端口扫描攻击防范

端口扫描攻击防范
攻击介绍：
Port Scan攻击通常使用一些软件，向大范围主机的各个TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口提供服务。  
处理方法：
检测进入防火墙的TCP报文或UDP报文，根据源IP地址获取统计表项的索引，如果目的端口与前一报文不同，将表项中的报文个数增1。如果报文的个数超过设置的阈值，记录日志，并根据配置决定是否将源IP地址加入黑名单。
攻防配置：
[USG] firewall blacklist enable
[USG] firewall defend port-scan max-rate 1000
[USG] firewall defend port-scan blacklist-timeout 20
[USG] firewall defend port-scan enable  //使能端口扫描防范

命令firewall defend port-scan { max-rate rate-number | blacklist-timeout interval | enable }，主要参数意义如下：
max-rate rate-number：设定从同一源地址向外发送报文的目的端口变化速率的阈值。rate-number 默认值为4000次/秒，取值范围为1次/秒～10000次/秒。
blacklist-timeout interval：将攻击源IP加入黑名单并设定其在黑名单内的保持时间，interval 取值范围为1min～1000min，默认值为20min。
enable：使能端口扫描攻击防范功能开关。

配置举例：打开端口扫描攻击防范功能开关，设定扫描速率的阈值为1000。
[USG] firewall defend port-scan enable
[USG] firewall defend port-scan max-rate 1000