Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Network Security Platform 7.0 IPS Administration Guide - McAfee
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
7<br />
拒绝服务<br />
管理遍历<br />
TCP 参数 描述<br />
“TCP Flow Violation<br />
(TCP 流违规)”<br />
“Unsolicited UDP<br />
Packets Timeout(主动<br />
UDP 数据包超时时间) ”<br />
“(in seconds)(秒)”<br />
当接收到不存在连接的数据包(例如没有接收到某个连接的 SYN 数据包,但接收到<br />
ACK 数据包)时,会发生 TCP 流违规。<br />
TCP 流违规通过操纵 TCP 数据包的通信方式来消耗网络资源,从而引发 DoS 攻击。<br />
下拉选项包括:<br />
• “Permit(允许)”:对于无序数据包,Sensor 最多会将数据包保留几秒钟(具体时间在<br />
“TCP Segment Timer(TCP 网段计时器)”中设置),以便在执行检查之前重组。如果<br />
重组失败(由于仍然缺少某些数据包),Sensor 将仅转发流量。如果未建立 TCP 状<br />
态,则 Sensor 将允许数据包通过。<br />
• “Deny(拒绝)”:对于无序数据包,Sensor 最多会将数据包保留几秒钟(具体时间在<br />
“TCP Segment Timer(TCP 网段计时器)”中设置),以便在执行检查之前重组。如果<br />
重组失败(由于仍然缺少某些数据包),Sensor 会丢弃流量。如果未建立 TCP 状态,<br />
Sensor 将丢弃流量。<br />
• “Permit out‑of‑order(允许乱序)”(默认设置):Sensor 允许继续传送无序数据包而不<br />
做处理。如果未建立 TCP 状态,则 Sensor 将允许数据包通过。<br />
• “Deny no TCB(拒绝无 TCB)”(如果未建立状态,则拒绝):如果未建立 TCP 状态,<br />
Sensor 将丢弃流量。<br />
• “Stateless Inspection(无状态检查)”:Sensor 检测攻击,且无需有效的 TCP 状态。<br />
仅当 Sensor 被置于某个网络中,且在该网络中这些 Sensor 无法查看 TCP 流的所有<br />
数据包(如在非对称网络配置中)时,才应使用此选项。<br />
已发送数据包等待接收响应数据包的时间。如果不符合这一时间要求,则丢弃数据包。<br />
“SYN Cookie” SYN Cookie 用于对 SYN 洪水攻击计数。启用 SYN Cookie 后,只要新连接请求达到服<br />
务器,服务器便会回送一个 SYN+ACK,SYN+ACK 带有一个初始序列号 (ISN),该序列<br />
号是用传入 SYN 数据包中提供的信息和密钥唯一生成的。如果连接请求来自合法主机,<br />
服务器便从该主机获得返回的 ACK。<br />
“Inbound Threshold<br />
Value(入站阈值)”<br />
下拉选项包括:<br />
• “Disabled(禁用)”:禁用 SYN Cookie<br />
• “Inbound Only(仅入站)”:仅对入站流量使用 SYN Cookie<br />
• “Outbound Only(仅出站)”:仅对出站流量使用 SYN Cookie<br />
• “Both Inbound and Outbound(入站和出站)”:对入站和出站流量使用 SYN Cookie<br />
“注意:”在 MPLS 流量流经 <strong>Network</strong> <strong>Security</strong> Sensor 时,请不要启用 SYN Cookie。<br />
“附注 1:”使用 SYN Cookie 设置的 Sensor 必须采用串联模式。如果您没有处于串联<br />
模式的端口,请至少将一个端口配置为串联模式。<br />
“附注 2:”在任何端口,Sensor 一次只能看到一个数据包。但是,如果 Sensor 正在<br />
监控包含 VLAN 标记的流量的接口,则必须为每个 VLAN 配置不同的子接口,以确保<br />
不会多次看到一个数据包。<br />
“附注 3:”在 N‑450 Sensor 上不支持 SYN Cookie 功能。<br />
未完成的 SYN 数量,超过此数量后,必须为传入连接启用 SYN Cookie。<br />
378 <strong>McAfee</strong> ® <strong>Network</strong> <strong>Security</strong> <strong>Platform</strong> <strong>7.0</strong> <strong>IPS</strong> 管理手册