SecPath F100-C-G2 这款防火墙有没有防范端口扫描的功能?
- 1关注
- 1收藏,141浏览
问题描述:
SecPath F100-C-G2 这款防火墙有没有防范端口扫描的功能?
- 2024-11-29提问
- 举报
-
(0)
最佳答案
有的
1.7.3 配置扫描攻击防范策略
1. 功能简介
扫描攻击防范主要通过监测网络使用者向目标系统发起连接的速率来检测其探测行为,一般应用在设备连接外部网络的安全域上,且仅对应用了攻击防范策略的安全域上的入方向报文有效。若设备监测到某IP地址主动发起的连接速率达到或超过了一定阈值,则可以根据配置输出告警日志、丢弃来自该IP地址的后续报文,或者将检测到的攻击者的源IP地址加入IP黑名单。
若指定的扫描攻击的处理行为为加入IP黑名单,则需要开启全局或安全域上的黑名单过滤功能来配合。关于黑名单过滤功能的相关配置请参见“1.15 配置IP黑名单”。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 开启指定级别的扫描攻击防范。
scan detect level { { high | low | medium } | user-defined { port-scan-threshold threshold-value | ip-sweep-threshold threshold-value } * [ period period-value ] } action { { block-source [ timeout minutes ] | drop } | logging } *
缺省情况下,扫描攻击防范处于关闭状态。
1.7.4 配置泛洪攻击防范策略
1. 功能简介
泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击,一般应用在设备连接外部网络的安全域上,且仅对应用了攻击防范策略的安全域上的入方向报文有效。在安全域上应用了泛洪攻击防范策略后,安全域处于攻击检测状态,当它监测到向某服务器发送报文的速率持续达到或超过了指定的触发阈值时,即认为该服务器受到了攻击,则进入攻击防范状态,并根据配置启动相应的防范措施(输出告警日志、对后续新建连接的报文进行丢弃处理或者进行客户端验证)。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
在泛洪攻击防范策略中,阈值是触发系统执行防范动作的条件,因此,阈值的设置是否合理将直接影响攻击防范的效果。
· 如果防范阈值设置过低则在没有发生攻击时,系统就启动攻击防范功能,影响设备性能或者造成正常流量被丢弃。
· 如果防范阈值设置过高则即使发生了攻击,系统也无法感知,不能及时启动防范功能。
因此在配置攻击防范前,应该先了解正常网络中的流量,然后根据正常网络中的流量来设置各攻击类型对应的阈值。在不了解网络正常流量大小时,可以启用流量阈值学习功能并根据学习结果进行阈值配置。流量阈值学习功能的原理是:系统对正常网络环境下的各种流量按时间进行统计,得出此段时间内各种流量的最高值,从而以此为依据计算出各种攻击类型对应的防范门限值。
阈值学习有单次学习和周期学习两种学习模式:
· 单次学习:只进行一次阈值学习。
· 周期学习:按周期学习间隔进行多次阈值学习。其中,周期学习间隔是指从上次学习的结束时间到下次学习开始时间的间隔时间。
开启阈值学习功能后,会对所有类型的泛洪攻击进行阈值学习。在周期学习模式下,最新一次的学习结果会覆盖上一次学习结果。对于学习到的阈值,系统还支持自动应用功能。您可以启用自动应用功能,也可以选择只学习不启用自动应用功能。
2. 配置限制和指导
当设备上安装了多块业务板时,每种泛洪攻击防范策略中配置的全局触发阈值为每块业务板上的全局触发阈值,因而整机的该类泛洪攻击的全局触发阈值即为每块业务板上的全局触发阈值与业务板数目的乘积。
为保护指定IP地址,攻击防范策略中支持基于IP地址的攻击防范配置。对于所有非受保护IP地址,可以统一开启攻击防范检测,并采用全局的参数设置来进行保护。
3. 配置SYN flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启SYN flood攻击防范检测。
syn-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启SYN flood攻击防范检测。
(4) 配置SYN flood攻击防范的全局触发阈值。
syn-flood threshold threshold-value
缺省情况下,SYN flood攻击防范的全局触发阈值为1000。
(5) 配置SYN flood攻击防范的全局处理行为。
syn-flood action { client-verify | drop | logging } *
缺省情况下,不对检测到的SYN flood攻击采取任何措施。
(6) 开启对IP地址的SYN flood攻击防范检测,并配置触发阈值和处理行为。
syn-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置SYN flood攻击防范检测。
4. 配置ACK flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启ACK flood攻击防范检测。
ack-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启ACK flood攻击防范检测。
(4) 配置ACK flood攻击防范全局触发阈值。
ack-flood threshold threshold-value
缺省情况下,ACK flood攻击防范的全局触发阈值为1000。
(5) 配置ACK flood攻击防范的全局处理行为。
ack-flood action { client-verify | drop | logging } *
缺省情况下,不对检测到的ACK flood攻击采取任何措施。
(6) 开启对IP地址的ACK flood攻击防范检测,并配置触发阈值和处理行为。
ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置ACK flood攻击防范检测。
5. 配置SYN-ACK flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启SYN-ACK flood攻击防范检测。
syn-ack-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启SYN-ACK flood攻击防范检测。
(4) 配置SYN-ACK flood攻击防范的全局触发阈值。
syn-ack-flood threshold threshold-value
