IPS防病毒功能故障排查.pdfVIP

IPS防病毒功能故障排查 一、开始 防病毒设备上的防病毒业务以在线方式运行于网络主干上。通过采用 实时分析，自动阻截携带病毒的报文与异常流量。针对这些异常流量 版权所有:杭州华三通信技术有限公司 ，通常施以阻截、隔离或干扰的处置，以预防病毒在网络中传播。您 可以通过配置策略实现实时分析、检测网络流量，并执行定义的动作 。 IPS防病毒功能定位问题的思路是，通过查看设备工作模式，引流配置 ，确认设备二层回退状态，查看防病毒功能配置，是否存在误识别等 步骤逐步排查，确认问题所在。 1、查看设备工作模式 通过登录IPS插卡，查看设备目前的工作模式：直连或者旁路。如果为 旁路部署，需修改为直连部署。 例如：通过WEB页面查看IPS当前工作模式。 通过WEB页面，可以查看到连接模式处于直连模式，应用模式为完整功 能集，在此情况下，IPS防病毒功能才能生效。 2、查看设备引流配置 通过登录IPS插卡，查看设备安全域配置，确认设备内部域接口和外部 域接口选择无错误。 例如：通过WEB页面查看，内部域所选端口为连接内网端口，外部域所 选端口为连接外部域端口。 版权所有:杭州华三通信技术有限公司 版权所有:杭州华三通信技术有限公司 如图可以看出内部域端口定义为Eth0/2，外部域端口定义为Eth0/3。 查看IPS上段配置，确认内部域以及外部域成功关联，并正确调用。。 例如：通过IPS插卡的WEB页面，查看IPS插卡段配置。 如图所示，通过查看段配置，确认内部域为in，接口为Eth0/2，外部 域为out，接口为Eth0/3，关联段为0。 3、查看二层回退状态 查看IPS插卡二层回退状态，确认设备处在正常工作状态。 例如：通过WEB页面，查看设备二层回退状态，设备是否使能了二层回 退。 如图所示，通过查看设备二层回退状态，确认设备未使能二层回退功 能，当前设备处于正常工作模式。 版权所有:杭州华三通信技术有限公司 4、查看引流功能 防病毒功能要求双向流量都经过设备才能成功生效。如果是单向流， 会导致防病毒不生效。因此，首先要检查双向流量是否引到设备上。 例如 “大概看” 在导航栏中选择“报表 报文统计”中可以看到单向的实时报文统计，如果段的双向都有报文 统计，说明双向流量大概都引到了设备上。 “仔细看” 在导航栏中选择“带宽管理 策略管理”，新建策略应用，默认规则工作选择“permit notify”，通过带宽管理检测所有流量应用。在日志中过滤出想要的 五元组日志，可以看到访问网站的流量是否双向被检测到，如果检测 到则说明双向引流成功。 版权所有:杭州华三通信技术有限公司 5、查看防病毒功能配置 查看IPS防病毒功能配置，确认是否开启对应病毒检测规则。 例如：通过查看IPS的WEB页面，查看防病毒功能策略规则开启情况。 版权所有:杭州华三通信技术有限公司 建议按照保护对象开启相应规则，默认情况下有推荐开启规则，也可 以自行设定全部使能。 此外，还需注意策略应用范围，注意匹配的段和地址范围是否正确。 同时，配置完毕后别忘了激活。 7、判断是否为误识别 版权所有:杭州华三通信技术有限公司 防病毒功能借助于病毒特征库的不断更新，以识别新的病毒。因此， 如果特征库较老，有可能存在误识别的情况。 如果在特征库最新的情况下，产生误识别（主要是正常流量被防病毒 功能阻断造成业务影响），请收集以下信息反馈分析。 收集方法如下： 1）配置测试IP，如本机测试IP地址并应用于段策略中。 版权所有:杭州华三通信技术有限公司 2）策略中可疑规则动作配置为“阻断 记录日志”，如果不清楚是哪条规则，在性能允许的情况下可以全部 开启测试。 3）策略激活后，进行“问题”业务访问。测试时，建议其他功能关闭 或者放通。之后导出防病毒日志。 4）记录设备特征库版本信息 版权所有:杭州华三通信技术有限公司 5）记录设备license信息 6）测试业务流量抓包收集，流量最好不要夹杂其他业务，尽量“干净 ”。 抓包文件生成后，一并反馈总部处理。 请拨打热线400-810-0504 版权所有:杭州华三通信技术有限公司