ポートスキャンまたはホストスイープの検出時に特定の期間の IP をブロックする方法

ポートスキャンまたはホストスイープの検出時に特定の期間の IP をブロックする方法

89513
Created On 09/25/18 17:39 PM - Last Modified 06/14/23 07:17 AM


Symptom


兆候

この資料では、ポートスキャンまたはホストスイープが検出された特定の期間に、特定の送信元 ip または送信元からのトラフィックをブロックする方法について説明します。

診断

偵察保護の設定を使用して、我々は、特定の期間のソース ip またはソース ip と宛先 ip の組み合わせに基づいて、ポートスキャンまたはホスト掃引を追跡し、ブロックすることができます。ポートスキャンまたはホストスイープが特定の送信元 ip または結合ソースと宛先 ip に対して検出されると、そのソース ip またはその特定の送信元 ip および宛先 ip からのさらなるトラフィックが、指定された間隔で削除されます。

Resolution


偵察保護 のブロック IP 機能を構成するには:

 

  1. WebGUI の内部に移動: ネットワーク > ネットワークプロファイル > ゾーンプロテクション > ゾーンプロテクションプロファイル > 偵察保護。
  2. アクションをアラートからブロック ip に変更し、要件に基づいてソースまたはソースと宛先 ip のいずれかでトラックを選択します。
    11.46.05 でスクリーンショット2015-10-06

  3. [トラック単位] フィールドが選択された後、[期間 (秒)] を選択します--最小値は1秒、最大値は3600秒です。ポートスキャン/ホストスイープ保護がトリガされると、そのソース ip またはそのソースから宛先 ip へのすべてのそれ以上のトラフィック ([Tthe] で選択したオプションに基づいて) は、指定された期間、ブロックされます。11.47.32 でスクリーンショット2015-10-0611.48.03 でスクリーンショット2015-10-06


  4. 次に、変更をコミットして、これをアクティブにします。

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHSCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language