Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加筛选

您的位置: 安全策略和对象 > 区域/屏幕

要添加屏幕:

  1. 单击“筛选列表”页面右上角的 +

    此时将显示添加屏幕页面。

  2. 按照 表 1 中提供的准则完成配置。
  3. 单击 OK 保存更改。如果要丢弃更改,请单击 取消

表 1 介绍了 Add Screen 页面上的字段。

表 1:Add Screen 页面上的字段

领域

行动

主要

屏幕名称

输入屏幕对象的名称。

筛选说明

输入屏幕对象的描述。

在不丢弃数据包的情况下生成告警

选中复选框以启用此功能。

IP 欺骗

选中复选框以启用此功能。

指定可以启用 IP 地址欺骗。IP 欺骗是指在数据包标头中插入虚假源地址,使数据包看起来来自可信来源。

IP 扫描

选中复选框以启用此功能。

指定 ICMP 地址扫描的次数。IP 地址扫描的意图是触发活动主机的响应。

阈 值

输入 IP 扫描的时间间隔。

注意:

如果远程主机在此间隔内将 ICMP 流量发送至 10 个地址,则 IP 地址扫描攻击将标记并拒绝来自该远程主机的更多 ICMP 数据包。

范围:1000 到 1000000 微秒。默认值为 5000 微秒。

端口扫描

选中复选框以启用此功能。

指定 TCP 端口扫描数。此攻击的目的是扫描可用服务,希望至少有一个端口会做出响应,从而识别目标服务。

阈 值

输入 TCP 端口扫描的时间间隔。

注意:

如果远程主机在此间隔内扫描 10 个端口,则端口扫描攻击将标记并拒绝来自远程主机的进一步数据包。

范围:1000 到 1000000 微秒。默认值为 5000 微秒。

MS-Windows 防御

WinNuke 攻击防御 — 选中该复选框以启用此功能。

注意:

WinNuke 是一种 DoS 攻击,其攻击对象是互联网上运行 Windows 操作系统的任何计算机。

IPv6 检查

输入以下详细信息:

  • 格式错误的 IPv6 — 选中此复选框以启用 IPv6 格式错误的报头入侵检测服务 (IDS) 选项。

  • 格式错误的 ICMPv6 — 选中此复选框以启用 ICMPv6 格式错误的 IDS 选项。

拒绝服务

陆地攻击防护

选中复选框以启用此功能。

注意:

当攻击者发送包含受害者 IP 地址作为目标和源 IP 地址的欺骗 SYN 数据包时,将会发生陆地攻击。

撕裂攻击防护

选中复选框以启用此功能。

注意:

Teardrop 攻击利用分段 IP 数据包的重组。

ICMP 分片保护

选中复选框以启用此功能。

注意:

ICMP 数据包包含非常短的消息。ICMP 数据包没有合法理由需要分片。

Ping 的死亡攻击保护

选中复选框以启用此功能。

注意:

当发送的 IP 数据包超过最大法定长度(65,535 字节)时,将发生死亡 ping。

大尺寸 ICMP 数据包保护

选中复选框以启用此功能。

阻止分片流量

选中复选框以启用此功能。

SYN-ACK-ACK 代理保护

选中复选框以启用此功能。

阈 值

输入 SYN-ACK-ACK 代理保护阈值。

注意:

范围从 1 个到 250000 个会话。默认值为 512 个会话。

异常

Ip

输入以下详细信息:

  • 无效选项 — 选中复选框以指定坏选项计数器的数量。

  • 安全性 - 选中该复选框以启用主机发送安全性的方法。

  • 未知协议 — 选中复选框以启用带安全选项的 IP 地址。

  • 严格源路由 — 选中该复选框以启用数据包的完整路由列表,以便数据包完成从源到目标的旅程。

  • 源路由 — 选中该复选框以启用此功能。

    指定在源位置设置的 IP 地址数,允许 IP 传输至其目标。

  • 时间戳 — 选中该复选框以启用每个网络设备在从起点到目的地的行程中接收数据包时记录的时间(以 UTC 格式)。

  • 流 - 选中该复选框以启用 16 位 SATNET 流标识符的方法,用于通过不支持流传输的网络。

  • 松散源路由 — 选中该复选框可启用数据包从源到目标的部分路由列表。

  • 记录路由 - 选中复选框以启用可记录 IP 数据包传输路径上的网络设备的 IP 地址。

Tcp

输入以下详细信息:

