入侵防御对数据流的处理

入侵防御对数据流的处理
入侵防御配置文件包含多个签名过滤器和多个例外签名。
签名、签名过滤器、例外签名的关系如图1所示。假设设备中配置了3个预定义签名，分别为a01、a02、a03，且存在1个自定义签名a04。配置文件中创建了2个签名过滤器，签名过滤器1可以过滤出协议为HTTP、其他项为条件A的签名a01和a02，动作为使用签名缺省动作。签名过滤器2可以过滤出协议为HTTP和UDP、其他项为条件B的签名a03和a04，动作为阻断。另外，2个配置文件中分别引入1个例外签名。例外签名1中，将签名a02的动作设置为告警；例外签名2中，将签名a04的动作设置为告警。
签名的实际动作由签名缺省动作、签名过滤器和例外签名的动作共同决定的，参见图1中的“签名实际动作”。
图1 签名、签名过滤器、例外签名的关系

当数据流命中的安全策略中包含入侵防御配置文件时，设备将数据流送到入侵防御模块，并依次匹配入侵防御配置文件引用的签名。入侵防御对数据流的通用处理流程请参见图2。
图2 入侵防御对数据流的处理

当数据流命中多个签名，对该数据流的处理方式如下：
如果这些签名的实际动作都为告警时，最终动作为告警。
如果这些签名中至少有一个签名的实际动作为阻断时，最终动作为阻断。
当数据流命中了多个签名过滤器时，设备会按照优先级最高的签名过滤器的动作来处理。