防火墙攻击防范阈值咨询

1. 基于源IP的统计机制

   • 端口扫描阈值（port-scan-threshold）：指单个源IP在检测周期内发起的 不同目的端口的连接数。
   • 地址扫描阈值（ip-sweep-threshold）：指单个源IP在检测周期内发往 不同目的IP地址的连接数。
   • 例如：若配置阈值为500，表示若某源IP在10秒（默认检测周期）内向500个不同端口或不同IP发起连接，则触发防护动作。

2. 阈值触发逻辑

   • 当单个源IP的连接行为达到或超过阈值时，防火墙会对其执行配置的动作（如加入黑名单、丢弃报文等）。
   • 所有源IP的连接数不会被累加统计，每个攻击源的检测是独立的。

3. 相关配置说明（摘自技术文档）

   • 端口扫描定义：

     port-scan-threshold threshold-value：指定源IP每个检测周期内发送的 目的端口不同的报文数目（H3C SecPath F50X0-D命令参考）。

   • 地址扫描定义：

     ip-sweep-threshold threshold-value：指定源IP每个检测周期内发往 不同目的IP地址的报文数目（同源文档）。

4. 实际应用场景

   • 若攻击者控制多个IP发起分布式扫描（每个IP的连接数均低于阈值），则防火墙不会触发防护。此时需额外配置「分布式扫描防范」功能（如有）。
   • 阈值设置需结合实际流量：
     • 低敏感度：阈值=10万（适合高带宽环境）
     • 高敏感度：阈值=5千（适合严格防护）
     • 自定义阈值：如500适用于对扫描行为较敏感的场景，但需评估正常业务是否受影响（如CDN节点可能触发误报）。

配置建议

• 优化阈值：若业务中存在合法高连接数设备（如负载均衡器），建议：
  1. 通过attack-defense policy启用 自定义敏感度（user-defined）。
  2. 适当提高阈值或延长检测周期（period）。
  3. 通过 攻击防范例外列表 将受信任IP加入白名单。
• 联动黑名单：
  若动作配置为block-source，需在安全域启用黑名单过滤（blacklist enable），否则拦截不生效。

📌 注：不同产品型号配置路径略有差异（如Web界面位于策略 > 安全防护 > 攻击防范 > 扫描防范），但阈值统计逻辑一致。