- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-攻击检测与防范FAQ
本章节下载: 23-攻击检测与防范FAQ (136.83 KB)
需要,
所有的黑名单功能都要在安全域或者全局开启黑名单功能后才能生效。如果开启的话,发起攻击的源IP地址在黑名单模块被丢包,如果不开启,报文会在扫描攻击模块被丢包,只是不会记录黑名单。
只有在安全域上开启了客户端验证功能才能生效。
泛洪攻击防范的门限取值需要根据实际网络应用场景进行调整,对于被保护对象的报文流量较大的应用场景,建议调大门限值,以免门限值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小门限值。
如果攻击防范例外列表中引用的ACL不存在,或引用的ACL中未定义任何规则,例外列表不会生效。
例外列表引用的ACL规则中仅源地址、目的地址、源端口、目的端口、协议号、VRF和非首片分片标记参数用于匹配报文。
对于DNS flood、SIP flood、HTTP flood类型,防范阈值自学习功能仅对缺省检测端口生效。
不会。
优先级从高到低的顺序为:
黑名单、白名单、单包、泛洪受保护IP、泛洪、扫描。
· 双机组网下,主设备开启ATK阈值学习自应用,学习的阈值数据不会被同步给备设备;且备设备没有实际流量,会导致备设备阈值学习结果为很小的数值且自动应用;VRRP主设备故障后,流量切换到备设备后大量流量被ATK策略错误的丢弃。
· 对于动态生成的受保护IP,也不会同步到备设备,主设备上面需要经过客户端验证等方式才可以访问的主机,在主备切换时,在备设备没有检测出并生成受保护IP列表前,主机会受到大量的攻击。
不是的。以下情况下的攻击报文不是在攻击防范模块丢弃:
· 13种单包攻击,开启攻防后,如果开启畸形报文防护,会在畸形报文防护模块进行丢包,否则在平台转发模块进行丢包,但是攻防里面可以看到攻击日志;
· 扫描攻击,如果开启黑名单功能,丢包是在黑名单模块进行,同样攻防模块可以看到攻击日志;
· 泛洪开启客户端验证功能后,丢包是在客户端验证模块进行,同样攻防模块可以看到攻击日志。
Web页面上单包攻击日志、扫描攻击日志、泛洪攻击日志不支持显示Slot信息。攻击防范不支持双机热备,如果Slot1、Slot2同时受到相同的攻击,在Web上会显示两条一样的日志。
需要,
所有的黑名单功能都要在安全域或者全局开启黑名单功能后才能生效。如果开启的话,发起攻击的源IP地址在黑名单模块被丢包,如果不开启,报文会在扫描攻击模块被丢包,只是不会记录黑名单。
只有在安全域上开启了客户端验证功能才能生效。
泛洪攻击防范的门限取值需要根据实际网络应用场景进行调整,对于被保护对象的报文流量较大的应用场景,建议调大门限值,以免门限值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小门限值。
如果攻击防范例外列表中引用的ACL不存在,或引用的ACL中未定义任何规则,例外列表不会生效。
例外列表引用的ACL规则中仅源地址、目的地址、源端口、目的端口、协议号、VRF和非首片分片标记参数用于匹配报文。
对于DNS flood、SIP flood、HTTP flood类型,防范阈值自学习功能仅对缺省检测端口生效。
不会。
优先级从高到低的顺序为:
黑名单、白名单、单包、泛洪受保护IP、泛洪、扫描。
· 双机组网下,主设备开启ATK阈值学习自应用,学习的阈值数据不会被同步给备设备;且备设备没有实际流量,会导致备设备阈值学习结果为很小的数值且自动应用;VRRP主设备故障后,流量切换到备设备后大量流量被ATK策略错误的丢弃。
· 对于动态生成的受保护IP,也不会同步到备设备,主设备上面需要经过客户端验证等方式才可以访问的主机,在主备切换时,在备设备没有检测出并生成受保护IP列表前,主机会受到大量的攻击。
不是的。以下情况下的攻击报文不是在攻击防范模块丢弃:
· 13种单包攻击,开启攻防后,如果开启畸形报文防护,会在畸形报文防护模块进行丢包,否则在平台转发模块进行丢包,但是攻防里面可以看到攻击日志;
· 扫描攻击,如果开启黑名单功能,丢包是在黑名单模块进行,同样攻防模块可以看到攻击日志;
· 泛洪开启客户端验证功能后,丢包是在客户端验证模块进行,同样攻防模块可以看到攻击日志。
Web页面上单包攻击日志、扫描攻击日志、泛洪攻击日志不支持显示Slot信息。攻击防范不支持双机热备,如果Slot1、Slot2同时受到相同的攻击,在Web上会显示两条一样的日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
