地址扫描攻击防范

地址扫描攻击防范
攻击介绍：
运用ping程序探测目标地址，确定目标系统是否存活。也可使用TCP/UDP报文对目标系统发起探测（如TCP ping）。  
处理方法：
检测进入防火墙的ICMP、TCP和UDP报文，根据源IP地址获取统计表项的索引，如果目的IP地址与前一报文的IP地址不同，则将表项中的总报文个数增加1。如果在一定时间内报文的个数达到设置的阈值，记录日志，并根据配置决定是否将源IP地址自动加入黑名单。
攻防配置：
[USG] firewall blacklist enable   //
[USG] firewall defend ip-sweep enable //使能地址扫描攻击防范
[USG] firewall defend ip-sweep max-rate 1000   //单位秒
[USG] firewall defend ip-sweep blacklist-timeout 20 //黑名单的持续时间单位分钟

扫描类攻击的源地址是真实的，因此可以采用直接加入黑名单的方法进行防御。扫描类攻击的扫描速度决定了攻击防范的有效性。蠕虫病毒爆发的时候，伴随着一般就是地址扫描攻击。
命令firewall defend ip-sweep { max-rate rate-number | blacklist-timeout interval | enable }，主要参数意义如下：
max-rate rate-number：设定从同一源地址向外发送报文的目的地址变化速率的阈值。rate-number 默认值为4000包/秒，取值范围为1包/秒～10000包/秒。
blacklist-timeout interval：将攻击源IP加入黑名单并设定其在黑名单内的保持时间，interval 取值范围为1min～1000min，默认值为20min。
enable：使能地址扫描攻击防范功能开关。
配置举例：打开地址扫描攻击防范功能开关，设定扫描速率的阈值为1000。
[USG] firewall defend ip-sweep max-rate 1000