Cisco Cisco Firepower Management Center 4000 User Guide
34-10
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
防御基于速率的攻击
防御 SYN 攻击
许可证:保护
SYN 攻击防御选项有助于保护网络主机免受 SYN 泛洪攻击。可以根据在一段时间内看到的数据
包数量保护单个主机或整个网络。如果设备采用被动部署,可以生成事件。如果设备采用内联部
署,还可以丢弃恶意数据包。超时周期结束后,如果速率条件已停止,将会停止事件生成和数据
包丢弃。
包数量保护单个主机或整个网络。如果设备采用被动部署,可以生成事件。如果设备采用内联部
署,还可以丢弃恶意数据包。超时周期结束后,如果速率条件已停止,将会停止事件生成和数据
包丢弃。
例如,可以配置一项设置以允许任一 IP 地址发出最多 10 个 SYN 数据包,并连续 60 秒阻止来自
该 IP 地址的进一步连接。
该 IP 地址的进一步连接。
启用此选项还会激活规则 135:1。手动激活此规则是无效的。规则状态始终显示为 Disabled,不
会改变。如果此选项已启用且超过定义的速率条件,规则会生成事件。
会改变。如果此选项已启用且超过定义的速率条件,规则会生成事件。
控制同步连接
许可证:保护
可以限制与网路上主机之间的 TCP/IP 连接,以防止拒绝服务 (DoS) 攻击或用户进行过多活动。当
系统检测到与指定 IP 地址成功连接的配置数量或地址范围时,它会对额外连接生成事件。基于速
率的事件生成继续进行,直到超时周期结束且未发生速率条件。在内联部署中,可以选择丢弃数
据包,直到速率条件超时。
系统检测到与指定 IP 地址成功连接的配置数量或地址范围时,它会对额外连接生成事件。基于速
率的事件生成继续进行,直到超时周期结束且未发生速率条件。在内联部署中,可以选择丢弃数
据包,直到速率条件超时。
例如,可以配置一项设置以允许任一 IP 地址发出最多 10 个成功的同步连接,并连续 60 秒阻止来
自该 IP 地址的进一步连接。
自该 IP 地址的进一步连接。
启用此选项还会激活规则 135:2。手动激活此规则是无效的。规则状态始终显示为 Disabled,不
会改变。如果此选项已启用且超过定义的速率条件,规则会生成事件。
会改变。如果此选项已启用且超过定义的速率条件,规则会生成事件。