44、SRX设备的IPS功能配置与部署指南

SRX设备的IPS功能配置与部署指南

1. IPS基础配置与应用

在配置IPS策略和规则时，需要将活动策略和相关防火墙规则分配给IPS引擎，以确保流量能够被发送到IPS进行检测。以下是一个示例配置：

then {
  permit {
    application-services {
      idp;
    }
  }
  log {
    session-close;
  }
}

配置完成后，使用 commit 命令提交配置：

{primary:node0}[edit security policies from-zone untrust to-zone trust]
root@SRX5800-1# top
{primary:node0}[edit]
root@SRX5800-1# commit

需要注意的是，应用IPS策略可能需要一些时间来编译和应用，但不会中断流量。可以使用 show security idp status 命令检查活动策略是否已应用并处于活动状态。

2. 豁免规则库（Exempt rulebase）

即使有良好的意图，在IPS场景中也可能意外阻止合法流量。例如，运行协议异常保护时，可能会将一些非标准但并非恶意的应用行为误判为攻击。为了解决这个问题，可以使用豁免规则库。

假设应用IPS策略后，一些用户无法访问Web服