【IDP】IDP识别异常，即将某应用程序特征码的数据包漏判，造成无法将其辨识并阻挡（丢弃）

发布时间：2013-11-19

点击量：2550

1、故障现象
IDP设备本应检测阻挡（丢弃）某应用程序特征码的数据包，由于漏判无法将其辨识并阻挡（丢弃）此特征码的数据包。

2、故障可能原因
（1）软硬件出厂组件错误；
（2）部署网络时的连线无误；
（3）受保护主机的网络流量未经过了设备；
（4）IPS Pair的接口模式配置错误；
（5）IPS Pair的策略群组配置错误；
（6）策略群组配置错误
3.故障处理流程

4.故障处理步骤

步骤1.检查设备软硬件出厂组件正确
设备的特征库是否维持最新版本。
设备出厂kernel、RG-IDP管理服务器、插件（plug-in）等等对应版号信息是否正确。

步骤2.检查设备部署配置是否正确；
部署配置错误常见故障
1、受保护主机的网络流量是否经过设备。
a)例如：受保护主机另外安装并启用了无线网卡，而无线网卡联机的流量没有经过设备。
2、受保护主机的网络联机，错误连接到设备到WAN接口。
说明：
1.设备的网络接口配置采用成对的概念运行，每对口区分为 WAN 与 LAN 两种角色，WAN 接口通常接在相对属于外网的位置，而 LAN 接口则接在相对属于内网需要保护或管理的网段。
2.WAN 与 LAN 的接口配置接反虽然不会影响用户的网络运行，但会影响到关于网络安全以及应用程序的辨识管理的准确性，所以务必要注意 WAN 与 LAN 接口的安装方向。

对应解决方案
1、受保护内网主机的网络联机，已正确连接到设备LAN接口。
[1]根据网络拓扑结构和网络布线系统的情况，检查网络部署情况，确认受保护主机的网络联机，
[2]确认连接设备的LAN接口，而不是WAN接口。
2、受保护内网主机的网络流量确实经过设备。
[1]检查主机的网络实体联机，当受保护主机另外安装并启用了无线网卡，并且此无线网卡的联机流量没有经过设备时，请禁用此无线网卡。
[2]确认受保护主机的网络流量经过设备。

说明：
1.设备的网络接口配置采用成对的概念运行，每对口区分为 WAN 与 LAN 两种角色，WAN 接口通常接在相对属于外网的位置，而 LAN 接口则接在相对属于内网需要保护或管理的网段。
2.WAN 与 LAN 的接口配置接反虽然不会影响用户的网络运行，但会影响到关于网络安全以及应用程序的辨识管理的准确性，所以务必要注意 WAN 与 LAN 接口的安装方向。

步骤3.检查策略配置是否正确
用户的[策略群组]配置不正确常见故障
1、错误配置[策略群组]内容。（可参考8.2.3 错误配置[策略群组]内容章节）
a)开启[策略群组]界面，查看所需启用的策略中，特征码是否已全部启用；
i.例如MSN登录的特征码未开启，漏选一条特征码，导致IDP无法拦截MSN登录的行为。
b)是否已将特征码对应的预设反应设置成功
i.例如：MSN登录的特征码其中几条特征码的预设反应为[允许封包] ，导致IDP无法拦截MSN登录的行为。
2、错误应用特定的[策略群组]。（可参考8.2.2 错误应用[策略群组]章节）
a)开启[端口设置]界面，查看是否已将特定的[策略群组]应用到IPS Pair
i.例如：[RS_01策略群组]未被应用到IPS Pair，导致IDP设备未采用[RS_01策略群组]的内容对经过IDP设备的流量进行防御任务。
b)是否被应用到正确的IPS Pair
i.例如：[RS_01策略群组]被错误应用到IPS Pair1上，导致IDP设备未采用[RS_01策略群组]的内容对IPS Pair2上经过的流量进行防御任务。

对应解决方案
1、正确配置[策略群组]内容（可参考8.2.3 错误配置[策略群组]内容章节）
[1]确认[策略群组]中的策略特征码已全部被启用。
[2]确认[策略群组]中的策略特征码对应的预设反应配置正确，即[丢弃封包]。
2、正确应用特定的[策略群组] （可参考8.2.2 错误应用[策略群组]章节）
[1]特定的[策略群组]已被正确应用到对应的IPS Pair上

步骤4：收集信息后，请联系4008111000协助处理
如果经以上3个步骤排查后故障无法解决，请将根据步骤1、2、3检查配置打包压缩，同时准备好IDP管理服务器的远程方式后联系4008-111000协助处理。
需要收集的信息：
[1]漏判判流程说明。
[2]设备基本数据信息：