Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加屏幕

你在这里: 安全策略和对象 > 区域/屏幕

要添加屏幕:

  1. 单击屏幕列表页面右上角的添加图标 (+)。

    此时将显示“添加屏幕”页面。

  2. 根据 表 1 中提供的指南完成配置。
  3. 单击 “确定 ”保存更改。如果要放弃更改,请单击 “取消”。

添加屏幕页面上的字段如表1所示。

表 1:添加屏幕页面上的字段

领域

行动

主要

屏幕名称

输入屏幕对象的名称。

屏幕说明

输入屏幕对象的描述。

在不丢弃数据包的情况下生成警报

选中该复选框以启用此功能。

IP 欺骗

选中该复选框以启用此功能。

指定可以启用 IP 地址欺骗。IP 欺骗是指在数据包标头中插入错误的源地址,使数据包看起来像是来自受信任的来源。

IP 扫描

选中该复选框以启用此功能。

指定 ICMP 地址扫描的次数。IP 地址扫描可能会触发来自活动主机的响应。

阈 值

输入 IP 扫描的时间间隔。

注意:

如果远程主机在此时间间隔内将 ICMP 流量发送到 10 个地址,则会标记 IP 地址扫描攻击,并拒绝来自远程主机的更多 ICMP 数据包。

范围:1000 到 1000000 微秒。默认值为 5000 微秒。

端口扫描

选中该复选框以启用此功能。

指定 TCP 端口扫描的次数。此攻击的目的是扫描可用服务,希望至少有一个端口会响应,从而识别要作为目标的服务。

阈 值

输入 TCP 端口扫描的时间间隔。

注意:

如果远程主机在此时间间隔内扫描 10 个端口,则会标记端口扫描攻击,并拒绝来自远程主机的更多数据包。

范围:1000 到 1000000 微秒。默认值为 5000 微秒。

MS-Windows 防御

WinNuke 攻击防护 - 选中复选框以启用此功能。

注意:

WinNuke是一种DoS攻击,针对互联网上运行Windows操作系统的任何计算机。

IPv6 检查

输入以下详细信息:

  • 格式错误的 IPv6 — 选中此复选框可启用 IPv6 格式错误的标头入侵检测服务 (IDS) 选项。

  • 格式错误的 ICMPv6 - 选中此复选框可启用 ICMPv6 格式错误的 IDS 选项。

拒绝服务

陆地攻击防护

选中该复选框以启用此功能。

注意:

当攻击者发送欺骗性的 SYN 数据包时,就会发生陆地攻击,其中包含受害者的 IP 地址作为目标和源 IP 地址。

泪滴攻击保护

选中该复选框以启用此功能。

注意:

泪滴攻击利用分段 IP 数据包的重组。

ICMP 片段保护

选中该复选框以启用此功能。

注意:

ICMP 数据包包含非常短的消息。ICMP 数据包分段没有正当理由。

死亡攻击保护的 ping

选中该复选框以启用此功能。

注意:

当发送的 IP 数据包超过最大法定长度(65,535 字节)时,会发生 ping 死亡。

大尺寸 ICMP 数据包保护

选中该复选框以启用此功能。

阻止分段流量

选中该复选框以启用此功能。

SYN-ACK-ACK 代理保护

选中该复选框以启用此功能。

阈 值

输入 SYN-ACK-ACK 代理保护的阈值。

注意:

范围为 1 到 250000 个会话。默认值为 512 个会话。

异常

Ip

输入以下详细信息:

  • 错误选项 - 选中该复选框以指定错误选项计数器的数量。

  • 安全性 - 选中该复选框以启用主机发送安全性的方法。

  • 未知协议 - 选中该复选框以启用具有安全性的 IP 地址选项。

  • 严格源路由 — 选中该复选框可启用数据包从源到目标的完整路由列表。

  • 源路由 - 选中复选框以启用此功能。

    指定在允许 IP 传输到达其目标的源上设置的设备的 IP 地址数。

  • 时间戳 — 选中该复选框以启用每个网络设备在从起点到目的地的行程中接收数据包时记录的时间(以 UTC 为单位)。

  • 流 - 选中该复选框以启用一种方法,以便通过不支持流的网络传输 16 位 SATNET 流标识符。

  • 松散源路由 — 选中该复选框可为数据包启用部分路由列表,以便在从源到目标的旅程中。

  • 记录路由 — 选中该复选框以启用可记录 IP 数据包传输路径上的网络设备的 IP 地址。

Tcp

输入以下详细信息:

