攻击防护

该页面提供配置攻击防护功能的选项。具体描述如下：

选择安全域

安全域：从下拉菜单选择需要配置安全防护功能的安全域。

全选

启用所有：选中该复选框开启安全域的所有的攻击防护功能。

行为：为所有的攻击防护功能指定默认操作，即受到攻击后安全网关的防护措施。

• 丢弃 - 系统的默认行为。丢弃攻击包。
• 告警 - 发出警报但是允许包通过。

Flood防护

ICMP洪水攻击防护：选中该复选框开启安全域的ICMP洪水攻击防护功能。

• 警戒值 - 指定安全网关收到的ICMP包个数的警戒值。如果同一个目的IP地址在一秒钟内收到的ICMP包的个数超过该警戒值，安全网关就判断为受到ICMP洪水攻击，从而采取相应的处理。默认值是1500个，取值范围是1到50000。
• 行为 - 指定受到ICMP洪水攻击而进行的处理行为。如果选择默认行为“丢弃”，系统将在发生攻击的当前秒和下一秒这段时间内，仅允许指定个数（警戒值）的ICMP包通过，并且发出警报，在这段时间内的其它同类包将会被丢弃。

UDP洪水攻击防护：选中该复选框开启安全域的UDP洪水攻击防护功能。

• 警戒值 - 指定安全网关收到的ICMP包个数的警戒值。如果同一个目的IP地址的同一个端口号在一秒钟内收到的UDP包的个数超过该警戒值，安全网关就判断为受到UDP洪水攻击，从而采取相应的处理。默认值是1500个，取值范围是1到50000。
• 行为 - 指定受到UDP洪水攻击而进行的处理行为。如果选择默认行为“丢弃”，系统将在发生攻击的当前秒和下一秒这段时间内，仅允许指定个数（警戒值）的UDP包通过，并且发出警报，在这段时间内的其它同类包将会被丢弃。

ARP欺骗攻击防护：配置安全域的ARP欺骗攻击防护功能。

• 每个MAC最大IP数量 - 指定是否检查ARP表中一个MAC地址对应的IP地址数。如果该选项值为0，则不检查；如果非0，则进行检查，并且如果每个MAC地址对应的IP地址数多于该参数的值，系统将按照<行为>选项的配置进行处理。该参数值的范围是0到1024。
• 反向查询 - 选中该复选框开启ARP反向查询功能。当设备收到ARP请求后，会记录IP地址并且发送ARP请求，检查是否会收到不同MAC地址的返回包或者返回包的MAC地址与ARP请求包的MAC地址是否相同。
• 免费ARP包发送速率 - 指定安全网关是否发出免费ARP包。如果该参数值是0，则不发送免费ARP包（参数的默认值）；如果非0，则发出，并且每秒钟发出包的个数为该参数的值。该参数的取值范围是0到10。

SYN洪水攻击防护：选中该复选框开启安全域的SYN洪水攻击防护功能。

• 源警戒值 - 指定一秒钟内从一个源IP地址发出的SYN包的个数，无论目标IP地址和端口号是什么。如果安全网关探测到一秒钟内从同一个源IP地址发出的SYN包多于该指定数，就判断为受到了SYN洪水攻击。默认值是1500个。取值范围是0到50000个。0表示不对源警戒值进行检测。
• 目的警戒值 - 指定一秒钟内一个目的IP地址收到的SYN包个数。如果安全网关探测到一秒钟同一个目标IP地址收到的SYN包多于该指定数，就认为是受到了SYN洪水攻击。默认值是1500个。取值范围是0到50000个。0表示不对目的警戒值进行检测。
• 行为 - 指定受到SYN洪水攻击而进行的处理行为。如果选择默认行为“丢弃”，系统将在发生攻击的当前秒和下一秒这段时间内，仅允许指定个数（源境界值或者目的境界值）的SYN包通过，并且发出警报，在这段时间内的其它同类包将会被丢弃；如果同时配置了源和目的警戒值，系统会先检查其是否为目的SYN洪水攻击，如果是，则丢弃并报警，如果不是，再检查其是否为源SYN洪水攻击，是则丢弃并报警。

MS-Windows防护

WinNuke攻击防护：选中该复选框开启安全域的WinNuke攻击防护功能。当安全网关发现受到WinNuke攻击后，会丢弃攻击包并且发出警报通知。

扫描/欺骗防护

IP地址欺骗攻击防护：选中该复选框开启安全域的IP地址欺骗攻击防护功能。当安全网关发现受到IP地址欺骗攻击后，会丢弃攻击包并且发出警报通知。

IP地址扫描攻击防护：选中该复选框开启安全域的IP地址扫描攻击防护功能。

• 警戒值 - 指定地址扫描的时间警戒值。如果安全网关探测到在该指定时间内有10个以上来自同一个源IP地址的ICMP包发往不同的主机，安全网关就认为是受到IP地址扫描攻击。默认值是1，单位是毫秒，取值范围是1到5000毫秒。
• 行为 - 指定受到IP地址扫描攻击而进行的处理行为。如果选择默认行为“丢弃”，系统在指定时间内（警戒值），仅允许10个来自同一个源IP地址的发往不同主机的ICMP包通过，并且发出警报，指定时间内的其它同类包将会被丢弃。

端口扫描防护：选中该复选框开启安全域的端口扫描攻击防护功能。

• 警戒值 - 指定端口扫描的时间警戒值。如果安全网关探测到在该指定时间内有10个以上TCP SYN包发往同一目标的不同端口，安全网关就认为是受到了端口扫描攻击。默认值是1，单位是毫秒，取值范围是1到5000毫秒。
• 行为：指定受到端口扫描攻击而进行的处理行为。如果选择默认行为“丢弃”，系统在指定时间内（警戒值），仅允许10个发往同一目标的不同端口的TCP SYN包通过，并且发出警报，指定时间内的其它同类包将会被丢弃。

