IPS规则默认有高、中、低三个级别,可能存在外网与内网之间的正常通讯被当成一种入侵通讯被设备给拒绝了或者是外网对内网的入侵被当成一种正常通讯给放通了,造成一定的误判,此时又该如何修改IPS防护规则?
(1)配置IPS规则时,对于IPS日志勾选上“记录”
(2)根据数据中心的日志,查询到误判规则的漏洞ID
(3)对象设置---漏洞特征识别库中,修改相应漏洞ID的动作,如改成放行或禁用。
对于此漏洞设备默认动作,为“检测后放行”。而客户网站安全要求比较高,要求动作更改为“检测后拦截”。
记录此漏洞ID号后,在“WEB应用识别库”中,输入此ID=13100351进行搜索,并更改其动作。
如以上事例,可观察系统运行状态,根据实际网络以及服务器状况判断。 |