网络入侵检测系统 (NIDS)
设置特征临界值
FortiGate-1000 安装和配置指南
您可以表 7
中列出的 NIDS 攻击预防特征的默认的临界值。临界值取决于攻击的类
型。对于淹没攻击,临界值是每秒接收到的包的最大数目。对于溢出攻击,临界值是
命令的缓冲区大小。对于超大 ICMP 包攻击,临界值是允许传输的 ICMP 包的尺寸限制。
例如,将 ICMP 淹没特征的临界值设置为 500 可以允许从单一源地址发出 500 个回
音请求,而系统将发送回音响应。如果收到 501 个或更多的回音请求,FortiGate 设备
将阻塞攻击者以预防对操作系统的攻击。
如果您输入的临界值是 0 或超过了允许的范围,FortiGate 设备将使用默认的临界
值。
表 7: NIDS 预防特征的临界值
特征缩写
握手淹没
端口扫描
会话淹没
FTP 溢出
SMTP 溢出
POP3 溢出
UDP 淹没
UDP 会话淹没
ICMP 淹没
ICMP 源会话淹没 来自同一源地址的 ICMP 会话初始化请
ICMP 攻击
超大 ICMP 包
按以下步骤设置预防特征的临界值:
1
进入 NIDS > 预防。
2
单击您要设置临界值的特征旁边的修改
不具备临界值设置功能的特征旁边没有修改
3
输入临界值。
4
单击启用核选框。
5
单击确定。
临界值的单位
每秒接收到的 SYN 包的最大数目
每秒接收到的 SYN 包的最大数目
来自同一源地址的会话初始化请求的最
大数目。
一个 FTP 命令的最大缓冲区大小 (字
节)
一个 SMTP 命令的最大缓冲区大小 (字
节)
一个 POP3 命令的最大缓冲区大小 (字
节)Maximum buffer size for a POP3
command (bytes)
每秒从同一源地址接收到的或发送到同
一目的地址的最大 UDP 包数目
来自同一源地址的 UDP 会话初始化请求
的最大数目
每秒从同一源地址接收到的或发送到同
一目的地址的最大 ICMP 包数目
求的数目
每秒从同一源地址收到的 ICMP 包的最
大数量
ICMP 包的最大尺寸 ( 字节 )
默认临界
最小临界
值
值
200
30
128
10
2048
128
256
128
512
128
512
128
2048
512
1024
512
256
128
128
64
32
16
32000
1024
图标。
图标。
NIDS 攻击预防
最大临界
值
3000
256
10240
1024
1024
1024
102400
102400
102400
2048
2048
64000
223