  • SYN 分片保护 — 选中该复选框以启用 TCP SYN 分片的数量。

  • SYN 和 FIN 标志集保护 — 选中该复选框以启用 TCP SYN 和 FIN 标志的数量。

    注意:

    启用此选项后,Junos OS 将检查 TCP 报头中是否设置了 SYN 和 FIN 标志。如果它发现这样的标头,它会丢弃数据包。

  • 不带 ACK 标志集保护的 FIN 标志 — 选中该复选框以启用未设置 ACK 标志集的 TCP FIN 标志的数量。

  • 不带标志集保护的 TCP 数据包 — 选中该复选框以启用未设置标志的 TCP 标头的数量。

    注意:

    普通 TCP 段标头至少有一个标志控制集。

防洪

限制来自同一源的会话

输入限制来自同一源 IP 的会话的范围。

范围:1 到 50000 个会话。

限制来自同一目标的会话

输入同一目标 IP 限制会话的范围。范围为 1 到 50000 个会话。

范围:每秒 1 到 8000000 个会话。默认值为 128 个会话。

ICMP 泛洪保护

选中该复选框以启用互联网控制消息协议 (ICMP) 泛洪计数器。

注意:

当 ICMP 回显请求使用所有资源进行响应时,通常会发生 ICMP 泛洪,从而无法再处理有效的网络流量。

阈 值

输入 ICMP 泛滥保护的阈值。

注意:

范围:1 到 4000000 ICMP pps。

UDP 泛洪保护

选中该复选框以启用用户数据报协议 (UDP) 泛洪计数器。

注意:

当攻击者发送包含 UDP 数据报的 IP 数据包以减慢系统资源,从而无法再处理有效连接时,就会发生 UDP 泛洪。

阈 值

输入 UDP 泛滥保护的阈值。

注意:

范围:1 到 100000 个会话。默认值为 1000 个会话。

UDP 允许列表

  1. 单击 “选择”。

    此时将显示 UDP 允许列表窗口。

  2. 单击 + 添加要列入允许列表的 IP 地址。

    此时将显示添加允许列表窗口。

  3. 输入以下详细信息:

    • 名称 - 输入用于标识 IP 地址组的名称。

    • IPv4/IPv6 地址 — 输入 IPv4 或 IPv6 地址。

    • IPv4/IPv6 地址 — 列出您输入的地址。

      注意:

      您可以选择 IP 地址,然后单击 X 将其删除。

  4. 单击 “确定 ”保存更改。

  5. 在“UDP 允许列表”页面中选择与在“可用”窗口中输入的 IP 地址组关联的允许列表名称,然后使用向右箭头将其移动到“选定”列。

  6. 单击 “确定 ”保存更改。

注意:
  • 仅当选择 UDP 泛滥保护时,才会启用 UDP 允许列表选项。

  • 您在“UDP 允许列表”窗口中创建的允许列表也将在“TCP 允许列表”窗口中提供以供选择。

要在 UDP 允许列表页面中编辑允许列表,请选择允许列表名称并单击铅笔图标。

要在 UDP 允许列表页面中删除允许列表,请选择允许列表名称并单击删除图标。

SYN 泛洪保护

选中该复选框以启用所有阈值和老化超时选项。

指定当主机被启动不完整连接请求的 SYN 段淹没,以至于无法再处理合法连接请求时,将发生 SYN 泛洪。

TCP 允许列表

  1. 单击 “选择”。

    此时将显示 TCP 允许列表窗口。

  2. 单击 + 添加您希望允许的 IP 地址。

    此时将显示添加允许列表窗口。

  3. 输入以下详细信息:

