Linux安全狗策略不生效,NS500防火墙策略不生效问题处理案例

最新推荐文章于 2023-11-11 15:43:26 发布
最新推荐文章于 2023-11-11 15:43:26 发布
阅读量254 收藏
点赞数
文章标签: Linux安全狗策略不生效

MIP地址属于global区域,定义策略时也可使用于任何区段,而各区段中的any并不包括MIP地址,故set policy from

untrust to dmz x.x.x.x any any

deny并不能拒绝对MIP地址的访问。网络环境:某用户反映 500防火墙部分策略无法生效问题,到达现场后对用户环境进行了分析。用户网络局部环境如

下,DMZ区WEB服务器通过防火墙的MIP(220.220.A.B/10.1.1.1)映射提供外部WEB访问业务,同时使用IDS提供WEB业务入

侵保护,当IDS发现攻击行为时,将远程登陆到防火墙上添加策略拒绝攻击流量。故障现象:用户对网络进行攻击测试,检验IDS与防火墙的联动保护功能是否

有效。攻击发生时,IDS每检测到一个攻击包,就登陆到防火墙配置 拒绝策略:set policy from untrust to dmz

x.x.x.x 10.1.1.1 http

deny。由于WEB服务器采用MIP映射,该策略无法有效拦截攻击流量,IDS持续添加同一条策略到防火墙中,导致防火墙中出现1000多条同一策略。

维护人员检查到这种现象后,手动添加一条策略并置于策略表顶部:set policy from untrust to dmz x.x.x.x

any any deny

,发现此时仍然无法拒绝攻击流量,用户据此认为Netscreen防火墙策略实现存在问题。故障定位:打开Debug跟踪包处理情况,发现流量没有击中手

动添加的拒绝策略,而是击中原有策略:set policy from untrust to dmz any 220.220.A.B http

permit,此时该策略位于策略表底部。由于MIP地址位于global区域,而此时set policy from untrust to dmz

x.x.x.x any any deny中的any并不包括global区段的220.220.A.B地址。导致set policy from

untrust to dmz x.x.x.x any any deny策略没有生效。解决方法及处理小结:调整现有策略为set policy

from untrust to global any 220.220.A.B http permit,同时调整IDS策略脚本为set

policy from untrust to global x.x.x.x 220.220.A.B http

deny。该问题因用户没有正确理解MIP地址属于global区段,而dmz中的any并不包含MIP地址,也没有按标准方式部署策略而引起。现有策略

虽然可以正常使用,但是当策略调整时容易出现策略匹配混乱问题。

阅读(859) | 评论(0) | 转发(0) |

0

下一篇:好资料

weixin_39841825
关注
NS500 设备说明书 白皮书
05-14
很好的juniper ns500 说明书,官方都没有了。
RICORAID管理器程序V1.0.0.3官方免费安装版
07-28
ORICO RAID(管理器软件)是一款免费磁盘管理工具,该软件支持RAID 0 ,1,3,5,10,LARGE, CLONE 7种RAID模式。以提升硬盘的读写速率和数据的安全性。通过RAID管理器软件可以更方便管理...NS400RU3, NS400RC3 ,NS500RU3
Linux安全狗策略不生效,解决域上组策略不生效问题
weixin_36143191的博客
05-17 423
添加一个组策略在AD的域上面,结果居然怎么也不生效,但如果安全过滤里用内置的Authenticated Users组就能生效。可是需求是并不需要对所有用户生效,而是只需要对一个特定安全组里的用户生效,于是开始了GOOGLE大法,最终找到原因及解决方案如下:"MS16-072 changes the security context with which user group policies ar...
linux 防火墙不起作用,Linux系统安装docker后,firewall规则无效不起作用
weixin_28829903的博客
05-12 3741
## 失效原因默认情况下, docker启动后参数中如果加了端口映射, 就会自动将端口开放给所有网络设备访问,并且这种情况下即使在本机的系统防火墙中加规则也无效, 因为docker会自动添加一个优先级最高的针对这个映射端口全开放规则,这样就需要在docker启动时添加参数来禁止docker对本机防火墙的操作.## 服务器环境| 对象 | 版本 || --- | --- || Cent...
关于防火墙设置不生效问题记录
weixin_30699831的博客
09-25 864
前几天配置防火墙发现一个问题怕时间久忘了,记录一下: 通过Iptables -A INPUT -s xxx -j ACCEPT等配置的规则不生效 原因是默认规则中有如下两条规则 -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohib...
JUNIA第四天(基本策略配置)
weixin_34327223的博客
05-28 110
