策略名称

攻击防范策略名称，不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”

应用于

在指定安全域上应用当前攻击防范策略。一个安全域上只能应用一个攻击防范策略，但一个攻击防范策略可应用于多个安全域上

下拉列表中显示的安全域包括设备缺省的安全域和用户在“网络 > 安全域”页面已经配置的安全域

检测敏感度

扫描攻击防范的检测级别，包括关闭、低、中、高和自定义。关闭表示关闭扫描攻击防范功能；低表示低防范级别，该级别提供基本的扫描攻击检测，有很低的误报率，但对于一些扫描攻击类型不能检出；中表示中防范级别，该级别有适中的攻击检出率与误报率；高表示高防范级别，该级别能检测出大部分的扫描攻击，但对活跃主机误报率较高，即将可提供服务的主机的报文错误判断为攻击报文的概率比较高；自定义表示用户自定义防范级别，该级别的扫描攻击防范阈值可以由用户指定

·     开启端口扫描：开启/关闭端口扫描功能。检测敏感度为低、中、高级别时，该功能处于开启状态；检测敏感度为自定义时，该功能是否开启可以由用户指定

·     阈值：端口扫描攻击的阈值。当检测敏感度为低时，阈值为100000；当检测敏感度为中时，阈值为40000；当检测敏感度为高时，阈值为5000；当检测敏感度为自定义时，可以通过配置灵活指定端口扫描攻击阈值；当检测敏感度为关闭时，不显示本参数

·     开启地址扫描：开启/关闭地址扫描功能。检测敏感度为低、中、高级别时，该功能处于开启状态；检测敏感度为自定义时，该功能是否开启可以由用户指定

·     阈值：地址扫描攻击的阈值。当检测敏感度为低时，阈值为100000；当检测敏感度为中时，阈值为40000；当检测敏感度为高时，阈值为5000；当检测敏感度为自定义时，可以通过配置灵活指定地址扫描攻击阈值；当检测敏感度为关闭时，不显示本参数

·     检测周期：扫描攻击防范的检测周期。当检测敏感度为低、中、高时，检测周期为10秒；当检测敏感度为自定义时，可通过配置灵活指定扫描攻击防范的检测阈值；当检测敏感度为关闭时，不显示本参数

动作

对扫描攻击的处理行为，包括：

·     输出告警日志

·     丢弃攻击者发送的报文

·     将发起攻击的源IP地址添加到黑名单

·     X分钟后老化：动态添加的黑名单表项的老化时间。只有勾选“将发起攻击的源IP地址添加到黑名单”时，才会显示该参数

当“检测敏感度”选择“关闭”时，不显示本参数

攻击类型

设备支持的泛洪攻击类型，包括：

·     ACK：ACK flood攻击。ACK报文为只有ACK标志位置位的TCP报文，服务器收到ACK报文时，需要查找对应的连接。若攻击者发送大量这样的报文，服务器需要进行大量的查询工作，消耗正常处理的系统资源，影响正常的报文处理

·     DNS：DNS flood攻击。DNS服务器收到任何DNS Query报文时都会试图进行域名解析并且回复该DNS报文。攻击者通过构造并向DNS服务器发送大量虚假DNS Query报文，占用DNS服务器的带宽或计算资源，使得正常的DNS Query得不到处理

·     DNS reply：DNS reply flood攻击。DNS客户端收到任何DNS reply报文时都会进行处理。攻击者在一定条件下将大量伪造的DNS reply报文发送给某个DNS客户端，消耗大量DNS客户端的资源，使得正常的DNS reply报文得不到处理

·     FIN：FIN flood攻击。FIN报文用于关闭TCP连接。若攻击者向服务器发送大量的伪造的FIN报文，可能会使服务器关闭掉正常的连接。同时，服务器收到FIN报文时，需要查找对应的连接，大量的无效查询操作会消耗系统资源，影响正常的报文处理

·     HTTP：HTTP flood攻击。HTTP服务器收到HTTP GET命令时可能进行一系列复杂的操作，包括字符串搜索、数据库遍历、数据组装、格式化转换等等，这些操作会消耗大量系统资源，因此当HTTP请求的速率超过了服务器的处理能力时，服务器就无法正常提供服务。攻击者通过构造并发送大量虚假HTTP GET请求，使服务器崩溃，无法响应正常的用户请求

