在穿透扫描期间区域保护配置文件不生成日志

概述

在部署区域保护配置文件以检测穿透扫描时, 安全策略必须允许相应的通信量。否则, 区域保护配置文件将不会生成威胁日志, 而且由于拒绝通信的安全规则, 将丢弃违规通信。

详细

下面显示了一个区域保护配置文件示例。此配置文件的名称为 "测试区域-端口"。

1. 洪水保护选项卡:
   
2. 侦测保护选项卡:
   
3. 基于数据包的攻击保护选项卡:
   

上述区域保护配置文件, "测试区-端口", 适用于区域的穿透扫描。目标是在 ethernet1/3 上启用扫描:

安全策略设置为允许通信量

为了演示目的, 活动安全策略设置为允许所有通信。在生产环境中, 这种情况通常不会发生。

使用上述配置, 第一个 NMAP 穿透扫描结果如下:

生成的威胁日志 (监视器 > 日志 > 威胁) 如下所示:

如上所示, 区域保护配置文件已启用, 并按预期功能运行。

安全策略设置为拒绝通信

如果没有安全策略允许通信到目标接口, 则这将防止区域保护在该接口的穿透扫描期间创建威胁日志。

在此配置中, 最后一个安全策略被配置为拒绝通信。

此配置的 NMAP 穿透扫描结果如下所示:

生成的威胁日志为空:

由于 "拒绝" 安全策略立即丢弃了通信, 因此没有威胁日志。

注意:如果扫描是针对外部区域上的 "开放端口" 运行的, 则只有在威胁日志中才会出现由于区域保护配置文件而导致的条目.

所有者: cchristiansen