V7防火墙syslog日志问题

主机发起网络拓扑扫描攻击，攻击名称为ATK_ICMP_TRACEROUTE_RAW_SZ，该攻击匹配了设备上配置的扫描攻击防范规则中的**ICMP Traceroute检测规则**。 根据日志信息和攻击特征，该攻击表现为通过发送TTL递增的UDP报文探测网络路径，触发ICMP超时回包，属于典型的Traceroute行为。此行为被识别为ATK_ICMP_TRACEROUTE类攻击，对应需启用**traceroute单包检测功能**。 虽然当前配置中启用了扫描攻击防范（`scan detect level user-defined`），但该配置主要针对端口扫描（port-scan）和IP扫描（ip-sweep），**未明确启用专门的traceroute检测规则**。因此，ATK_ICMP_TRACEROUTE_RAW_SZ攻击日志的产生依赖于设备默认或单独启用的ICMP traceroute检测机制，而非当前配置的`port-scan-threshold`或`ip-sweep-threshold`规则。 结论： **ATK_ICMP_TRACEROUTE_RAW_SZ攻击未直接匹配当前配置的扫描防范规则（port-scan/ip-sweep），而是匹配了独立的ICMP Traceroute检测规则，建议显式开启traceroute单包检测功能以实现有效防护。**