策略的基本功能a.告诉防火墙流量应该怎样被保护,怎样被转发Zone的流量a.InterZone区段之间的Must必须通过Policy检查b.IntraZone区段内可能通过Policy检查Policy的组成部分1.Source和DesitinationAdressORAdressGroup2.Service服务a.系统预定义的服务类型(Telnet,SSH,Telnet...
ScreenOS学习笔记
weixin_30813225的博客
08-10 214
安全区段 第2层 V1-Trust 同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略. Global区段没有接口 V1-Untrust V1-DMZ 第3层 Trust Untrust DMZ 全局 G...
HITACHI日立涡旋压缩机NS500DH-83D2G技术规格书.docx
12-16
日立涡旋压缩机NS500DH-83D2G是一款由日本著名制造商HITACHI生产的高效、可靠的制冷设备。涡旋压缩机在工业和商业制冷领域中扮演着核心角色,尤其适用于空调系统、冷藏设备以及各种冷冻应用。这款压缩机以其独特设计...
juniper NS_500产品介绍
12-31
jiniper主流高端产品 NS_500产品介绍
东软飞利浦高频高压发生器服务手册.pdf
06-23
NSG-X系列高压发生器服务手册还涵盖了法规要求,包括IEC60601-1:1998 医用电气设备安全通用要求、IEC60601-1:AMD1:1991 医用电气设备安全通用要求补充件 1、IEC60601-1:AMD2:1991 医用电气设备安全通用要求补充...
安全狗windows版
06-29
安全狗 windows版本;抗攻击、防入侵、杀病毒、全面系统优化 与安全加固,服务器安全必备
Linux安全防火墙(iptables)配置策略
最新发布
qq_51545656的博客
11-11 6494
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux - firewall-cmd 命令添加端口规则不生效排查
小工匠
10-27 7551
命令中的区域名称和端口号是正确的。如果你有更多的详细信息或特定的错误消息,可以提供它们以便更好地帮助你解决问题。:有时候,防火墙规则之间可能存在冲突。:在添加或更改规则后,需要重新加载防火墙规则以使更改生效。如果你仍然遇到问题,可能需要检查系统日志以获取更多信息,以便进一步诊断问题。:确保你正在为正确的防火墙区域(zone)添加端口规则。最后,如果你使用的是特定的防火墙区域或有定制需求,确保你的。命令查看所有规则,检查是否存在任何与所需规则冲突的规则。区域,请将区域名称更改为适合你的情况。
linux防火墙reject,linux 防火墙配置与REJECT导致没有生效问题
weixin_42513601的博客
05-12 890
1.进入到/etc/sysconfig 如图2.使用vi命令对iptables进行编辑."vi iptables",然后显示如图# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0...
Linux防火墙firewalld不生效,无法拦截Docker映射端口
qq_30665009的博客
03-09 8505
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问服务器开放的端口如下:可以看出并没有开放8103端口开放的服务如下:也没有开放某三维系统,但可以正常访问重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!执行 systemctl status firewalld 时突然发现了这么一条警告WARNING: COMMAND_F...
netscreen 外网访问VIP配置
kuwoleft
06-16 447
1、编辑interface Network > Interfaces (List) List 5 10 20 50 100 per page List ALL(5) Layer2(0) Layer3(3) Loopback(0) Physical(3) Tunnel(1) Unused(1) VSI(0) Interfa...
Linux iptables防火墙规则配置的两个坑
lujian1989的专栏
09-06 8883
Linux iptables防火墙规则配置的两个坑,包括规则保存和规则生效机制
小破厂认证测试(1)
qq_43542133的博客
06-14 2810
1.关于AF的安全防护功能说法错误的是? WEB过滤中的文件类型过滤支持针对FTP上传,下载的文件类型进行过滤。 2.网络安全法明确要求,下列选项中说法错误的是? 上网行为日志不包括 IT管理员操作网络设备的操作日志。 3.以下关于L3VPN资源以下说法正确的是? 想要通过SSLVPNping通资源地址必须发布L3VPN资源。 4.下面哪个命令可以释放DHCP地址? ipconfig / release 5.SANGFOR VPN 建立的三个过程概括为? 寻址-认证-策略 6.下面关于全网行为管理的802.
EMC Celerra网络服务器的开机与关机指南
在“Managing the Celerra Network Server”章节,文档详细列出了不同型号Celerra服务器的开机步骤,如Celerra CFS-14、CNS-14、SE、NX4、NS20/NS40、NS-120/NS-480、NS350/NS500、NS600、NS704、NS-960、NSX和NS80...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值