弃。
2. 会话/连接追踪机制
即使第一个攻击包被丢弃,攻击者可能仍在持续发送攻击流量
互联网防火墙可能只丢弃了触发规则的特定报文,但攻击连接中的其他报文可能通过了检查
攻击者可能使用分布式攻击(不同源IP),互联网防火墙可能只拦截了部分
3. 网络拓扑与流量路径
攻击者 → 互联网防火墙 → (丢弃动作) → 内网防火墙 → 服务器
(记录日志1) (记录日志2)
如果互联网防火墙是透明模式或路由模式但未开启会话阻断,后续攻击报文可能通过
详细排查与解决方案
第一步:确认攻击报文是否真的被丢弃
在互联网防火墙上验证:
第一步:确认攻击报文是否真的被丢弃 在互联网防火墙上验证: # 1. 查看具体的攻击日志详情 display ips attack log verbose # 查找对应攻击的记录,重点关注: # - 攻击动作:应为 "Drop" # - 攻击报文数:可能只丢弃了1个包 # - 会话状态:可能只丢单包,未阻断会话 # 2. 查看接口计数,确认丢弃统计 display interface counter inbound/outbound | include drop display firewall session statistics # 3. 查看IPS策略配置详情 display ips policy [policy_name] # 确认动作是否为 "drop" 或 "block" 在内网防火墙上对比: # 对比攻击的五元组信息 display ips attack log | include [攻击特征ID或源IP] # 记录:源IP、目的IP、源端口、目的端口、协议、时间戳 第二步:优化互联网防火墙的IPS策略 将"丢弃"升级为"阻断"(推荐) # 进入IPS策略视图 system-view ips policy [policy_name] # 1. 修改动作为阻断(阻断整个会话) rule [rule_id] action block # 2. 或者配置更严格的丢弃(丢弃并终止会话) rule [rule_id] action drop session fin-rst send # 发送FIN/RST终止连接 # 3. 设置阻断时间(例如阻断300秒) rule [rule_id] action block block-period 300 # 4. 退出并应用 quit 配置会话阻断(关键配置): # 全局开启会话阻断 ips session block enable # 或者在接口应用策略时指定阻断 interface GigabitEthernet1/0/1 ips apply policy [policy_name] outbound block-session 第三步:检查网络拓扑与流量路径 确认是否存在旁路路径: # 1. 检查路由表,确认是否有其他路径绕过互联网防火墙 display ip routing-table [目标服务器IP] # 2. 检查NAT策略,确认攻击流量是否被NAT转换 display nat policy display nat session source-ip [攻击者IP] # 3. 检查负载均衡或链路聚合配置 display link-aggregation verbose display vrrp verbose 抓包验证(最直接的方法): # 在互联网防火墙的内网侧接口抓包 diagnostic packet-capture interface GigabitEthernet1/0/2 inbound capture-filter ip host [攻击者IP] and ip host [服务器IP] capture-only quit # 等待攻击发生,然后停止抓包 display packet-capture status # 下载抓包文件分析,确认攻击报文是否真的被丢弃 第四步:优化日志记录策略 减少重复日志记录: # 1. 设置攻击日志聚合(减少重复记录) ips log aggregation enable ips log aggregation threshold 5 # 5秒内相同攻击合并记录 # 2. 调整日志级别,只记录重要事件 ips log level { 1 | 2 | 3 | 4 | 5 | 6 | 7 } # 通常设置为3(中等)即可 # 3. 配置日志抑制(防止日志风暴) ips log suppress enable ips log suppress threshold 10 interval 60 # 60秒内相同攻击最多记录10次 第五步:验证配置有效性 创建测试用例验证: # 1. 模拟攻击测试(使用合法测试工具) # 在外网发起测试攻击 # 2. 实时监控丢弃动作 display ips attack statistics real-time # 3. 检查会话表,确认攻击会话被阻断 display firewall session table source-ip [测试IP] verbose # 应该看到会话状态为 "Blocked" 或 "Deny" 对比两台防火墙的检测结果: # 互联网防火墙执行: display ips attack log source-ip [攻击IP] destination-ip [服务器IP] last 10 minutes # 内网防火墙执行同样的命令 # 对比时间戳:内网防火墙记录的时间应晚于互联网防火墙(如果有的话) # 理想情况:内网防火墙不应记录到相同攻击 高级优化方案 方案一:分层防护策略 # 互联网防火墙:侧重DDoS防护和粗粒度攻击 ips category { ddos | exploit | malware } severity { high | critical } action block # 内网防火墙:侧重应用层攻击和精细防护 ips category { web-attack | sql-injection | xss } severity { medium | high } action alert # 内网以告警为主,因为大部分攻击应在互联网侧被阻断 方案二:启用威胁情报联动 # 如果支持威胁情报功能 threat-intelligence enable threat-intelligence update interval 3600 # 配置自动阻断 threat-intelligence action block category { malware-c2 | botnet } confidence 80 方案三:配置IPS策略同步(如使用集中管理) 如果使用H3C iMC等集中管理平台: # 在管理平台上配置策略统一下发 # 确保两台防火墙策略一致,避免检测差异
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论