添加筛选
您的位置: 安全策略和对象 > 区域/屏幕。
要添加屏幕:
表 1 介绍了 Add Screen 页面上的字段。
领域 |
行动 |
---|---|
主要 | |
屏幕名称 |
输入屏幕对象的名称。 |
筛选说明 |
输入屏幕对象的描述。 |
在不丢弃数据包的情况下生成告警 |
选中复选框以启用此功能。 |
IP 欺骗 |
选中复选框以启用此功能。 指定可以启用 IP 地址欺骗。IP 欺骗是指在数据包标头中插入虚假源地址,使数据包看起来来自可信来源。 |
IP 扫描 |
选中复选框以启用此功能。 指定 ICMP 地址扫描的次数。IP 地址扫描的意图是触发活动主机的响应。 |
阈 值 |
输入 IP 扫描的时间间隔。
注意:
如果远程主机在此间隔内将 ICMP 流量发送至 10 个地址,则 IP 地址扫描攻击将标记并拒绝来自该远程主机的更多 ICMP 数据包。 范围:1000 到 1000000 微秒。默认值为 5000 微秒。 |
端口扫描 |
选中复选框以启用此功能。 指定 TCP 端口扫描数。此攻击的目的是扫描可用服务,希望至少有一个端口会做出响应,从而识别目标服务。 |
阈 值 |
输入 TCP 端口扫描的时间间隔。
注意:
如果远程主机在此间隔内扫描 10 个端口,则端口扫描攻击将标记并拒绝来自远程主机的进一步数据包。 范围:1000 到 1000000 微秒。默认值为 5000 微秒。 |
MS-Windows 防御 |
WinNuke 攻击防御 — 选中该复选框以启用此功能。
注意:
WinNuke 是一种 DoS 攻击,其攻击对象是互联网上运行 Windows 操作系统的任何计算机。 |
IPv6 检查 |
输入以下详细信息:
|
拒绝服务 | |
陆地攻击防护 |
选中复选框以启用此功能。
注意:
当攻击者发送包含受害者 IP 地址作为目标和源 IP 地址的欺骗 SYN 数据包时,将会发生陆地攻击。 |
撕裂攻击防护 |
选中复选框以启用此功能。
注意:
Teardrop 攻击利用分段 IP 数据包的重组。 |
ICMP 分片保护 |
选中复选框以启用此功能。
注意:
ICMP 数据包包含非常短的消息。ICMP 数据包没有合法理由需要分片。 |
Ping 的死亡攻击保护 |
选中复选框以启用此功能。
注意:
当发送的 IP 数据包超过最大法定长度(65,535 字节)时,将发生死亡 ping。 |
大尺寸 ICMP 数据包保护 |
选中复选框以启用此功能。 |
阻止分片流量 |
选中复选框以启用此功能。 |
SYN-ACK-ACK 代理保护 |
选中复选框以启用此功能。 |
阈 值 |
输入 SYN-ACK-ACK 代理保护阈值。
注意:
范围从 1 个到 250000 个会话。默认值为 512 个会话。 |
异常 | |
Ip |
输入以下详细信息:
|
Tcp |
输入以下详细信息:
|
泛洪防御 | |
限制来自同一源的会话 |
输入来自同一源 IP 的会话限制范围。 范围:1 到 50000 个会话。 |
限制来自同一目标的会话 |
输入来自同一目标 IP 的会话限制范围。范围从 1 到 50,000 个会话。 范围:每秒 1 到 800000 个会话。默认值为 128 个会话。 |
ICMP 防洪 |
选中该复选框以启用互联网控制消息协议 (ICMP) 泛洪计数器。
注意:
当 ICMP 回显请求在响应时使用所有资源,导致无法再处理有效的网络流量时,通常会发生 ICMP 泛洪。 |
阈 值 |
输入 ICMP 泛洪防护阈值。
注意:
范围:1 到 4000000 ICMP pps。 |
UDP 泛洪防护 |