·     HTTP slow：HTTP 慢速攻击。攻击者在建立了与HTTP服务器的连接后，长时间保持该连接不释放，大量这种连接将消耗服务器系统资源，影响正常报文的处理

·     HTTPS：HTTPS flood攻击。HTTP服务器收到HTTPS请求时会进行一系列复杂的操作，这些操作会消耗大量系统资源。攻击者利用这一特点，向HTTP服务器发送大量伪造的HTTPS请求，造成HTTP服务器崩溃，使其无法响应HTTPS请求

·     ICMP：ICMP flood攻击。攻击者在短时间内向特定目标发送大量的ICMP请求报文（例如ping报文），使其忙于回复这些请求，致使目标系统负担过重而不能处理正常的业务

·     ICMPv6：ICMPv6 flood攻击。攻击者在短时间内向特定目标发送大量的ICMPv6请求报文（例如ping报文），使其忙于回复这些请求，致使目标系统负担过重而不能处理正常的业务

·     RST：RST flood攻击。RST报文为TCP连接的复位报文，用于在异常情况下关闭TCP连接。如果攻击者向服务器发送大量伪造的RST报文，可能会使服务器关闭正常的TCP连接。另外，服务器收到RST报文时，需要查找对应的连接，大量的无效查询操作会消耗系统资源，影响正常的报文处理

·     SIP：SIP flood攻击。SIP服务器收到SIP INVITE连接请求时，服务器需要分配一定的资源用于跟踪和建立会话，因此当SIP请求的速率超过了服务器的处理能力时，服务器就无法正常提供服务。攻击者通过构造并发送大量虚假的SIP INVITE请求报文，导致服务器崩溃，无法响应正常的用户请求

·     SYN：SYN flood攻击。根据TCP协议工作原理，服务器收到SYN报文后需要建立半连接并回应SYN ACK报文，然后等待客户端的ACK报文来建立正式连接。由于资源的限制，操作系统的TCP/IP协议栈只能允许有限个TCP连接。攻击者向服务器发送大量伪造源地址的SYN报文后，由于攻击报文是伪造的，服务器不会收到客户端的ACK报文，从而导致服务器上遗留了大量无效的半连接，耗尽其系统资源，使正常的用户无法访问，直到半连接超时

·     SYN-ACK：SYN-ACK flood攻击。由于SYN ACK报文为SYN报文的后续报文，服务器收到SYN ACK报文时，需要查找对应的SYN报文。若攻击者发送大量这样的报文，服务器需要进行大量的查询工作，消耗正常处理的系统资源，影响正常的报文处理

·     UDP：UDP flood攻击。攻击者在短时间内向特定目标发送大量的UDP报文，占用目标主机的带宽，致使目标主机不能处理正常的业务

源门限值(pps)

泛洪攻击防范基于源统计的全局触发阈值，取值范围为0～1000000，ACK flood攻击防范的全局触发阈值缺省为40000，其余flood攻击防范的全局触发阈值缺省为10000

配置了泛洪攻击防范后，设备处于攻击检测状态，当它监测到某IP地址发送报文的速率持续达到或超过了该触发阈值时，即认为该IP地址发起了泛洪攻击，则进入攻击防范状态，并根据配置启动相应的防范措施

源门限值为0表示不进行基于源统计的泛洪攻击检测

目的门限值(pps)

泛洪攻击防范基于目的统计的全局触发阈值，取值范围为0～1000000，ACK flood攻击防范的全局触发阈值缺省为40000，其余flood攻击防范的全局触发阈值缺省为10000

配置了泛洪攻击防范后，设备处于攻击检测状态，当它监测到向某IP地址发送报文的速率持续达到或超过了该触发阈值时，即认为该IP地址受到了泛洪攻击，则进入攻击防范状态，并根据配置启动相应的防范措施

对于未专门配置泛洪防范受保护IP的IP地址，设备采用该全局阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整，对于被保护对象的报文流量较大的应用场景，建议调大触发阈值，以免阈值太小对正常的业务流量造成影响；对于网络状况较差，且对攻击流量比较敏感的场景，可以适当调小触发阈值

