Cisco Cisco Firepower Management Center 2000 User Guide

34-16

FireSIGHT 系统用户指南

第 34 章      检测特定威胁       

  防御基于速率的攻击

步骤 3

在左侧的导航面板中，点击 

。

系统将显示 Settings 页面。

步骤 4

您有两种选择，具体取决于是否启用了 

 下的 

：

如果该配置已启用，请点击 

。

如果该配置已禁用，请点击 

，然后点击 

。

系统将显示 Rate-Based Attack Prevention 页面。页面底部消息会识别包含配置的入侵策略层。有
关详情，请参见

步骤 5

此时您有两种选择：

要防止旨在对主机发起泛洪攻击的不完整连接，请点击 

 下的 

。

系统将显示 SYN Attack Prevention 对话框。

要防止过多连接，请点击 

 下的 

。

系统将显示 Control Simultaneous Connections 对话框。

步骤 6

选择要跟踪流量的方式：

要跟踪来自特定源或一系列源的所有流量，请从 

 下拉列表选择 

，然后在 

 字段中输入单个 IP 地址或地址块。

要跟踪到达特定目标或一系列目标的所有流量，请从 

 下拉列表选择 

，然后

在 

 字段中输入单个 IP 地址或地址块。

请注意，系统会单独跟踪 Network 字段中包含的每个 IP 地址的流量。来自超过所配置速率的 IP 地
址的流量会带来仅为该 IP 地址生成的事件。例如，进行网络设置时，可将源 CIDR 块设置为 

10.1.0.0/16

 并将系统配置为在有十个同步连接打开时生成事件。如果 10.1.4.21 有八个连接打开，

10.1.5.10 有六个连接打开，则系统不会生成事件，因为这两个源地址的打开连接均未达到触发数
量。但是，如果 10.1.4.21 有十一个同步连接打开，系统只会为来自 10.1.4.21 的连接生成事件。

有关在 FireSIGHT 系统中使用 CIDR 表示法和前缀长度的信息，请参阅

步骤 7

指示速率跟踪设置的触发速率：

对于 SYN 攻击配置，在 

 字段中指明每个秒数的 SYN 数据包数量。

对于同步连接配置，在 

 字段中指示连接数量。

步骤 8

要丢弃与基于速率的攻击防御设置匹配的数据包，请选择 

。

步骤 9

在 

 字段中指定时间段，在该时间段结束后将会停止生成事件和丢弃流量 （如适用，针对

具有 SYN 的匹配模式或同步连接的流量）。

注意事项

超时值可以是 1 至 1,000,000 之间的任意整数。但是，设置较高的超时值可能会完全阻止连接至
内联部署中的某个主机。

步骤 10

保存策略，继续编辑，放弃所做的更改，或者在系统缓存中保留更改的同时退出。有关详情，请
参见