Policy setting exclusions not working

Skydiver, please come down a bit. 

We have two engines in the product to analyze the traffic flow:
a) snort to analyze traffic for intrusions
a) afc (Astaro Flow Classifier) is a Layer 7 classification engine, which tags packets and the final dropping is done inside the packetfilter.

therefore i am sure, that the log line comes from the IPS, as it is a snort log line.

Disabling snort rules will NOT affect the IM/P2P classification.

BTW, which version of ASG are you running?

thx Gert

Skydiver, please come down a bit. 

We have two engines in the product to analyze the traffic flow:
a) snort to analyze traffic for intrusions
a) afc (Astaro Flow Classifier) is a Layer 7 classification engine, which tags packets and the final dropping is done inside the packetfilter.

therefore i am sure, that the log line comes from the IPS, as it is a snort log line.

Disabling snort rules will NOT affect the IM/P2P classification.

BTW, which version of ASG are you running?

thx Gert

No need to some down because I am not high... [:)]

Let me back up a second.  What does the line:

Classification.: Potential Corporate Privacy Violation IP protocol....: 6 (TCP)

in the alert mean?
Is this an alert because of an attempt to use what should be allowed IM network traffic on the 172.16.16.0 network?
OR
Is it because the IPS system detected a violation of the IM/P2P settings?

If this is due to a violation of network policy and not any kind of exploit attempt, then I still want to receive these alerts IF they are generated from our internal network segments so we can "coach" our employees on corporate network policy.  If i disable this snort rule wouldn't that kill this alert all together for ALL network segments?  If I use the IPS exceptions options to designate the network segments it doesn't give a specific SID to ignore option.  If I use the advanced tab option, it doesn't give a network source option.

If what you say is accurate about these being caused by the IPS engine, what an I doing wrong in my IPS setup?  I mentioned in an earlier post that I have the IPS monitored networks set to a network group that has all our internal network segments defined in it.  The network segment mentioned in the alert below (172.16.16.0) is not in the network group that the IPS system, is set to monitor.

You input is most appreciated.

Here is the complete email alert i am receiving:

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: POLICY AOL Instant Messenger Message Send
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=3825
Time...........: 2009:11:12-14:51:32
Packet dropped.: yes
Priority.......: 1 (high)
Classification.: Potential Corporate Privacy Violation IP protocol....: 6 (TCP)

Source IP address: 172.16.16.2
- Where are my results?
- Query the RIPE Database
- ARIN: WHOIS Database Search
- APNIC - Query the APNIC Whois Database
Source port: 65235
Destination IP address: 205.188.0.34 (bos-d094b-rdr3.blue.aol.com)
- Where are my results?
- Query the RIPE Database
- ARIN: WHOIS Database Search
- APNIC - Query the APNIC Whois Database
Destination port: 5190 (aol)
        

-- 
System Uptime      : 28 days 12 hours 43 minutes
System Load        : 0.15
System Version     : Astaro Security Gateway Appliance 7.500

Please refer to the manual for detailed instructions.