บทความนี้อธิบายวิธีตั้งค่า Allow Rule สำหรับ Security Signature (IPS/WAF) ที่กระทบกับการใช้งาน Production บน Sangfor NGAF/NSF เช่น กรณีที่ Signature บล็อก Traffic ปกติโดยไม่ได้ตั้งใจ (False Positive)
อาการ
หลัง Deploy NGAF เป็น IPS หรือ WAF พบว่าบาง Signature Rule บล็อก Traffic ปกติ ทำให้ User หรือ Application ใช้งานไม่ได้ เช่น Web Application ถูก WAF Rule บล็อก หรือ Service ภายในถูก IPS Rule ตัด
วิธีแก้ไข
1. ไปที่ Monitor > Logs > Security Logs ตรวจสอบ Log เพื่อหา Rule ID ที่ทำการบล็อก Traffic
2. ไปที่ Objects > Threat Signature DB > Security DB แล้วเลือก WAF Database หรือ IPS Database ตาม Rule ที่พบ
3. ค้นหา Rule ID ที่ช่อง Search มุมขวาบน
4. คลิกที่ Rule Name เพื่อดูรายละเอียด แล้วเปลี่ยน Action เป็น "Allow if attacked"
5. คลิก OK — Rule นี้จะเปลี่ยน Action เป็น Allow แทน Block
การตรวจสอบ
- ให้ User หรือ Application ทดสอบใช้งานอีกครั้ง — ไม่ควรถูกบล็อกแล้ว
- ตรวจสอบ Security Log อีกครั้ง — Rule ID เดิมควรแสดง Action เป็น Allow แทน Block
หมายเหตุ
- ควร ตรวจสอบ Rule อย่างละเอียด ก่อนเปลี่ยนเป็น Allow — ให้แน่ใจว่าเป็น False Positive จริง ไม่ใช่ Attack จริง
- สามารถเปลี่ยน Action กลับเป็น Block ได้ตลอดเวลาหากต้องการ
- หากมี Rule ที่ต้อง Allow หลายตัว ควรพิจารณาสร้าง Exception Policy แทน เพื่อจำกัดขอบเขตให้เฉพาะ Source/Destination ที่ต้องการ
- แนะนำให้บันทึก Rule ID ที่เปลี่ยนไว้ เพื่อตรวจสอบย้อนหลังได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น