选中该复选框以启用用户数据报协议 (UDP) 泛洪计数器。
注意:
当攻击者发送包含 UDP 数据报的 IP 数据包以减慢系统资源速度,导致无法再处理有效连接时,就会发生 UDP 泛洪。 |
阈 值 |
输入 UDP 泛洪防护阈值。
注意:
范围:1 到 100000 会话。默认值为 1000 个会话。 |
UDP 允许列表 |
注意:
要在 UDP 允许列表页面上编辑允许列表,请选择该允许列表名称,然后单击铅笔图标。 要在 UDP Allowlist 页面上删除允许列表,请选择该允许列表名称,然后单击 delete 图标。 |
SYN 泛洪防护 |
选中该复选框以启用所有阈值和 ager 超时选项。 指定当主机因发起不完整的连接请求而无法再处理合法连接请求的 SYN 分段不堪重负时,将发生 SYN 泛洪。 |
TCP 允许列表 |
注意:
要在 TCP Allowlist 页面上编辑允许列表,请选择该允许列表名称,然后单击铅笔图标。 要在 TCP Allowlist 页面上删除允许列表,请选择该允许列表名称,然后单击 delete 图标。 |
攻击阈值 |
输入一个值,以指定触发 SYN 代理机制所需的每秒 SYN 数据包数。
注意:
范围:每秒 1 到 1000000 个代理请求。默认攻击阈值为 625 pps。 |
报警阈值 |
输入一个值以指定设备在事件告警日志中输入的每秒半完整代理连接数。
注意:
范围:每秒 1 到 1000000 个分段。默认告警阈值为 250 pps。 |
源阈值 |
输入一个值,以指定设备开始从该源的连接请求之前,每秒从单个源 IP 地址(无论目标 IP 地址和端口号)接收的 SYN 分段数。
注意:
范围:每秒 4 到 1000000 个分段。默认源阈值为 25 pps。 |
目标阈值 |
输入一个值,以指定设备开始向该目标丢弃连接请求之前,每秒接收的单个目标 IP 地址的 SYN 分段数。如果受保护主机运行多个服务,则不管目标端口号如何,您都可能需要仅基于目标 IP 地址设置阈值。
注意:
范围:每秒 4 到 1000000 个分段。默认目标阈值为 0 pps。 |
Ager 超时 |
输入一个值以指定在将完成的半连接从队列中丢弃之前的最大时间长度。您可以降低超时值,直到在正常流量条件下看到任何连接中断。 范围:1 到 50 秒。默认值为 20 秒。
注意:
20 秒是保留不完整连接请求的合理时间。 |
IPv6 EXT 报头 | |
预定义标头类型 |
配置以下屏幕选项:
|
路由标头 |
选中该复选框以启用 IPv6 路由标头筛选选项。 |
ESP 报头 |
选中复选框以启用 IPv6 封装安全有效负载标头屏幕选项。 |
无下一个标题 |
选中该复选框以启用 IPv6 无下一个标头筛选选项。 |
移动性标头 |
选中该复选框以启用 IPv6 移动性标头屏幕选项。 |
分片标头 |
选中该复选框以启用 IPv6 分片标头屏幕选项。 |
AH 标头 |
选中复选框以启用 IPv6 认证头屏幕选项。 |
Shim6 标头 |
选中该复选框以启用 IPv6 垫片标头屏幕选项。 |
HIP 报头 |
选中该复选框以启用 IPv6 主机识别协议标头筛选选项。 |
客户定义的报头类型 |
输入一个值以定义标头范围类型,然后单击 + 进行添加。 范围:0 到 255。 要删除,请选择一个或多个标头类型,然后单击 X。 |
IPv6 分机头限制 |
输入一个值以设置可穿过屏幕的 IPv6 扩展标头的数量。 范围:0 到 32。 |
应用于区域 | |
应用于区域 |
从“可用”列中选择区域,然后使用右箭头将其移动到“选定”列。 |