防火墙都看到有木马了，为什么还是自己放行，

一、核心原因（按概率排序）

1. 安全策略中，IPS / 入侵防御的动作默认是「告警」而非「阻断」

• 很多防火墙默认的default安全策略 / IPS 事件集，对木马流量的动作是仅告警（记录日志 + 放行），不是阻断。
• 即使检测到 “银狐团伙后门变种” 这类高危威胁，也只是记录日志，不丢弃报文。

2. 安全策略的优先级 / 应用顺序问题

• 这条流量匹配了一条更靠前的、动作为 “允许” 的基础策略，且该策略没有绑定阻断的 IPS 配置。
• 或者 IPS 策略没有正确绑定到这条跨 Trust1→Trust1 的流量策略上。

3. 入侵防御（IPS）签名 / 事件集的动作未修改

• 威胁 ID 56609 对应的 IPS 签名，默认动作是 “告警”，需要手动修改为 “阻断”。
• 部分防火墙需要在IPS 策略 / 事件集里单独配置每个威胁的处理动作，而不是全局开关。

4. 跨同安全域（Trust1→Trust1）流量未开启 IPS 阻断

• 防火墙默认对同域流量（如内网互访）不做严格阻断，只做检测告警，防止误断业务。
• 你这条流量源和目的都在Trust1域，防火墙默认仅记录日志，不阻断。

二、🔥 分步处理方案（按优先级操作）

步骤 1：修改对应安全策略的 IPS / 入侵防御动作

1. 找到这条流量匹配的安全策略（通常是default或同域互访策略）。
2. 在策略的入侵防御 / IPS 配置中，将 “动作” 从「告警」改为「阻断 + 告警」。
3. 或者直接在策略中启用 “高危威胁阻断”，确保木马类流量匹配后被丢弃。

步骤 2：修改威胁 ID 56609 对应 IPS 签名的动作

1. 进入 ** 入侵防御（IPS）** 配置页面，搜索威胁 ID 56609 或威胁名称 “银狐团伙后门变种”。
2. 编辑该签名的动作，从默认的「告警」改为「阻断 + 记录日志」。
3. 应用并保存配置，确保 IPS 策略已下发到设备。

步骤 3：检查同域流量的 IPS 阻断开关

1. 确认Trust1域之间的流量策略，是否启用了 IPS 检测。
2. 开启同域流量 IPS 阻断，或针对木马 / 恶意流量类别的威胁配置阻断动作。

步骤 4：临时处理当前主机的威胁

1. 先对源 IP 192.168.254.32 进行隔离：
   • 内网交换机上禁用该端口，或防火墙临时配置黑名单阻断该 IP 的所有出网流量。
2. 对该主机进行全盘杀毒、木马查杀，确认是否已被植入后门。

三、关键注意事项

• 直接阻断可能影响业务，建议先在测试环境验证，或先配置 “阻断 + 告警” 观察效果。
• 检查防火墙 IPS 特征库是否为最新版本，确保能识别该变种威胁。
• 跨域（如 Trust→Untrust）和同域（Trust→Trust）流量的 IPS 策略需要分别配置，很多防火墙默认对同域流量不阻断。