防火牆攻擊防範閾值谘詢

1. 基於源IP的統計機製

   • 端口掃描閾值（port-scan-threshold）：指單個源IP在檢測周期內發起的 不同目的端口的連接數。
   • 地址掃描閾值（ip-sweep-threshold）：指單個源IP在檢測周期內發往 不同目的IP地址的連接數。
   • 例如：若配置閾值為500，表示若某源IP在10秒（默認檢測周期）內向500個不同端口或不同IP發起連接，則觸發防護動作。

2. 閾值觸發邏輯

   • 當單個源IP的連接行為達到或超過閾值時，防火牆會對其執行配置的動作（如加入黑名單、丟棄報文等）。
   • 所有源IP的連接數不會被累加統計，每個攻擊源的檢測是獨立的。

3. 相關配置說明（摘自技術文檔）

   • 端口掃描定義：

     port-scan-threshold threshold-value：指定源IP每個檢測周期內發送的 目的端口不同的報文數目（H3C SecPath F50X0-D命令參考）。

   • 地址掃描定義：

     ip-sweep-threshold threshold-value：指定源IP每個檢測周期內發往 不同目的IP地址的報文數目（同源文檔）。

4. 實際應用場景

   • 若攻擊者控製多個IP發起分布式掃描（每個IP的連接數均低於閾值），則防火牆不會觸發防護。此時需額外配置「分布式掃描防範」功能（如有）。
   • 閾值設置需結合實際流量：
     • 低敏感度：閾值=10萬（適合高帶寬環境）
     • 高敏感度：閾值=5千（適合嚴格防護）
     • 自定義閾值：如500適用於對掃描行為較敏感的場景，但需評估正常業務是否受影響（如CDN節點可能觸發誤報）。

配置建議

• 優化閾值：若業務中存在合法高連接數設備（如負載均衡器），建議：
  1. 通過attack-defense policy啟用 自定義敏感度（user-defined）。
  2. 適當提高閾值或延長檢測周期（period）。
  3. 通過 攻擊防範例外列表 將受信任IP加入白名單。
• 聯動黑名單：
  若動作配置為block-source，需在安全域啟用黑名單過濾（blacklist enable），否則攔截不生效。

📌 注：不同產品型號配置路徑略有差異（如Web界麵位於策略 > 安全防護 > 攻擊防範 > 掃描防範），但閾值統計邏輯一致。