Fortinet FortiBridge 1000, Конфигурация

Страница: 237 / 286

网络入侵检测系统 (NIDS) NIDS 攻击预 防
FortiGate-1000 安装和配置指南
223
设置特 征临界值
您可以 表 7 中列出的 NIDS 攻击预 防特 征 的默认的 临界值 。 临界值 取 决 于 攻击 的 类
型。 对 于 淹 没 攻击 ， 临界值是 每 秒 接 收 到的包的 最大数 目。 对 于 溢 出 攻击 ， 临界值是
命令的 缓冲 区大小 。 对 于 超大 ICMP 包 攻击 ， 临界值是 允 许传 输 的 ICMP 包的 尺寸 限 制 。
例如，将 ICMP 淹 没 特 征 的 临界值 设置 为 500 可以 允 许从 单 一 源地址 发出 500 个 回
音 请 求 ， 而 系统将发送 回 音 响应 。如果 收 到 501 个或更多的 回 音 请 求 ， FortiGate 设备
将 阻塞攻击 者以 预 防 对操作 系统的 攻击 。
如果您 输 入的 临界值是 0 或 超 过 了 允 许的范 围 ， FortiGate 设备将使用默认的 临界
值 。
按 以 下步骤 设置 预 防特 征 的 临界值 ：
1 进 入 NIDS > 预 防。
2 单击 您 要 设置 临界值 的特 征 旁 边 的 修改 图标。
不具备 临界值 设置 功 能的特 征 旁 边没 有 修改 图标。
3 输 入 临界值 。
4 单击 启用 核 选 框 。
5 单击 确 定。
表 7: NIDS 预 防特 征 的 临界值
特 征 缩写 临界值 的 单 位 默认 临界
值
最小临界
值 最大临界
值
握 手 淹 没 每 秒 接 收 到的 SYN 包的 最大数 目 200 30 3000
端 口扫描 每 秒 接 收 到的 SYN 包的 最大数 目 128 10 256
会 话 淹 没 来 自 同 一 源地址 的会 话 初 始 化 请 求 的 最
大数 目。
2048 128 10240
FTP 溢 出 一个 FTP 命令的 最大 缓冲 区大小 （字
节 ）
256 128 1024
SMTP 溢 出 一个 SMTP 命令的 最大 缓冲 区大小 （字
节 ）
512 128 1024
POP3 溢 出 一个 POP3 命令的 最大 缓冲 区大小 （字
节 ） Maximum buffer size for a POP3
command (bytes)
512 128 1024
UDP 淹 没 每 秒 从 同 一 源地址 接 收 到的或发送到 同
一目的 地址 的 最大 UDP 包 数 目
2048 512 102400
UDP 会 话 淹 没 来 自 同 一 源地址 的 UDP 会 话 初 始 化 请 求
的 最大数 目
1024 512 102400
ICMP 淹 没 每 秒 从 同 一 源地址 接 收 到的或发送到 同
一目的 地址 的 最大 ICMP 包 数 目
256 128 102400
ICMP 源 会 话 淹 没 来 自 同 一 源地址 的 ICMP 会 话 初 始 化 请
求 的 数 目
128 64 2048
ICMP 攻击 每 秒 从 同 一 源地址 收 到的 ICMP 包的 最
大数量
32 16 2048
超大 ICMP 包 ICMP 包的 最大 尺寸 ( 字 节 ) 32000 1024 64000