我有一个用户,由于 Symantec Endpoint Protection 中的设置,他定期被阻止访问互联网。他收到的警告类似于:
来自 IP 地址 192.168.1.1 的流量在晚上 11:53 至凌晨 12:03 期间被阻止。
记录了拒绝服务。
有没有人听说过这种情况,或者知道问题可能出在哪里?我检查了 Symantec Endpoint Protection 日志,但没有发现任何明显的问题。用户表示这种情况通常发生在格式错误的 URL 上,但我无法在我们的帮助台上重现它。
答案1
假设您指的是 SEP 而不是 Backup Exec。
这表明有来自警报中提到的 IP 的入站流量。正如用户提到的,这通常是格式错误的地址,或者是某种恶意软件创建的流量。
有些版本的 SEP 会将来自路由器的 DNS 流量视为 DoS。这通常发生在从 ISP 进行 DNS 转发的路由器上。家庭和小型企业设备上很常见。
Symantec 支持有关于此的信息,并且应该在 RU6 MP1 版本中解决。检查您的版本以查看它是否是最新的。
您可以创建例外,但您需要确保流量合法。这假设一个托管客户端。
要为入侵防御策略创建例外以允许特定 ID:
- 打开 Symantec Endpoint Protection Manager 控制台。
- 选择“政策”选项卡。
- 在“查看策略”下,选择“入侵防御”。
- 选择入侵防御策略,然后在“任务”下选择“编辑策略”。
- 选择‘例外’选项卡。
- 点击‘添加...’按钮。
- 搜索并选择“ID被阻止”。
- 点击‘下一步>>’按钮。
- 将“操作”从“阻止”更改为“允许”。单击“确定”按钮。
- 检查编辑的例外是否已添加到‘入侵防御例外’列表中。
- 单击“确定”按钮保存入侵防御策略中的更改。