入侵防御对数据流的处理
入侵防御对数据流的处理
入侵防御配置文件包含多个签名过滤器和多个例外签名。
签名、签名过滤器、例外签名的关系如图1所示。假设设备中配置了3个预定义签名,分别为a01、a02、a03,且存在1个自定义签名a04。配置文件中创建了2个签名过滤器,签名过滤器1可以过滤出协议为HTTP、其他项为条件A的签名a01和a02,动作为使用签名缺省动作。签名过滤器2可以过滤出协议为HTTP和UDP、其他项为条件B的签名a03和a04,动作为阻断。另外,2个配置文件中分别引入1个例外签名。例外签名1中,将签名a02的动作设置为告警;例外签名2中,将签名a04的动作设置为告警。
签名的实际动作由签名缺省动作、签名过滤器和例外签名的动作共同决定的,参见图1中的“签名实际动作”。
图1 签名、签名过滤器、例外签名的关系
当数据流命中的安全策略中包含入侵防御配置文件时,设备将数据流送到入侵防御模块,并依次匹配入侵防御配置文件引用的签名。入侵防御对数据流的通用处理流程请参见图2。
图2 入侵防御对数据流的处理
当数据流命中多个签名,对该数据流的处理方式如下:
如果这些签名的实际动作都为告警时,最终动作为告警。
如果这些签名中至少有一个签名的实际动作为阻断时,最终动作为阻断。
当数据流命中了多个签名过滤器时,设备会按照优先级最高的签名过滤器的动作来处理。
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 入侵防御对数据流的处理
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 入侵防御对数据流的处理
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm