BEST网络保护与DLP解决方案的交互故障排除
本文探讨BEST中的网络保护机制与数据防泄露(DLP)解决方案的交互原理,重点分析其如何与Windows过滤平台(WFP)技术协同工作。
网络保护包含防火墙、入侵检测系统和访问控制机制以保障数据流安全。Windows过滤平台(WFP)通过允许开发者创建自定义过滤器和流量规则来支持此功能。
DLP解决方案用于防止敏感信息外泄,通过监控传输中、存储中和使用中的数据进行防护。
确认兼容性问题
确认兼容性问题的步骤如下:
-
生成WFP状态文件:
-
以管理员身份打开命令提示符
-
运行以下命令:
netsh.exewfpshowstatefile=wfp_state.xml.
-
-
确保
wfp_state.xml文件已包含在收集的系统跟踪(ST)中。 -
Bitdefender 将审查TCP流过滤器列表,并与dci4子层权重进行比对以识别任何不兼容项。
注意
请确认
wfp_state.xml文件存在于所收集的系统跟踪(ST)中。
排查BEST与DLP解决方案的兼容性问题
WFP过滤模型采用分层和子层结构,根据优先级和权重应用过滤器。该模型决定是否允许或阻止网络流量。过滤器可返回 允许 , 阻止 或 继续 操作,其中 阻止 操作优先于 允许 操作。
DLP与BEST网络防护有时会产生冲突,特别是在应用不同策略时。例如,某策略可能因运营需求允许流量,而DLP出于敏感数据考虑试图阻止。此时WFP仲裁规则和可配置的覆盖策略将决定最终操作。
我们在
FWPM_LAYER_STREAM_V4
和
FWPM_LAYER_STREAM_V6
层使用两个优先级(分别为
256
和
65280
.
要排查涉及BEST与DLP解决方案的任何潜在问题,您需遵循以下兼容性指南:
-
单一优先级DLP :优先级数值必须介于
256与65280之间才能稳定运行。 -
双优先级DLP :两个优先级数值必须同时处于
256与65280范围内或范围外才能稳定运行。
提示
为网络流量规则选择优先级(权重)时,建议选取与范围两端(0到65535)等距的数值。例如采用0+X和65535-X这类值。这有助于确保与其他解决方案的兼容性并避免冲突。
对于仅含单一优先级(子层)的解决方案,建议选择接近范围中点[0, 65535]的数值(约32768)。这有利于保持平衡并兼容其他网络配置。