缺省情况下,SYN-ACK flood攻击防范的全局触发阈值为1000。
(5) 配置SYN-ACK flood攻击防范的全局处理行为。
syn-ack-flood action { client-verify | drop | logging }*
缺省情况下,不对检测到的SYN-ACK flood攻击采取任何措施。
(6) 开启对IP地址的SYN-ACK flood攻击防范检测,并配置触发阈值和处理行为。
syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置SYN-ACK flood攻击防范检测。
6. 配置FIN flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启FIN flood攻击防范检测。
fin-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启FIN flood攻击防范检测。
(4) 配置FIN flood攻击防范的全局触发阈值。
fin-flood threshold threshold-value
缺省情况下,FIN flood攻击防范的全局触发阈值为1000。
(5) 配置FIN flood攻击防范的全局处理行为。
fin-flood action { client-verify | drop | logging } *
缺省情况下,不对检测到的FIN flood攻击采取任何措施。
(6) 开启对IP地址的FIN flood攻击防范检测,并配置触发阈值和处理行为。
fin-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置FIN flood攻击防范检测。
7. 配置RST flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启RST flood攻击防范检测。
rst-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启RST flood攻击防范检测。
(4) 配置RST flood攻击防范的全局触发阈值。
rst-flood threshold threshold-value
缺省情况下,RST flood攻击防范的全局触发阈值为1000。
(5) 配置全局的RST flood攻击防范的全局处理行为。
rst-flood action { client-verify | drop | logging } *
缺省情况下,不对检测到的RST flood攻击采取任何措施。
(6) 开启对IP地址的RST flood攻击防范检测,并配置触发阈值和处理行为。
rst-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置RST flood攻击防范检测。
8. 配置ICMP flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IPv4地址开启ICMP flood攻击防范检测。
icmp-flood detect non-specific
缺省情况下,未对任何非受保护IPv4地址开启ICMP flood攻击防范检测。
(4) 配置ICMP flood攻击防范的全局触发阈值。
icmp-flood threshold threshold-value
缺省情况下,ICMP flood攻击防范的全局触发阈值为1000。
(5) 配置ICMP flood攻击防范的全局处理动作。
icmp-flood action { drop | logging } *
缺省情况下,不对检测到的ICMP flood攻击采取任何措施。
(6) 开启对IPv4地址的ICMP flood攻击防范检测,并配置触发阈值和处理行为。
icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
缺省情况下,未对任何指定IPv4地址配置ICMP flood 攻击防范触发阈值。
9. 配置ICMPv6 flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IPv6地址开启ICMPv6 flood攻击防范检测。
icmpv6-flood detect non-specific
缺省情况下,未对任何非受保护IPv6地址开启ICMPv6 flood攻击防范检测。
(4) 配置ICMPv6 flood攻击防范的全局触发阈值。
icmpv6-flood threshold threshold-value
缺省情况下,ICMPv6 flood攻击防范的全局触发阈值为1000。
(5) 配置ICMPv6 flood攻击防范的全局处理行为。
icmpv6-flood action { drop | logging } *
缺省情况下,不对检测到的ICMPv6 flood攻击采取任何防范措施。
(6) 开启对IPv6地址的ICMPv6 flood攻击防范检测,并配置触发阈值和处理行为。
icmpv6-flood detect ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
缺省情况下,未对任何指定IPv6地址配置ICMPv6 flood攻击防范检测。
10. 配置UDP flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启UDP flood攻击防范检测。
udp-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启UDP flood攻击防范检测。
(4) 配置UDP flood攻击防范的全局触发阈值。
udp-flood threshold threshold-value
缺省情况下,UDP flood攻击防范的全局触发阈值为1000。
(5) 配置UDP flood攻击防范检测的全局处理行为。
udp-flood action { drop | logging } *
缺省情况下,不对检测到的UDP flood攻击进行任何处理。
(6) 开启对IP地址的UDP flood攻击防范检测,并配置触发阈值和处理行为。
udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置UDP flood攻击防范检测。
11. 配置DNS flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启DNS flood攻击防范检测。
dns-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启DNS flood攻击防范检测。
