添加屏幕
你在这里: 安全策略和对象 > 区域/屏幕。
要添加屏幕:
添加屏幕页面上的字段如表1所示。
领域 |
行动 |
---|---|
主要 | |
屏幕名称 |
输入屏幕对象的名称。 |
屏幕说明 |
输入屏幕对象的描述。 |
在不丢弃数据包的情况下生成警报 |
选中该复选框以启用此功能。 |
IP 欺骗 |
选中该复选框以启用此功能。 指定可以启用 IP 地址欺骗。IP 欺骗是指在数据包标头中插入错误的源地址,使数据包看起来像是来自受信任的来源。 |
IP 扫描 |
选中该复选框以启用此功能。 指定 ICMP 地址扫描的次数。IP 地址扫描可能会触发来自活动主机的响应。 |
阈 值 |
输入 IP 扫描的时间间隔。
注意:
如果远程主机在此时间间隔内将 ICMP 流量发送到 10 个地址,则会标记 IP 地址扫描攻击,并拒绝来自远程主机的更多 ICMP 数据包。 范围:1000 到 1000000 微秒。默认值为 5000 微秒。 |
端口扫描 |
选中该复选框以启用此功能。 指定 TCP 端口扫描的次数。此攻击的目的是扫描可用服务,希望至少有一个端口会响应,从而识别要作为目标的服务。 |
阈 值 |
输入 TCP 端口扫描的时间间隔。
注意:
如果远程主机在此时间间隔内扫描 10 个端口,则会标记端口扫描攻击,并拒绝来自远程主机的更多数据包。 范围:1000 到 1000000 微秒。默认值为 5000 微秒。 |
MS-Windows 防御 |
WinNuke 攻击防护 - 选中复选框以启用此功能。
注意:
WinNuke是一种DoS攻击,针对互联网上运行Windows操作系统的任何计算机。 |
IPv6 检查 |
输入以下详细信息:
|
拒绝服务 | |
陆地攻击防护 |
选中该复选框以启用此功能。
注意:
当攻击者发送欺骗性的 SYN 数据包时,就会发生陆地攻击,其中包含受害者的 IP 地址作为目标和源 IP 地址。 |
泪滴攻击保护 |
选中该复选框以启用此功能。
注意:
泪滴攻击利用分段 IP 数据包的重组。 |
ICMP 片段保护 |
选中该复选框以启用此功能。
注意:
ICMP 数据包包含非常短的消息。ICMP 数据包分段没有正当理由。 |
死亡攻击保护的 ping |
选中该复选框以启用此功能。
注意:
当发送的 IP 数据包超过最大法定长度(65,535 字节)时,会发生 ping 死亡。 |
大尺寸 ICMP 数据包保护 |
选中该复选框以启用此功能。 |
阻止分段流量 |
选中该复选框以启用此功能。 |
SYN-ACK-ACK 代理保护 |
选中该复选框以启用此功能。 |
阈 值 |
输入 SYN-ACK-ACK 代理保护的阈值。
注意:
范围为 1 到 250000 个会话。默认值为 512 个会话。 |
异常 | |
Ip |
输入以下详细信息:
|
Tcp |
输入以下详细信息:
|
防洪 | |
限制来自同一源的会话 |
输入限制来自同一源 IP 的会话的范围。 范围:1 到 50000 个会话。 |
限制来自同一目标的会话 |
输入同一目标 IP 限制会话的范围。范围为 1 到 50000 个会话。 范围:每秒 1 到 8000000 个会话。默认值为 128 个会话。 |
ICMP 泛洪保护 |
选中该复选框以启用互联网控制消息协议 (ICMP) 泛洪计数器。
注意:
当 ICMP 回显请求使用所有资源进行响应时,通常会发生 ICMP 泛洪,从而无法再处理有效的网络流量。 |
阈 值 |
输入 ICMP 泛滥保护的阈值。
注意:
范围:1 到 4000000 ICMP pps。 |