目的门限值为0表示不进行基于目的统计的泛洪攻击检测

日志

泛洪攻击的处理行为是输出告警日志。即设备检测到攻击发生时，生成告警信息，生成的告警信息将被发送到日志系统

检测所有IP地址

对所有非受保护IP开启泛洪攻击检测

客户端验证

泛洪攻击的处理行为是客户端验证。若客户端验证功能已开启，设备自动将受到攻击的IP地址添加到受保护IP列表中，并对客户端与受保护IP之间的连接进行代理

丢包

泛洪攻击的处理行为是丢包。即设备检测到攻击发生后，向被攻击者发送的后续所有同类型的报文都会被丢弃

检测端口

泛洪攻击防范的全局检测端口号。设备只对指定检测端口上收到的报文进行攻击检测

表示方式为port1-port2或port，port取值范围为1～65535，port2的值要大于或等于port1的值，相邻检测端口之间以“,”分隔。例如：1-10,80。port1-port2或port参数最多可以输入32次

对于所有非受保护IP地址，或未指定检测端口的受保护IP，设备采用全局的检测端口进行泛洪攻击检测。对于所有指定检测端口的受保护IP，设备针对为每个受保护IP指定的端口进行泛洪攻击检测

仅当“攻击类型”为“DNS”、“DNS reply”、“HTTP”、“HTTP slow”、“HTTPS”或“SIP”时，才能配置本参数

并发连接数

触发HTTP慢速攻击检测的HTTP并发连接数，缺省为5000

当设备的HTTP并发连接数达到所配置的并发连接数时，触发HTTP慢速攻击检测功能

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

Content长度

HTTP报文Content-Length字段的阈值，缺省为10000，单位为字节

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

载荷长度

HTTP报文实际载荷的阈值，缺省为50，单位为字节

报文头部Content-Length字段的值大于所配置的Content长度，并且报文实际载荷长度小于所配置的载荷长度的HTTP报文被视作异常报文

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

异常包数

异常报文的防范阈值，缺省为10

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

检测周期

攻击检测周期，单位为秒

若设备在一个检测周期内收到的异常报文数目超过所配置的异常包数，则执行相应的HTTP慢速攻击防范处理动作

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

黑名单

当安全域上的黑名单过滤功能处于开启状态时，阻断并丢弃来自攻击者的后续报文

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

黑名单老化时间

动态添加的黑名单表项的老化时间，单位为分钟，缺省值为10

仅当“攻击类型”为“HTTP slow”且勾选了“黑名单”时，才能配置本参数

配置学习参数

学习参数用于对阈值学习功能进行配置，请参考表-4进行相关参数配置

要使用阈值学习功能，必须先完成攻击防范策略的配置，然后在编辑页面进行学习参数的配置

应用学习结果

将泛洪攻击阈值学习结果设置为相应防范门限值

此功能仅对已启用“检测所有IP地址”且已有学习结果的攻击类型生效

学习功能

阈值学习功能用于为泛洪攻击防范阈值的设置提供参考值。建议开启阈值学习功能，合理设置阈值

每次学习时长

学习时长是系统完成一次阈值学习的时间长度。系统会统计该段时间内各种流量的最高值并以此为依据计算出各种攻击类型对应的防范阈值

学习模式

学习模式如下两种类型：

·     单次学习：只进行一次阈值学习

·     周期学习：按周期间隔进行多次阈值学习

自动应用

系统在完成阈值学习后自动根据最新的学习结果更新相应门限值

该功能仅对已启用“检测所有IP地址”且已有学习结果的攻击类型生效

学习容忍度

学习容忍度会在应用学习结果之前将阈值扩大指定的范围，然后再应用到门限中。该机制可以使阈值学习功能更好的应对网络流量的波动

IP地址类型

·     IPv4

·     IPv6

IP地址

受保护的IP地址

当“IP地址类型”为“IPv4”时，IP地址不能为255.255.255.255或0.0.0.0

当“IP地址类型”为“IPv6”时，IP地址不能为组播地址或::

攻击类型

请参见“表-3 泛洪防范公共配置”中的“攻击类型”

VRF

受保护IP地址所属的VPN实例

可选择已创建的VRF，也可以新创建VRF。此处新建的VRF，可在“网络 > VRF”页面查看

目的门限值(pps)

