Cisco Cisco Firepower Management Center 2000 User Guide
34-16
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
防御基于速率的攻击
步骤 3
在左侧的导航面板中,点击
Settings
。
系统将显示 Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了
Specific Threat Detection
下的
Rate-Based Attack Prevention
:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 Rate-Based Attack Prevention 页面。页面底部消息会识别包含配置的入侵策略层。有
关详情,请参见
关详情,请参见
步骤 5
此时您有两种选择:
•
要防止旨在对主机发起泛洪攻击的不完整连接,请点击
SYN Attack Prevention
下的
Add
。
系统将显示 SYN Attack Prevention 对话框。
•
要防止过多连接,请点击
Control Simultaneous Connections
下的
Add
。
系统将显示 Control Simultaneous Connections 对话框。
步骤 6
选择要跟踪流量的方式:
•
要跟踪来自特定源或一系列源的所有流量,请从
Track By
下拉列表选择
Source
,然后在
Network
字段中输入单个 IP 地址或地址块。
•
要跟踪到达特定目标或一系列目标的所有流量,请从
Track By
下拉列表选择
Destination
,然后
在
Network
字段中输入单个 IP 地址或地址块。
请注意,系统会单独跟踪 Network 字段中包含的每个 IP 地址的流量。来自超过所配置速率的 IP 地
址的流量会带来仅为该 IP 地址生成的事件。例如,进行网络设置时,可将源 CIDR 块设置为
址的流量会带来仅为该 IP 地址生成的事件。例如,进行网络设置时,可将源 CIDR 块设置为
10.1.0.0/16
并将系统配置为在有十个同步连接打开时生成事件。如果 10.1.4.21 有八个连接打开,
10.1.5.10 有六个连接打开,则系统不会生成事件,因为这两个源地址的打开连接均未达到触发数
量。但是,如果 10.1.4.21 有十一个同步连接打开,系统只会为来自 10.1.4.21 的连接生成事件。
量。但是,如果 10.1.4.21 有十一个同步连接打开,系统只会为来自 10.1.4.21 的连接生成事件。
有关在 FireSIGHT 系统中使用 CIDR 表示法和前缀长度的信息,请参阅
步骤 7
指示速率跟踪设置的触发速率:
•
对于 SYN 攻击配置,在
Rate
字段中指明每个秒数的 SYN 数据包数量。
•
对于同步连接配置,在
Count
字段中指示连接数量。
步骤 8
要丢弃与基于速率的攻击防御设置匹配的数据包,请选择
Drop
。
步骤 9
在
Timeout
字段中指定时间段,在该时间段结束后将会停止生成事件和丢弃流量 (如适用,针对
具有 SYN 的匹配模式或同步连接的流量)。
注意事项
超时值可以是 1 至 1,000,000 之间的任意整数。但是,设置较高的超时值可能会完全阻止连接至
内联部署中的某个主机。
内联部署中的某个主机。
步骤 10
保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。有关详情,请
参见
参见