?配置攻擊防護(hù)
?創(chuàng)建攻擊防護(hù)
配置步驟:
- 進(jìn)入策略>安全防護(hù)>攻擊防護(hù),點(diǎn)擊新建。
名稱:攻擊防護(hù)名稱,支持中文名稱。
描述:攻擊防護(hù)的簡單描述信息。
Anti-Flood Attack:配置是否啟用防 Flood 攻擊。
TCP Flood:選擇啟用 TCP 協(xié)議的防 Flood 攻擊功能。TCP Flood 即 SYN Flood 攻擊,是眾多攻擊形式的一種方式。
SYN Flood 利用 TCP 協(xié)議的缺陷,向服務(wù)器端發(fā)送大量偽造的 TCP 連接請求之后,自身不再做出應(yīng)答,使得服務(wù)器端的資源迅速耗盡,從而無法及時處理其它正常的服務(wù)請求,嚴(yán)重的時候甚至?xí)?dǎo)致服務(wù)器系統(tǒng)的崩潰。下一代安全防護(hù)平臺設(shè)備的防 SYN Flood 攻擊采用了業(yè)界最新的 syncookie技術(shù),在很少占用系統(tǒng)資源的情況下,可以有效地抵御 SYN Flood 對受保護(hù)服務(wù)器的攻擊。識別門限:配置 syn 報文個數(shù)的閾值,即防 TCP Flood攻擊的啟動門限,缺省配置為 100。動作:阻斷、警告、syncookie。
UDP Flood:選擇啟用 UDP 協(xié)議的防 Flood 攻擊功能。識別門限:配置 UDP報文個數(shù)的閾值,即防 UDP Flood 攻擊的啟動門限,缺省配置為 100。動 作:阻斷、警告。
ICMP Flood:選擇啟用 ICMP 協(xié)議的防 Flood 攻擊功能。識別門限:配置ICMP 報文個數(shù)的閾值,即防 ICMP Flood 攻擊的啟動門限,缺省配置為 100。
動作:阻斷、警告。
防掃描:配置是否啟用防掃描攻擊。
TCP 協(xié)議掃描:根據(jù)實(shí)際網(wǎng)絡(luò)情況,當(dāng)受到 TCP 掃描攻擊時,可以配置防TCP 掃描。當(dāng)一個源 IP 地址在 1 秒內(nèi)將含有 TCP SYN 片段的 IP 封包發(fā)送給位于相同目標(biāo) IP 地址的不同端口(或者不同目標(biāo)地址的相同端口)數(shù)量大于配置
的閾值時,即認(rèn)為其進(jìn)行了一次 TCP 掃描,系統(tǒng)將其標(biāo)記為 TCP SCAN,并在配置的阻斷時間內(nèi)拒絕來自于該臺源主機(jī)的所有其它 TCP SYN 包。啟用防 TCP 掃描,可能會占用比較多的內(nèi)存。
UDP 協(xié)議掃描:根據(jù)實(shí)際網(wǎng)絡(luò)情況,當(dāng)受到 UDP 掃描攻擊時,可以配置防UDP SCAN 掃描。當(dāng)一個源 IP 地址在 1 秒內(nèi)將含有 UDP 的 IP 封包發(fā)送給位于相同目標(biāo) IP地址的不同端口(或者不同目標(biāo)地址的相同端口)數(shù)量大于配置的閾值時,
即進(jìn)行了一次 UDP 掃描,系統(tǒng)將其標(biāo)記為 UDP SCAN,并在配置的阻斷時間內(nèi)拒絕來自于該臺源主機(jī)的所有其它 UDP 包。啟用防 UDP 掃描,可能會占用比較多的內(nèi)存。
PING 掃描:根據(jù)實(shí)際網(wǎng)絡(luò)情況,當(dāng)受到 PING 掃描攻擊時,可以配置防 PING掃描。當(dāng)一個源 IP 地址在 1 秒內(nèi)發(fā)送給不同主機(jī)的 ICMP 封包超過門限值時,即進(jìn)行了一次地址掃描。此方案的目的是將 ICMP 封包( 通常是應(yīng)答請求) 發(fā)
送給各個主機(jī),以期獲得至少一個回復(fù),從而查明目標(biāo)地址。下一代安全防護(hù)平臺設(shè)備在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)發(fā)往不同地址的 ICMP 封包數(shù)目。
當(dāng)某個源 IP 被標(biāo)記為地址掃描攻擊,則系統(tǒng)在配置的阻斷時間內(nèi)拒絕來自該主機(jī)的其它更多 ICMP 封包。啟用防 PING 掃描,可能會占用比較多的內(nèi)存。
主機(jī)抑制時長:設(shè)置防掃描功能的阻斷時間,當(dāng)系統(tǒng)檢測到掃描攻擊時,在配置的時長內(nèi)拒絕來自于該臺源主機(jī)的所有其它攻擊包,缺省配置為 20 秒。
掃描識別閾值:防掃描功能的掃描識別門限,超過閾值時,該源 IP 被標(biāo)記為掃描攻擊,來自于該臺源主機(jī)的所有其它攻擊包都被阻斷,缺省配置為1000。
?
?
- 輸入攻擊防護(hù)名稱和描述,配置好各項(xiàng)功能:
- 點(diǎn)擊提交,完成對攻擊防護(hù)的配置,顯示如下頁面:
?
?編輯攻擊防護(hù)
已經(jīng)創(chuàng)建的攻擊防護(hù)可以編輯修改。
- 進(jìn)入策略>安全防護(hù)>攻擊防護(hù),如下圖:
- 單擊需要修改的攻擊防護(hù)名稱,進(jìn)行修改編輯。
可以對該攻擊防護(hù)進(jìn)行配置修改,其中名稱不能改變。
- 點(diǎn)擊更新完成修改的配置。
?
刪除攻擊防護(hù)
1.進(jìn)入策略>安全防護(hù)>攻擊防護(hù),如下圖:
2.選擇需要刪除的攻擊防護(hù),點(diǎn)擊 
進(jìn)行刪除。
3.點(diǎn)擊確定,完成攻擊防護(hù)的刪除。
?
?
?在安全防護(hù)策略中引用攻擊防護(hù)
攻擊防護(hù)只有在安全防護(hù)策略中被引用才能生效,符合安全防護(hù)策略的報文才能受該攻擊防護(hù)的保護(hù)。
?
攻擊防護(hù)監(jiān)控與維護(hù)
查看攻擊防護(hù)日志
- 進(jìn)入日志>日志管理>日志過濾,勾選防 Flood 攻擊模塊的相關(guān)日志,并設(shè)置日志的級別,點(diǎn)擊確定。
?
- 進(jìn)入日志>安全日志>防 Flood 攻擊里查看相關(guān)的防 Flood 攻擊安全日志。
?
常見故障分析
?故障現(xiàn)象:防flood功能不能正常工作
