CP-IPS中有关网站后台提交失败的方法解析

xujie · 发表于 2010-12-2 17:56:04

本帖最后由 xujie 于 2010-12-7 08:51 编辑

昨天和今天有个客户说他们的网站后台不能提交修改的文件文档，只要大于20M的就不能提交。因为他们服务器前面架设的checkpoint防火墙IPS，据他们访问说没有架设IPS以前能提交，防火墙必然是存在拒绝或丢弃的日志。

已经全部通过，但是还是不能提交。
查看了IPS的日志发现以下错误提示;

发现阻断的原因全是一些高危的命令。说明他们的后台网站做的不是很安全，存在高危命令代码。
解决上述的方法有两种：
1：就是在IP地址固定的情况下，把它排除掉，不做IPS检测。也就是说在固定的IP地址情况下来访问后台，并提交后台修改文档或是代码，这种情况下，只能限制到固定IP地址，一旦出现用其他IP地址访问，就不能提交。
配置方法：
1>:从客户那了解到他们的IP地址是121.28.245.146--150这个范围全用。
先在防火墙上针对这个地址段做个IP地址段对象：

2>:在IPS策略中剔除这段IP地址：

3>:下发策略。
2：就是在满足任何地址也能访问的前提下，做IPS的策略：
1>:因为上述出现的问题是关于command injection ，和cross site scripting 协议里面的，所以先找到相应的协议：

剔除里面的命令字符。
3>:下发策略。
通过上述策略修改，已经解决不能提交的问题。

network · 发表于 2010-12-2 20:53:35

不错。

liuxingyuan · 发表于 2010-12-3 06:24:53

“说明checkpoint防火墙中估计是有策略阻断了。登陆防火墙日志查看器中看到
已经全部通过，但是还是不能提交。
查看了IPS的日志发现以下错误提示;”

（1）这里是有矛盾的，既然都是通过信息，何来的错误日志？
必然是存在拒绝或丢弃的日志。
（2）你这第一个截图也太片面了
（3）一些错别字和语法，追求一下文字的严谨性

liuxingyuan · 发表于 2010-12-3 06:25:01

“说明checkpoint防火墙中估计是有策略阻断了。登陆防火墙日志查看器中看到
已经全部通过，但是还是不能提交。
查看了IPS的日志发现以下错误提示;”

（1）这里是有矛盾的，既然都是通过信息，何来的错误日志？
必然是存在拒绝或丢弃的日志。
（2）你这第一个截图也太片面了
（3）一些错别字和语法，追求一下文字的严谨性

xujie · 发表于 2010-12-3 09:23:30

哦，知道了

network · 发表于 2010-12-3 21:08:49

注意刘工的建议，贴子更改。严谨。

账号		自动登录	找回密码
密码			注册