216
美国飞塔有限公司
检测攻击 网络入侵检测系统 (NIDS)
3打开网页浏览器并输入以下URL:
http://www.fortinet.com/ids/ID< 攻击 ID>
记住要包括这个攻击 ID。
例如,要查看 ssh CRC32 overflow /bin/sh 攻击(ID101646338)的 Fortinet 攻击分
析网页,使用如下URL:
http://www.fortinet.com/ids/ID101646338
图34: 特征组成员的例子
启用和禁用NIDS 攻击特征默认情况下,所有的 NIDS 攻击特征都已经启用。您可以使用 NIDS 攻击特征列表禁
用对某些攻击的检测。禁止检测不常见的攻击方式可以提高系统的性能,减少 NIDS 生
成的攻击日志中消息的数目和报警邮件的数量。例如,NIDS 检测大量的网页服务器攻
击。如果您没有提供对您的防火墙后面的Web 服务器的访问,则可以禁用所有对Web
服务器攻击类型的攻击检测。
禁用NIDS 攻击特征
1进入NIDS > 检测 > 特征列表。
2卷动特征列表,找到要禁用的攻击特征。
攻击日志和报警邮件中的攻击名称和ID 号与攻击列表中的相对应。您可以很容易地通
过ID 号在攻击列表中找到特定的攻击定义库。
3取消对攻击特征旁边的活动选项的选中就可以禁用对这个攻击的检测。
4单击确定。
5对您要禁用的每个攻击特征重复步骤 2 到4。
单击全部选中 可以启用攻击特征列表中的全部的 NIDS 攻击特征组。
单击全部取消 可以禁用攻击特征列表中的全部的 NIDS 攻击特征组。
注意:每个攻击日志消息包含一个直接连到这个攻击的Forti 响应攻击分析网页的 URL。这个
URL 可以从攻击日志消息和报警邮件消息中直接访问。关于日志消息内容和格式的详细信息,以
及有关日志位置的信息,请见
日志配置和参考指南
。要记录攻击日志消息,请见 第 220 页
“ 记录NIDS 攻击日志” 。
注意:为了保存您的 NIDS 攻击特征设置,Fortinet 建议您在更新固件和在更新之后恢复保存过
的配置之前先备份您的 FortiGate 设置。