Print

二层bridge 组网下IPS重定向不生效问题排查

2022-06-10 发表

组网及说明

二层bridge桥模式部署,做IPS检测,规则动作为重定向。

问题描述

 将route接口加入bridge桥口中进行二层转发,在安全策略中调用IPS策略,对攻击流量进行检测并将终端的访问重定向至指定url。结果攻击流量重定向不生效,抓包看防火墙未发出重定向报文。

bridge 1 forward 

   add interface GigabitEthernet1/0/8

   add interface GigabitEthernet1/0/9

#

interface GigabitEthernet1/0/8 

  port link-mode route  

interface GigabitEthernet1/0/9

  port link-mode route

#

security-zone name 8口 

 import interface GigabitEthernet1/0/8 

security-zone name 9口 

 import interface GigabitEthernet1/0/9

app-profile 7_IPv4 

 ips apply policy ips mode protect

#

ips policy ips

 object-dir server 

 action block-source drop permit reset

 signature override pre-defined 42545 enable redirect logging

#

inspect redirect parameter-profile ips_redirect_default_parameter 

 redirect-url http://192.168.0.1:8080 

#

security-policy ip 

 rule 0 name ips 

 action pass 

 profile ips

 source-zone 8口 

 destination-zone 9口 



过程分析

route模式接口加入bridge桥口中,实际相当于二层环境报文进行透传,对于转发流量没有问题,但重定向报文由于是防火墙本地发出,接口route模式时,重定向报文无法发出。



解决方法

将接口改成bridge模式