概述
在部署区域保护配置文件以检测穿透扫描时, 安全策略必须允许相应的通信量。否则, 区域保护配置文件将不会生成威胁日志, 而且由于拒绝通信的安全规则, 将丢弃违规通信。
详细
下面显示了一个区域保护配置文件示例。此配置文件的名称为 "测试区域-端口"。
- 洪水保护选项卡:
- 侦测保护选项卡:
- 基于数据包的攻击保护选项卡:
上述区域保护配置文件, "测试区-端口", 适用于区域的穿透扫描。目标是在 ethernet1/3 上启用扫描:
安全策略设置为允许通信量
为了演示目的, 活动安全策略设置为允许所有通信。在生产环境中, 这种情况通常不会发生。
使用上述配置, 第一个 NMAP 穿透扫描结果如下:
生成的威胁日志 (监视器 > 日志 > 威胁) 如下所示:
如上所示, 区域保护配置文件已启用, 并按预期功能运行。
安全策略设置为拒绝通信
如果没有安全策略允许通信到目标接口, 则这将防止区域保护在该接口的穿透扫描期间创建威胁日志。
在此配置中, 最后一个安全策略被配置为拒绝通信。
此配置的 NMAP 穿透扫描结果如下所示:
生成的威胁日志为空:
由于 "拒绝" 安全策略立即丢弃了通信, 因此没有威胁日志。
注意:如果扫描是针对外部区域上的 "开放端口" 运行的, 则只有在威胁日志中才会出现由于区域保护配置文件而导致的条目.
所有者: cchristiansen