BEST中网络保护与DLP解决方案的交互故障排除
本文探讨BEST中网络保护机制与数据防泄露(DLP)解决方案的交互,重点分析它们如何与Windows过滤平台(WFP)技术协同工作。
网络保护包含防火墙、入侵检测系统和访问控制以保障数据流安全。Windows过滤平台(WFP)通过允许开发者创建自定义过滤器和流量规则来支持此功能。
DLP解决方案用于防止敏感信息外泄,通过监控动态数据、静态数据和使用中的数据来实现。
确认不兼容情况
确认不兼容情况的步骤如下:
-
生成WFP状态文件:
-
以管理员身份打开命令提示符
-
运行以下命令:
netsh.exewfpshowstatefile=wfp_state.xml.
-
-
确保
wfp_state.xml文件包含在收集的系统跟踪(ST)中。 -
Bitdefender 将审查TCP流过滤器列表,并与dci4子层权重进行比对以识别任何不兼容情况。
注意
请确认
wfp_state.xml文件存在于收集的系统跟踪(ST)中。
排查BEST与DLP解决方案的兼容性问题
WFP过滤模型涉及基于优先级和权重应用过滤器的层级与子层级,该模型决定是否允许或阻止网络流量。过滤器可返回 允许 , 阻止 或 继续 操作,其中 阻止 操作优先于 允许 操作执行。
DLP与BEST网络防护有时可能产生冲突,尤其在应用不同策略时。例如,某策略可能因运营需求允许流量,而DLP出于敏感数据考虑试图阻止。此类情况下,WFP仲裁规则及可配置的覆盖策略将决定最终操作。
我们在
FWPM_LAYER_STREAM_V4
和
FWPM_LAYER_STREAM_V6
,设置为
256
和
65280
.
排查涉及BEST和DLP解决方案的潜在问题时,需遵循以下兼容性指南:
-
单优先级DLP :优先级必须处于
256与65280范围内才能稳定运行。 -
双优先级DLP :两个优先级必须同时处于
256与65280范围内或范围外才能稳定运行。
提示
为网络流量规则选择优先级(权重)时,建议选取与范围两端(0到65535)等距的值。例如采用0+X和65535-X这类数值,有助于确保与其他解决方案兼容并避免冲突。
对于仅含单一优先级(子层)的解决方案,建议选择接近范围中点[0,65535]的值(约32768),这有利于保持平衡并兼容其他网络配置。