网络入侵检测系统 (NIDS) | NIDS 攻击预防 |
|
|
设置特征临界值
您可以表 7 中列出的 NIDS 攻击预防特征的默认的临界值。临界值取决于攻击的类 型。对于淹没攻击,临界值是每秒接收到的包的最大数目。对于溢出攻击,临界值是 命令的缓冲区大小。对于超大 ICMP 包攻击,临界值是允许传输的 ICMP 包的尺寸限制。
例如,将 ICMP 淹没特征的临界值设置为 500 可以允许从单一源地址发出 500 个回 音请求,而系统将发送回音响应。如果收到 501 个或更多的回音请求,FortiGate 设备 将阻塞攻击者以预防对操作系统的攻击。
如果您输入的临界值是 0 或超过了允许的范围,FortiGate 设备将使用默认的临界 值。
| 表 7: NIDS 预防特征的临界值 |
|
|
|
| |
|
|
|
|
|
|
|
| 特征缩写 | 临界值的单位 |
| 默认临界 | 最小临界 | 最大临界 |
|
|
|
| 值 | 值 | 值 |
|
|
|
|
|
| |
| 握手淹没 | 每秒接收到的 SYN 包的最大数目 | 200 | 30 | 3000 | |
|
|
|
|
|
| |
| 端口扫描 | 每秒接收到的 SYN 包的最大数目 | 128 | 10 | 256 | |
|
|
|
|
|
| |
| 会话淹没 | 来自同一源地址的会话初始化请求的最 | 2048 | 128 | 10240 | |
|
| 大数目。 |
|
|
|
|
|
|
|
|
|
| |
| FTP 溢出 | 一个 FTP 命令的最大缓冲区大小 (字 | 256 | 128 | 1024 | |
|
| 节) |
|
|
|
|
|
|
|
|
|
| |
| SMTP 溢出 | 一个 SMTP 命令的最大缓冲区大小 (字 | 512 | 128 | 1024 | |
|
| 节) |
|
|
|
|
|
|
|
|
|
| |
| POP3 溢出 | 一个 POP3 命令的最大缓冲区大小 (字 | 512 | 128 | 1024 | |
|
| 节)Maximum buffer size for a POP3 |
|
|
| |
|
| command (bytes) |
|
|
|
|
|
|
|
|
|
| |
| UDP 淹没 | 每秒从同一源地址接收到的或发送到同 | 2048 | 512 | 102400 | |
|
| 一目的地址的最大 UDP 包数目 |
|
|
|
|
|
|
|
|
|
| |
| UDP 会话淹没 | 来自同一源地址的 UDP 会话初始化请求 | 1024 | 512 | 102400 | |
|
| 的最大数目 |
|
|
|
|
|
|
|
|
|
| |
| ICMP 淹没 | 每秒从同一源地址接收到的或发送到同 | 256 | 128 | 102400 | |
|
| 一目的地址的最大 ICMP 包数目 |
|
|
|
|
|
|
|
|
|
| |
| ICMP 源会话淹没 | 来自同一源地址的 ICMP 会话初始化请 | 128 | 64 | 2048 | |
|
| 求的数目 |
|
|
|
|
|
|
|
|
|
| |
| ICMP 攻击 | 每秒从同一源地址收到的 ICMP 包的最 | 32 | 16 | 2048 | |
|
| 大数量 |
|
|
|
|
|
|
|
|
|
|
|
| 超大 ICMP 包 | ICMP 包的最大尺寸 ( 字节 ) |
| 32000 | 1024 | 64000 |
|
|
|
|
|
|
|
| 按以下步骤设置预防特征的临界值: |
|
|
|
| |
1 | 进入 NIDS > 预防。 |
|
|
|
| |
2 | 单击您要设置临界值的特征旁边的修改 | 图标。 |
|
|
| |
| 不具备临界值设置功能的特征旁边没有修改 | 图标。 |
|
| ||
3 | 输入临界值。 |
|
|
|
|
|
4 | 单击启用核选框。 |
|
|
|
| |
5 | 单击确定。 |
|
|
|
|
|
223 |