  • SYN 分片保护 — 选中该复选框以启用 TCP SYN 分片的数量。

  • SYN 和 FIN 标志集保护 — 选中复选框以启用 TCP SYN 和 FIN 标志的数量。

    注意:

    启用此选项时,Junos OS 会检查 TCP 标头中是否设置了 SYN 和 FIN 标志。如果发现此类标头,它将丢弃数据包。

  • 不带 ACK 标志集保护的 FIN 标志集 — 选中该复选框以启用未设置 ACK 标志集的 TCP FIN 标志集的数量。

  • 无标志集保护的 TCP 数据包 — 选中该复选框以启用未设置标志的 TCP 报头数量。

    注意:

    普通 TCP 分段标头至少有一个标志控制集。

泛洪防御

限制来自同一源的会话

输入来自同一源 IP 的会话限制范围。

范围:1 到 50000 个会话。

限制来自同一目标的会话

输入来自同一目标 IP 的会话限制范围。范围从 1 到 50,000 个会话。

范围:每秒 1 到 800000 个会话。默认值为 128 个会话。

ICMP 防洪

选中该复选框以启用互联网控制消息协议 (ICMP) 泛洪计数器。

注意:

当 ICMP 回显请求在响应时使用所有资源,导致无法再处理有效的网络流量时,通常会发生 ICMP 泛洪。

阈 值

输入 ICMP 泛洪防护阈值。

注意:

范围:1 到 4000000 ICMP pps。

UDP 泛洪防护

选中该复选框以启用用户数据报协议 (UDP) 泛洪计数器。

注意:

当攻击者发送包含 UDP 数据报的 IP 数据包以减慢系统资源速度,导致无法再处理有效连接时,就会发生 UDP 泛洪。

阈 值

输入 UDP 泛洪防护阈值。

注意:

范围:1 到 100000 会话。默认值为 1000 个会话。

UDP 允许列表

  1. 单击 选择

    将显示 UDP 允许列表窗口。

  2. 单击 + 以添加您希望允许列入名单的 IP 地址。

    将显示添加允许列表窗口。

  3. 输入以下详细信息:

    • 名称 — 输入名称以识别 IP 地址组。

    • IPv4/IPv6 地址 — 输入 IPv4 或 IPv6 地址。

    • IPv4/IPv6 地址 — 列出您输入的地址。

      注意:

      您可以选择 IP 地址,然后单击 X 将其删除。

  4. 单击 OK 保存更改。

  5. 在 UDP Allowlist 页面中选择与在“添加允许列表”窗口中输入的 IP 地址组关联的允许列表名称,并从“可用”列移动到“选定”列。

  6. 单击 OK 保存更改。

注意:
  • 仅当选择了 UDP 泛洪防护时,UDP 允许列表选项才会启用。

  • 您在 UDP 允许列表窗口中创建的允许列表也将在 TCP 允许列表窗口中进行选择。

要在 UDP 允许列表页面上编辑允许列表,请选择该允许列表名称,然后单击铅笔图标。

要在 UDP Allowlist 页面上删除允许列表,请选择该允许列表名称,然后单击 delete 图标。

SYN 泛洪防护

选中该复选框以启用所有阈值和 ager 超时选项。

指定当主机因发起不完整的连接请求而无法再处理合法连接请求的 SYN 分段不堪重负时,将发生 SYN 泛洪。

TCP 允许列表

  1. 单击 选择

    将显示 TCP 允许列表窗口。

  2. 单击 + 以添加您希望允许的 IP 地址。

    将显示添加允许列表窗口。

  3. 输入以下详细信息:

