我们已经安装了带有IDP的新Juniper SRX防火墙,因此防火墙正在检查可疑活动的stream量。
我遇到了3个“误报”的SQL注入攻击报告,这些报告只是真正的用法:
有了上面的第二个问题,如果我把文本内容粘贴到一个不同的web应用程序中(我只是简单地将这些内容复制到一个不同的,不相关的经典asp窗体与不同的对象),根本没有问题。 有了第三个问题,应用程序就可以正常工作了 – 这就是我们发现的一组特定的选项,导致防火墙放弃连接。
我能解决mDaemon问题的唯一方法就是将服务器带出IDP策略。
我将向瞻博networking提交支持请求以帮助find解决方法,但是其他人如何处理误报? 还有什么可以做的吗? 我担心还有其他的条件会触发更多,这将是一个无休止的演习。 除非我们可能不知道许多误报,因为用户认为网站已经closures,只是放弃(或者不报告他们做了什么/不能再次复制)。
其他信息在第三个问题的情况下,造成这个问题的不仅仅是“goodmans” – 它更为普遍!
虽然我对SRX非常熟悉,但是我还没有使用IDS引擎,因为它在性能上压倒了这个盒子。 我可以告诉你,在我们拥有类似function的Palo Alto设备(以及专用芯片来处理它)中,我们根据Palo Alto Networks的风险评级设置了configuration文件。
在这方面,PAN是灵活的,可以让您根据风险级别或特定的漏洞进行阻止。 我们通常selectPAN推荐的行动。 我认为你将不得不寻找的是一些设置或策略configuration,只是警报。 如果反复尝试阻止,也许有办法。 我明天早上会读到这个,看看我能为你find什么,但我只是要去RTFM。 祝你好运。