    • 名称 - 输入用于标识 IP 地址组的名称。

    • IPv4/IPv6 地址 — 输入 IPv4 或 IPv6 地址。

    • IPv4/IPv6 地址 — 列出您输入的地址。

      注意:

      您可以选择 IP 地址,然后单击 X 将其删除。

  4. 单击 “确定 ”保存更改。

  5. 在“TCP 允许列表”页面中,从“可用”列中选择与在“添加允许列表”窗口中输入的 IP 地址组关联的允许列表名称,然后使用向右箭头将其移动到“选定”列。

  6. 单击 “确定 ”保存更改。

注意:
  • 仅当选择 SYN 泛滥保护时,才会启用 TCP 允许列表选项。

  • 您在 TCP 允许列表窗口中创建的允许列表也将在 UDP 允许列表窗口中提供以供选择。

要在“TCP 允许列表”页面中编辑允许列表,请选择允许列表名称,然后单击铅笔图标。

要在 TCP 允许列表页面中删除允许列表,请选择允许列表名称并单击删除图标。

攻击阈值

输入一个值以指定触发 SYN 代理机制所需的每秒 SYN 数据包数。

注意:

范围:每秒 1 到 1000000 个代理请求。默认攻击阈值为 625 pps。

报警阈值

输入一个值以指定设备每秒在事件报警日志中输入的半完成代理连接数。

注意:

范围:每秒 1 到 1000000 段。默认报警阈值为 250 pps。

源阈值

输入一个值以指定在设备开始丢弃来自该源的连接请求之前每秒从单个源 IP 地址接收的 SYN 分段数(无论目标 IP 地址和端口号如何)。

注意:

范围:每秒 4 到 1000000 段。默认源阈值为 25 pps。

目标阈值

输入一个值以指定在设备开始丢弃对该目标的连接请求之前,单个目标 IP 地址每秒接收的 SYN 分段数。如果受保护主机运行多个服务,则可能需要仅基于目标 IP 地址设置阈值,而不考虑目标端口号。

注意:

范围:每秒 4 到 1000000 段。默认目标阈值为 0 pps。

Ager 超时

输入一个值以指定从队列中删除半完成连接之前的最长时间长度。您可以减小超时值,直到看到在正常流量条件下丢弃的任何连接。

范围:1 到 50 秒。默认值为 20 秒。

注意:

20 秒是保存不完整连接请求的合理时间长度。

IPv6 分机报头

预定义标头类型

配置以下屏幕选项:

  • 逐跳标头 - 从列表中选择一个选项并输入值,然后单击 + 进行添加。

    要删除,请选择一个或多个标头,然后单击 X

  • 目标标题 - 从列表中选择一个选项并输入值,然后单击 + 进行添加。

    要删除,请选择一个或多个标头,然后单击 X

路由标头

选中该复选框以启用 IPv6 路由标头屏幕选项。

ESP 接头

选中该复选框以启用 IPv6 封装安全有效负载标头屏幕选项。

无下一个标题

选中该复选框以启用“IPv6 无下一个标头屏幕”选项。

移动标头

选中该复选框以启用 IPv6 移动标头屏幕选项。

片段标头

选中该复选框以启用 IPv6 片段标头屏幕选项。

AH 标头

选中该复选框以启用“IPv6 身份验证标头屏幕”选项。

垫片6 接头

选中该复选框以启用 IPv6 填充程序标头屏幕选项。

HIP 标头

选中该复选框以启用 IPv6 主机识别协议标头屏幕选项。

客户定义的标头类型

输入一个值以定义标头范围的类型,然后单击 + 将其添加。

范围:0 到 255。

要删除,请选择一个或多个标头类型,然后单击 X

IPv6 分机报头限制

输入一个值以设置可以通过屏幕的 IPv6 扩展标头的数量。

范围:0 到 32。

应用于区域

应用于区域

从“可用”列中选择区域,然后使用向右箭头将其移动到“选定”列。