    • 名称 — 输入名称以识别 IP 地址组。

    • IPv4/IPv6 地址 — 输入 IPv4 或 IPv6 地址。

    • IPv4/IPv6 地址 — 列出您输入的地址。

      注意:

      您可以选择 IP 地址,然后单击 X 将其删除。

  4. 单击 OK 保存更改。

  5. 在 TCP Allowlist 页面中选择与在“添加允许列表”窗口中输入的 IP 地址组相关联的允许列表名称,并从“可用”列中选择,然后使用右箭头将其移动到“选定”列。

  6. 单击 OK 保存更改。

注意:
  • 仅当选择了 SYN 泛洪保护时,TCP 允许列表选项才会启用。

  • 您在 TCP 允许列表窗口中创建的允许列表也将在 UDP 允许列表窗口中进行选择。

要在 TCP Allowlist 页面上编辑允许列表,请选择该允许列表名称,然后单击铅笔图标。

要在 TCP Allowlist 页面上删除允许列表,请选择该允许列表名称,然后单击 delete 图标。

攻击阈值

输入一个值,以指定触发 SYN 代理机制所需的每秒 SYN 数据包数。

注意:

范围:每秒 1 到 1000000 个代理请求。默认攻击阈值为 625 pps。

报警阈值

输入一个值以指定设备在事件告警日志中输入的每秒半完整代理连接数。

注意:

范围:每秒 1 到 1000000 个分段。默认告警阈值为 250 pps。

源阈值

输入一个值,以指定设备开始从该源的连接请求之前,每秒从单个源 IP 地址(无论目标 IP 地址和端口号)接收的 SYN 分段数。

注意:

范围:每秒 4 到 1000000 个分段。默认源阈值为 25 pps。

目标阈值

输入一个值,以指定设备开始向该目标丢弃连接请求之前,每秒接收的单个目标 IP 地址的 SYN 分段数。如果受保护主机运行多个服务,则不管目标端口号如何,您都可能需要仅基于目标 IP 地址设置阈值。

注意:

范围:每秒 4 到 1000000 个分段。默认目标阈值为 0 pps。

Ager 超时

输入一个值以指定在将完成的半连接从队列中丢弃之前的最大时间长度。您可以降低超时值,直到在正常流量条件下看到任何连接中断。

范围:1 到 50 秒。默认值为 20 秒。

注意:

20 秒是保留不完整连接请求的合理时间。

IPv6 EXT 报头

预定义标头类型

配置以下屏幕选项:

  • 逐跳标头 — 从列表中选择一个选项,输入值,然后单击 + 进行添加。

    要删除,请选择一个或多个标题,然后单击 X

  • 目标标头 — 从列表中选择一个选项,输入值,然后单击 + 进行添加。

    要删除,请选择一个或多个标题,然后单击 X

路由标头

选中该复选框以启用 IPv6 路由标头筛选选项。

ESP 报头

选中复选框以启用 IPv6 封装安全有效负载标头屏幕选项。

无下一个标题

选中该复选框以启用 IPv6 无下一个标头筛选选项。

移动性标头

选中该复选框以启用 IPv6 移动性标头屏幕选项。

分片标头

选中该复选框以启用 IPv6 分片标头屏幕选项。

AH 标头

选中复选框以启用 IPv6 认证头屏幕选项。

Shim6 标头

选中该复选框以启用 IPv6 垫片标头屏幕选项。

HIP 报头

选中该复选框以启用 IPv6 主机识别协议标头筛选选项。

客户定义的报头类型

输入一个值以定义标头范围类型,然后单击 + 进行添加。

范围:0 到 255。

要删除,请选择一个或多个标头类型,然后单击 X

IPv6 分机头限制

输入一个值以设置可穿过屏幕的 IPv6 扩展标头的数量。

范围:0 到 32。

应用于区域

应用于区域

从“可用”列中选择区域,然后使用右箭头将其移动到“选定”列。