攻击防范的触发阈值，基于目的IP地址统计，ACK flood攻击防范的全局触发阈值缺省为40000，其余flood攻击防范的全局触发阈值缺省为10000

阈值

HTTP慢速攻击防范的各项阈值，包括并发连接数、Content长度、载荷长度和异常包数。有如下两种配置方式：

·     公共配置：各项阈值与“泛洪防范公共配置”中所设置的阈值一致

·     自定义：自定义并发连接数（缺省为5000）、Content长度（缺省为10000字节）、载荷长度（缺省为50字节）和异常包数（缺省为10）

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

检测端口

泛洪攻击防范的检测端口号，设备只对指定检测端口上收到的报文进行攻击检测。有如下两种配置方式：

·     公共配置：缺省情况下，检测端口为协议的知名端口，比如针对HTTP flood攻击的检测端口为80

·     自定义：检测端口为用户自定义端口，表示方式为port1-port2或port。port2的值要大于或等于port1的值，相邻检测端口之间以“,”分隔，例如：1-10,80

仅当“攻击类型”为“DNS”、“DNS reply”、“HTTP”、“HTTP slow”、“HTTPS”或“SIP”时，才能配置本参数

检测周期

攻击检测周期。有如下两种配置方式：

·     公共配置：检测周期与“泛洪防范公共配置”中所设置的检测周期一致

·     自定义：自定义检测周期。若未指定本参数，则表示采用“泛洪防范公共配置”中的检测周期

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

动作

泛洪攻击的处理行为，有如下两个选项：

·     公共配置：泛洪攻击的处理行为与“泛洪防范公共配置”一致

·     自定义：自定义泛洪攻击的处理行为，有如下几种行为：

○        日志：设备检测到攻击发生时，生成告警信息，生成的告警信息将被发送到日志系统

○        丢包：设备检测到攻击发生后，向被攻击者发送的后续所有同类型的报文都会被丢弃

○        客户端验证：设备检测到攻击发生时，自动将受到攻击的IP地址添加到泛洪防范受保护IP列表中。若客户端验证功能已开启，则对客户端与受保护IP之间的连接进行代理

黑名单

设备检测到攻击发生时，自动将发起攻击的源IP地址添加到黑名单中

当安全域上的黑名单过滤功能处于开启状态时，来自该IP地址的报文将被丢弃

仅当“攻击类型”为“HTTP slow”时，才能配置本参数

黑名单老化时间

动态添加的黑名单表项的老化时间，单位为分钟，缺省值为10

仅当“攻击类型”为“HTTP slow”且勾选了“黑名单”动作时，才能配置本参数

攻击类型

设备支持的知名单包攻击类型，包括：

·     IP fragment：攻击者通过向目标主机发送分片偏移小于5的分片报文，导致主机对分片报文进行重组时发生错误而造成系统崩溃

·     IP impossible：攻击者通过向目标主机发送源IP地址和目的IP地址相同的报文，造成主机系统处理异常

·     Teardrop：攻击者通过发送大量分片重叠的报文，致使服务器对这些报文进行重组时造成重叠，因而丢失有效的数据

·     Tiny fragment：攻击者构造一种特殊的IP分片来进行微小分片的攻击，这种报文首片很小，未能包含完整的传输层信息，因此能够绕过某些包过滤防火墙的过滤规则，达到攻击目标网络的目的

·     IP option abnormal：攻击者利用IP报文中的异常选项的设置，达到探测网络结构的目的，也可由于系统缺乏对错误报文的处理而造成系统崩溃

·     Smurf：攻击者向目标网络发送ICMP应答请求，该请求包的目的地址设置为目标网络的广播地址，这样该网络中的所有主机都会对此ICMP应答请求作出答复，导致网络阻塞，从而达到令目标网络中主机拒绝服务的攻击目的

·     Traceroute：攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文，报文每经过一个路由器，其TTL都会减1，当报文的TTL为0时，路由器会给报文的源IP设备发送一个TTL超时的ICMP报文，攻击者借此来探测网络的拓扑结构

·     Ping of death：攻击者构造标志位为最后一片且长度大于65535的ICMP报文发送给目标主机，可能导致系统处理数据时越界访问非法内存，造成系统错误甚至系统崩溃

·     Large ICMP：某些主机或设备收到超大的报文，会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大ICMP报文，让目标主机崩溃，达到攻击目的

·     Large ICMPv6：某些主机或设备收到超大的报文，会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大ICMPv6报文，让目标主机崩溃，达到攻击目的

