ips6515e上配置了入侵防御功能并选择阻断动作,同时在安全策略中调用,但是在威胁日志中发现被识别到的入侵行为都是只做告警处理 但并未成功阻断
处理过程
1、提供配置,核实调用的入侵防御配置文件确认动作是选择阻止的
2、安全策略配置调用也正确
3、入侵防御的license也是在有效期内
4、入侵防御特征库已经更新
设备配置了engine-mode模式为告警模式,该命令用来配置nip的全局工作模式,该模式的优先级高于入侵防御中签名阻断动作或反病毒中阻断动作的设置。
解决方案
在设备上用engine-mode命令配置为防护模式,即后面跟上protective参数即可
建议与总结
engine-mode命令用来配置nip的全局工作模式,该模式的优先级高于入侵防御中签名阻断动作或反病毒中阻断动作的设置
protective 表示防护模式,入侵防御签名或反病毒的阻断动作生效并产生日志。
warning 表示告警模式,即使入侵防御或反病毒中签名动作设置为阻断,也无法阻断攻击报文或病毒,只能产生日志。