(4) 配置DNS flood攻击防范的全局触发阈值。
dns-flood threshold threshold-value
缺省情况下,DNS flood攻击防范的全局触发阈值为1000。
(5) (可选)配置DNS flood攻击防范的全局检测端口号。
dns-flood port port-list
缺省情况下,DNS flood攻击防范的全局检测端口号为53。
(6) 配置对DNS flood攻击防范的全局处理行为。
dns-flood action { client-verify | drop | logging } *
缺省情况下,不对检测到的DNS flood攻击采取任何措施。
(7) 开启对IP地址的DNS flood攻击防范检测,并配置触发阈值和处理行为。
dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置DNS flood攻击防范检测。
12. 配置HTTP flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启HTTP flood攻击防范检测。
http-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启HTTP flood攻击防范检测。
(4) 配置HTTP flood攻击防范的全局触发阈值。
http-flood threshold threshold-value
缺省情况下,HTTP flood攻击防范的全局触发阈值为1000。
(5) (可选)配置HTTP flood攻击防范的全局检测端口号。
http-flood port port-list
缺省情况下,HTTP flood攻击防范的全局检测端口号为80。
(6) 配置对HTTP flood攻击防范的全局处理行为。
http-flood action { client-verify | drop | logging } *
缺省情况下,不对检测到的HTTP flood攻击采取任何措施。
(7) 开启对IP地址的HTTP flood攻击防范检测,并配置触发阈值和处理行为。
http-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置HTTP flood攻击防范检测。
13. 配置SIP flood攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 对所有非受保护IP地址开启SIP flood攻击防范检测。
sip-flood detect non-specific
缺省情况下,未对任何非受保护IP地址开启SIP flood攻击防范检测。
(4) 配置SIP flood攻击防范的全局触发阈值。
sip-flood threshold threshold-value
缺省情况下,SIP flood攻击防范的全局触发阈值为1000。
(5) (可选)配置SIP flood攻击防范的全局检测端口号。
sip-flood port port-list
缺省情况下,SIP flood攻击防范的全局检测端口号为5060。
(6) 配置对SIP flood攻击防范的全局处理行为。
sip-flood action { client-verify | drop | logging } *
缺省情况下,不对检测到的SIP flood攻击采取任何措施。
(7) 开启对IP地址的SIP flood攻击防范检测,并配置触发阈值和处理行为。
sip-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
缺省情况下,未对任何指定IP地址配置SIP flood攻击防范检测。
14. 配置阈值学习功能
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 开启泛洪攻击阈值学习功能。
threshold-learn enable
缺省情况下,未开启阈值学习功能。
(4) (可选)配置阈值学习模式。
¡ 单次学习模式
threshold-learn mode once
¡ 周期学习模式
threshold-learn mode periodic
缺省情况下,学习模式为单次学习模式。
(5) (可选)配置学习时长。
threshold-learn duration duration
缺省情况下,阈值学习时长为1440分钟。
(6) (可选)配置学习间隔。
threshold-learn interval interval
缺省情况下,阈值学习间隔为1440分钟。
单次学习模式请跳过本步骤。
(7) (可选)配置学习容忍度。
threshold-learn tolerance-value tolerance-value
缺省情况下,阈值学习容忍度为50%。
未开启自动应用功能时请跳过本步骤。
(8) (可选)开启阈值学习结果自动应用功能。
threshold-learn auto-apply enable
缺省情况下,阈值学习结果自动应用功能处于关闭状态。
(9) 应用最近一次的阈值学习结果。
threshold-learn apply
在阈值学习结果自动应用功能开启时,此命令不生效。
1.7.5 配置攻击防范例外列表
1. 功能简介
攻击防范例外列表用于过滤不需要进行攻击防范检测的主机报文,与指定的ACL permit规则匹配的报文将不会受到任何类型的攻击防范检测。该配置用于过滤某些被信任的安全主机发送的报文,可以有效的减小误报率,并提高服务器处理效率。例如:攻击防范功能可能将源IP地址相同,目的地址不同的组播报文(如OSPF、PIM等协议报文)检测为扫描攻击,此时可以通过配置例外列表放行组播报文来消除误报。
2. 配置限制和指导
例外列表引用的ACL的permit规则中仅源地址、目的地址、源端口、目的端口、协议号、L3VPN和非首片分片标记参数用于匹配报文。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 配置攻击防范例外列表。
exempt acl [ ipv6 ] { acl-number | name acl-name }
缺省情况下,未配置攻击防范例外列表。
1.7.6 在安全域上应用攻击防范策略
(1) 进入系统视图。
system-view
(2) 进入安全域视图。
security-zone name zone-name
(3) 配置在安全域上应用攻击防范策略。
attack-defense apply policy policy-name
缺省情况下,安全域上未应用任何攻击防范策略。
- 2024-11-29回答
- 评论(0)
- 举报
-
(2)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论