·     TCP invalid flags：攻击者通过发送TCP 标志位非法的报文探测目标主机的操作系统，可能导致目标主机系统崩溃

·     TCP null flag：攻击者通过发送TCP 标志位为零的报文探测目标主机的操作系统，可能导致目标主机系统崩溃

·     TCP all flags：攻击者通过发送TCP所有标志位均置位的报文探测目标主机的操作系统，可能导致目标主机系统崩溃

·     TCP SYN-FIN：攻击者通过发送TCP SYN和FIN标志位被同时置位的报文探测目标主机的操作系统，可能导致目标主机系统崩溃

·     TCP FIN only flag：攻击者通过发送TCP仅FIN标志被置位的报文探测目标主机的操作系统，可能导致目标主机系统崩溃

·     TCP Land：攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文，使得目标主机的半连接资源耗尽，最终不能正常工作

·     WinNuke：攻击者向安装（或使用）Windows系统的特定目标的NetBIOS端口（139）发送OOB（Out-Of-Band，带外）数据包，这些攻击报文的指针字段与实际的位置不符，从而引起一个NetBIOS片断重叠，致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃

·     UDP Bomb：攻击者发送畸形的UDP报文，其IP首部中的报文总长度大于IP首部长度与UDP首部中标识的UDP报文长度之和，可能造成收到此报文的系统处理数据时越界访问非法内存，导致系统异常

·     UDP snork：攻击者向Windows系统发送目的端口为135（Windows定位服务）源端口为135、7或19（UDP Chargen服务）的报文，使被攻击系统不断应答报文，最终耗尽CPU资源

·     UDP fraggle：攻击者通过向目标网络发送源UDP端口为7且目的UDP端口为19的Chargen报文，令网络产生大量无用的应答报文，占满网络带宽，达到攻击目的

·     IPv6扩展头异常：攻击者向目标系统发送扩展头顺序不符合IPv6协议规定或扩展头重复的IPv6报文

·     IPv6扩展头数目超限：攻击者向目标系统发送扩展头数目超出限制的IPv6报文

IPv6扩展头异常与IPv6扩展头数目超限攻击检测仅对IPv6报文头部位于ESP扩展头前的部分进行检测，不检测位于ESP扩展头之后的部分

日志

单包攻击的处理行为是输出告警日志。即设备检测到攻击发生时，生成告警信息，生成的告警信息将被发送到日志系统

丢包

单包攻击的处理行为是丢包。即设备检测到攻击发生后，向被攻击者发送的后续所有同类型的报文都会被丢弃

门限值（pps）

·     “攻击类型”为“Large ICMP”时，表示ICMP报文长度的最大值，取值范围为28～65534

·     “攻击类型”为“Large ICMPv6”时，表示ICMPv6报文长度的最大值，取值范围为48～65534

特征

单包攻击检测的特征，包括：

·     IP选项：IP选项类型的报文攻击

·     ICMP类型：ICMP类型的报文攻击

·     ICMPv6类型：ICMPv6类型的报文攻击

·     IPv6扩展头类型：IPv6扩展头类型的报文攻击

数值

特征的数值，取值范围为0～255

·     “特征”为“IP选项”时，表示IP选项代码值

·     “特征”为“ICMP类型”时，表示ICMP报文类型的数值

·     “特征”为“ICMPv6类型”时，表示ICMPv6报文类型的数值

·     “特征”为“IPv6扩展头类型”时，表示IPv6扩展头参数值

日志

单包攻击的处理行为是输出告警日志。即设备检测到攻击发生时，生成告警信息，生成的告警信息将被发送到日志系统

丢包

单包攻击的处理行为是丢包。即设备检测到攻击发生后，向被攻击者发送的后续所有同类型的报文都会被丢弃

IPv4例外规则

使用IPv4 ACL过滤不需要进行攻击防范检测的主机报文。可选择已创建的IPv4 ACL，也可以新创建IPv4 ACL。此处新建的IPv4 ACL，可在“对象 > ACL > IPv4”页面查看

如果配置的攻击防范例外列表中引用的ACL中未定义任何规则，例外列表不会生效

IPv6例外规则

使用IPv6 ACL过滤不需要进行攻击防范检测的主机报文。可选择已创建的IPv6 ACL，也可以新创建IPv6 ACL。此处新建的IPv6 ACL，可在“对象 > ACL > IPv6”页面查看

如果配置的攻击防范例外列表中引用的ACL中未定义任何规则，例外列表不会生效