网络入侵检测系统 (NIDS) NIDS 攻击预防
FortiGate-400 安装和配置指南
221
设置特征临界值
您可以表 1 中列出的 NIDS 攻击预防特征的默认的临界值。临界值取决于 攻击的类
型。对于淹没攻击,临界值是每秒接收到的包的最大数目。对于溢出攻击,临界值是
命令的缓冲区大小。对于超大 ICMP 包攻击,临界值是允许传输的 ICMP 包的尺寸限制。
例如,将 ICMP 淹没特征的临界值设置为 500 可以允许从单一源地址发出 500 个回
音请求,而系统将发送回音响应。如果收到 501 个或更多的回音请求,FortiGate 设备
将阻塞攻击者以预防对操作系统的攻击。
如果您输入的临界值是 0 或超过了允许的范围,FortiGate 设备将使用默认的临界
值。
按以下步骤设置预防特征的临界值:
1 进入 NIDS > 预防。
2 单击您要设置临界值的特征旁边的修改 图标。
不具备临界值设置功能的特征旁边没有修改 图标。
3 输入临界值。
4 单击启用核选框。
5 单击确定。
表 1: NIDS 预防特征的临界值
特征缩写 临界值的单位 默认临界
值
最小临界
值
最大临界
值
握手淹没每秒接收到的 SYN 包的最大数目 200 30 3000
端口扫描 每秒接收到的 SYN 包的最大数目 128 10 256
会话淹没来自同一源地址的会话初始化请求的最
大数目。
2048 128 10240
FTP 溢出一个FTP 命令的最大缓冲区大小 (字
节)
256 128 1024
SMTP 溢出一个SMTP 命令的最大缓冲区大小 (字
节)
512 128 1024
POP3 溢出一个POP3 命令的最大缓冲区大小 (字
节)Maximum buffer size for a POP3
command (bytes)
512 128 1024
UDP 淹没每秒从同一源地址接收到的或发送到同
一目的地址的最大 UDP 包数目
2048 512 102400
UDP 会话淹没来自同一源地址的 UDP 会话初始化请求
的最大数目
1024 512 102400
ICMP 淹没每秒从同一源地址接收到的或发送到同
一目的地址的最大 ICMP 包数目
256 128 102400
ICMP 源会话淹没来自同一源地址的 ICMP 会话初始化请
求的数目
128 64 2048
ICMP 攻击 每秒从同一源地址收到的 ICMP 包的最
大数量
32 16 2048
超大 ICMP 包 ICMP 包的最大尺寸 ( 字节 ) 32000 1024 64000