拒绝服务防护

Ping of Death攻击防护：选中其复选框开启安全域的Ping of Death攻击防护功能。当安全网关发现受到Ping of Death攻击后，会丢弃攻击包并且发出警报通知。

Teardrop攻击防护：选中其复选框开启安全域的Teardrop攻击防护功能。当安全网关发现受到Teardrop攻击后，会丢弃攻击包并且发出警报通知。

IP分片防护：选中其复选框开启安全域的IP分片攻击防护功能。

• 行为 - 指定受到IP分片攻击而进行的处理行为。默认为“丢弃”。

IP选项：选中其复选框开启安全域的IP选项攻击防护功能。安全网关会对以下IP选项类型进行防护：Security、Loose Source Route、Record Route、Stream ID、Strict Source Route和Timestamp。

• 行为 - 指定受到IP选项攻击而进行的处理行为。默认为“丢弃”。

Smurf或者Fraggle攻击防护：选中其复选框开启安全域的Smurf或者Fraggle攻击防护功能。

• 行为 - 指定受到Smurf或者Fraggle攻击而进行的处理行为。默认为“丢弃”。

Land攻击防护：选中其复选框开启安全域的Land攻击防护功能。

• 行为 - 指定受到Land攻击而进行的处理行为。默认为“丢弃”

ICMP大包攻击防护：选中其复选框开启安全域的ICMP大包攻击防护功能。

• 警戒值 - 指定ICMP包的大小的警戒值。如果收到的ICMP包的大小大于该指定值，安全网关就判断为受到大ICMP包攻击，从而采取相应的处理措施。默认值是1024字节，取值范围是1到50000字节。
• 行为：指定受到ICMP大包攻击而进行的处理行为。默认为“丢弃”。

代理

SYN代理：选中其复选框开启安全域的SYN代理功能。SYN代理功能配合SYN洪水攻击防护功能来共同防护SYN洪水攻击。当SYN洪水攻击防护功能和SYN代理功能都开启时，SYN代理功能对已经通过SYN洪水攻击防护功能检测的数据包起效。

• 最小代理速率 - 指定激活SYN代理机制或者SYN-Cookie机制（选中<Cookie>复选框）的最小SYN包个数值。如果一个目的IP地址的同一个端口在一秒钟内收到的SYN包个数多于该选项的指定值，就会激活SYN代理机制或者SYN-Cookie机制。当与SYN洪水攻击防护功能共同使用时，该选项的值必须小于SYN洪水攻击防护功能中配置的目的境界值。默认值是1000个每秒，取值范围是1到50000。
• Cookie - 选中该复选框开启SYN-Cookie功能。SYN-Cookie是一种无状态的SYN代理机制。该功能开启后，能够在功能上扩大安全网关处理多个SYN包的能力，因此用户可以适当的增大“最小代理速率”和“最大代理速率”两个选项之间的范围。
• 最大代理速率 - 指定SYN代理机制或者SYN-Cookie机制（选中<Cookie>复选框）在指定时间内允许通过的最大SYN包个数。如果一个目的IP地址的同一个端口在一秒钟内收到的SYN包个数多于该参数的指定值，安全网关会在当前秒和下一秒内仅允许该指定数值的SYN包通过，其它同类包将会被丢弃。默认值是3000个每秒，取值范围是1到1500000。
• 代理过期 - 指定半连接的超时时间值，单位为秒。半连接达到该超时值后会被丢弃。默认值是30秒。取值范围是1到180秒。

协议异常报告

TCP选项异常：选中其复选框开启安全域的TCP异常攻击防护功能。

• 行为 - 指定受到TCP异常攻击而进行的处理行为。默认为“丢弃”。

DNS查询洪水防护

DNS查询洪水防护：选中其复选框开启安全域的DNS查询洪水防护功能。

• 警戒值 - 指定设备收到的DNS查询报文个数的警戒值。如果一秒钟内设备收到的到达同一个目的IP地址且相同端口号的DNS查询报文个数超过该警戒值，设备就判断为受到DNS查询洪水攻击，从而采取相应的处理措施。取值范围是1到50000，默认值是1500。
• 行为 - 指定设备对DNS查询洪水攻击采取的行为。如果选择默认行为“丢弃”，在发生攻击的当前秒和下一秒这段时间内，设备仅允许指定个数（警戒值）的DNS查询报文通过，并且发出警报，在这段时间内的其它同类包将会被丢弃；如果选择“告警”，系统将在发现DNS查询洪水攻击后发出警报但是允许DNS查询报文通过。

DNS递归查询洪水攻击防护：选中其复选框开启安全域的DNS递归查询洪水防护功能。

• 警戒值 - 指定设备收到的DNS递归查询报文个数的警戒值。如果一秒钟内设备收到的到达同一个目的IP地址且相同端口号的DNS递归查询报文个数超过该警戒值，设备就判断为受到DNS递归查询洪水攻击，从而采取相应的处理措施。取值范围是0到50000，默认值是1000。当取值为0时禁止所有DNS递归查询报文通过。
• 行为 - 指定设备对DNS递归查询洪水攻击采取的行为。如果选择默认行为“丢弃”，在发生攻击的当前秒和下一秒这段时间内，设备仅允许指定个数（警戒值）的DNS递归查询报文通过，并且发出警报，在这段时间内的其它同类包将会被丢弃；如果选择“告警”，系统将在发现DNS递归查询洪水攻击后发出警报但是允许DNS查询报文通过。

确定：保存所做配置。