218
美国飞塔有限公司
检测攻击 网络入侵检测系统 (NIDS)
3 打开网页浏览器并输入以下 URL:
http://www.fortinet.com/ids/ID< 攻击 ID>
记住要包括这个攻击 ID。
例如,要查看 ssh CRC32 overflow /bin/sh 攻击(ID101646338)的 Fortinet 攻击分
析网页,使用如下 URL:
http://www.fortinet.com/ids/ID101646338
图 2: 特征组成员的例子
启用和禁用 NIDS 攻击特征
默认情况下,所有的 NIDS 攻击特征都已经启用。您可以使用 NIDS 攻击特征列表禁
用对某些攻击的检测。禁止检测不常见的攻击方式可以提高系统的性能,减少 NIDS 生
成的攻击日志中消息的数目和报警邮件的数量。例如,NIDS 检测大量的网页服务器攻
击。如果您没有提供对您的防火墙后面的 Web 服务器的访问,则可以禁用所有对 Web
服务器攻击类型的攻击检测。
禁用 NIDS 攻击特征
1 进入 NIDS > 检测 > 特征列表。
2 卷动特征列表,找到要禁用的攻击特征。
攻击日志和报警邮件中的攻击名称和 ID 号与攻击列表中的相对应。您可以很容易地通
过 ID 号在攻击列表中找到特定的攻击定义库。
3 取消对攻击特征旁边的活动选项的选中就可以禁用对这个攻击的检测。
4 单击确定。
5 对您要禁用的每个攻击特征重复步骤 2 到 4。
单击全部选中 可以启用攻击特征列表中的全部的 NIDS 攻击特征组。
单击全部取消 可以禁用攻击特征列 表中的全部的 NIDS 攻击特征组。
注意:每个攻击日志消息包含一个直接连到这个攻击的 Forti 响应攻击分析网页的 URL。这个
URL 可以从攻击日志消息和报警邮件消息中直接访问。关于日志消息内容和格式的详细信息,以
及有关日志位置的信息,请见
日志配置和参考指南
。要记录攻击日志消息,请见 第 222 页
“ 记录 NIDS 攻击日志” 。
注意:为了保存您的 NIDS 攻击特征设置,Fortinet 建议您在更新固件和在更新之后恢复保存过
的配置之前先备份您的 FortiGate 设置。