Default Threat Protection > 关于默认数据包处理选项 > 关于端口空间和地址空间探测

关于 端口空间和 地址空间 探测

攻击者会频繁地查找打开的端口以作为发起网络攻击的起点。 端口空间探测是发送到某个端口范围的 TCP 或 UDP 流量。 这些端口可以是从 0 到 65535 的顺序或随机序列。 地址空间探测是发送到某个网络地址范围的 TCP 或 UDP 流量。 端口空间探测可以检查计算机以查找其使用的服务。 地址空间探测可以检查网络以查看该网络上有哪些网络设备。

有关端口的详细信息,请参阅“关于端口”。

XTM 设备如何识别网络探测

当外部网络上的计算机向分配给 XTM 设备外部接口的不同 IP 地址发送指定数量的数据包时,即会识别出地址空间探测。 为了识别端口空间探测,您的 XTM 设备会对从某个 IP 地址发送到外部接口 IP 地址的数据包进行计数。 这些地址可包含主要 IP 地址,以及在接口上配置的任意次 IP 地址。 如果在一秒钟内发送到不同 IP 地址或目标端口的数据包的数量大于您所选择的数量,源 IP 地址将被添加到“阻止的站点”列表中。

当选中“阻止端口空间探测”和“阻止地址空间探测”复选框时,XTM 设备将检查所有外部接口上的所有传入流量。 您不能对某些指定 IP 地址、指定 XTM 设备或不同时间段禁用这些功能。

要防御端口空间和地址空间探测

XTM 设备的默认配置会阻止网络探测。 可以使用 Fireware XTM Web UI 来更改该功能的设置,并更改每个源 IP 地址每秒允许的最大地址或端口探测数量(默认值为 50)。

  1. 选择“防火墙 > 默认数据包处理”。
    将显示“默认数据包处理”页面。
  1. 选中或清除“阻止端口空间探测”和“阻止地址空间探测”复选框。
  2. 单击箭头以选择从同一 IP 地址每秒钟允许的最大地址或端口探测数量。 其默认值均为每秒 10 个。 这意味着,如果某个源在一秒钟之内发起到 10 个不同端口或主机的连接,该源将被阻止。
  3. 单击“保存”。

要更加迅速地阻止攻击者,可将每秒钟允许的最大地址或端口探测数量阈值设置为更低的值。 如果该数值定设置过低,XTM 设备可能会拒绝合法网络流量。 如果使用较高数值,则阻止合法网络流量的可能性会比较小,但 XTM 设备必须为其丢弃的每个连接发送 TCP 重置数据包。 这将占用 XTM 设备的带宽和资源,并会为攻击者提供有关您防火墙的信息。

另请参阅

关于 默认数据包处理选项

提供反馈  •   获得支持  •   全部产品文件  •   知识库