排查BEST中网络保护与DLP解决方案的交互问题
本文探讨BEST中的网络保护机制与数据防泄露(DLP)解决方案的交互,重点关注它们如何与Windows过滤平台(WFP)技术协同工作。
网络保护包含防火墙、入侵检测系统和访问控制以保障数据流安全。Windows过滤平台(WFP)通过允许开发者创建自定义过滤器和流量规则来支持此功能。
DLP解决方案用于防止敏感信息外泄,通过监控和控制传输中、存储中及使用中的数据来实现。
确认不兼容情况
确认不兼容情况需遵循以下步骤:
-
生成WFP状态文件:
-
以管理员身份打开命令提示符
-
运行以下命令:
netsh.exewfpshowstatefile=wfp_state.xml.
-
-
确保
wfp_state.xml文件已包含在收集的系统跟踪(ST)中。 -
Bitdefender 将审查TCP流过滤器列表,并与dci4子层权重比对以识别不兼容项。
注意
确保
wfp_state.xml文件存在于收集的系统跟踪(ST)中。
排查BEST与DLP解决方案的兼容性问题
WFP的过滤模型包含层级和子层级,过滤器根据优先级和权重进行应用。该模型决定网络流量是被允许还是阻止。过滤器可以返回 允许 , 阻止 或 继续 操作,其中 阻止 操作优先于 允许 操作。
DLP与BEST网络保护有时可能冲突,尤其是在应用不同策略时。例如,某策略可能出于运营原因允许流量,而DLP出于敏感性问题试图阻止。此类情况下,WFP的仲裁规则和可配置的覆盖策略将决定最终操作。
我们使用两个优先级来管理
FWPM_LAYER_STREAM_V4
和
FWPM_LAYER_STREAM_V6
层的网络流量,分别设置为
256
和
65280
.
要排查涉及BEST和DLP解决方案的潜在问题,需遵循以下兼容性指南:
-
单一优先级DLP :其优先级必须处于
256和65280范围内才能正常工作。 -
双优先级级别DLP :两个级别必须同时位于或同时超出
256与65280范围才能正常工作。
提示
为网络流量规则选择优先级(权重)时,最好选择距离范围两端(0到65535)等距的值。例如使用0+X和65535-X这类数值。这有助于确保与其他解决方案的兼容性并避免冲突。
对于仅含单一优先级级别(子层)的解决方案,建议选择接近范围中点[0, 65535]的值,即约32768。这有助于保持平衡并与其他网络配置兼容。