UDP 泛洪保护 |
选中该复选框以启用用户数据报协议 (UDP) 泛洪计数器。
注意:
当攻击者发送包含 UDP 数据报的 IP 数据包以减慢系统资源,从而无法再处理有效连接时,就会发生 UDP 泛洪。 |
阈 值 |
输入 UDP 泛滥保护的阈值。
注意:
范围:1 到 100000 个会话。默认值为 1000 个会话。 |
UDP 允许列表 |
注意:
要在 UDP 允许列表页面中编辑允许列表,请选择允许列表名称并单击铅笔图标。 要在 UDP 允许列表页面中删除允许列表,请选择允许列表名称并单击删除图标。 |
SYN 泛洪保护 |
选中该复选框以启用所有阈值和老化超时选项。 指定当主机被启动不完整连接请求的 SYN 段淹没,以至于无法再处理合法连接请求时,将发生 SYN 泛洪。 |
TCP 允许列表 |
注意:
要在“TCP 允许列表”页面中编辑允许列表,请选择允许列表名称,然后单击铅笔图标。 要在 TCP 允许列表页面中删除允许列表,请选择允许列表名称并单击删除图标。 |
攻击阈值 |
输入一个值以指定触发 SYN 代理机制所需的每秒 SYN 数据包数。
注意:
范围:每秒 1 到 1000000 个代理请求。默认攻击阈值为 625 pps。 |
报警阈值 |
输入一个值以指定设备每秒在事件报警日志中输入的半完成代理连接数。
注意:
范围:每秒 1 到 1000000 段。默认报警阈值为 250 pps。 |
源阈值 |
输入一个值以指定在设备开始丢弃来自该源的连接请求之前每秒从单个源 IP 地址接收的 SYN 分段数(无论目标 IP 地址和端口号如何)。
注意:
范围:每秒 4 到 1000000 段。默认源阈值为 25 pps。 |
目标阈值 |
输入一个值以指定在设备开始丢弃对该目标的连接请求之前,单个目标 IP 地址每秒接收的 SYN 分段数。如果受保护主机运行多个服务,则可能需要仅基于目标 IP 地址设置阈值,而不考虑目标端口号。
注意:
范围:每秒 4 到 1000000 段。默认目标阈值为 0 pps。 |
Ager 超时 |
输入一个值以指定从队列中删除半完成连接之前的最长时间长度。您可以减小超时值,直到看到在正常流量条件下丢弃的任何连接。 范围:1 到 50 秒。默认值为 20 秒。
注意:
20 秒是保存不完整连接请求的合理时间长度。 |
IPv6 分机报头 | |
预定义标头类型 |
配置以下屏幕选项:
|
路由标头 |
选中该复选框以启用 IPv6 路由标头屏幕选项。 |
ESP 接头 |
选中该复选框以启用 IPv6 封装安全有效负载标头屏幕选项。 |
无下一个标题 |
选中该复选框以启用“IPv6 无下一个标头屏幕”选项。 |
移动标头 |
选中该复选框以启用 IPv6 移动标头屏幕选项。 |
片段标头 |
选中该复选框以启用 IPv6 片段标头屏幕选项。 |
AH 标头 |
选中该复选框以启用“IPv6 身份验证标头屏幕”选项。 |
垫片6 接头 |
选中该复选框以启用 IPv6 填充程序标头屏幕选项。 |
HIP 标头 |
选中该复选框以启用 IPv6 主机识别协议标头屏幕选项。 |
客户定义的标头类型 |
输入一个值以定义标头范围的类型,然后单击 + 将其添加。 范围:0 到 255。 要删除,请选择一个或多个标头类型,然后单击 X。 |
IPv6 分机报头限制 |
输入一个值以设置可以通过屏幕的 IPv6 扩展标头的数量。 范围:0 到 32。 |
应用于区域 | |
应用于区域 |
从“可用”列中选择区域,然后使用向右箭头将其移动到“选定”列。 |