检测端口扫描或主机扫描时如何阻止特定期间的 IP

检测端口扫描或主机扫描时如何阻止特定期间的 IP

89509
Created On 09/25/18 17:39 PM - Last Modified 06/14/23 07:17 AM


Symptom


症状

本文介绍在检测到端口扫描或主机扫描时, 在特定时间段内阻止源 ip 或来自特定源 ip 的通信。

诊断

使用侦测保护设置, 我们可以根据特定期间的源 ip 或源 ip 和目标 ip 的组合跟踪和阻止端口扫描或主机扫描。当检测到特定源 ip 或组合源和目标 ip 的端口扫描或主机扫描时, 从该源 ip 或该特定源 ip 和目标 ip 的进一步通信将在指定的时间间隔内删除。

Resolution


侦测保护 中配置块 IP 功能:

 

  1. WebGUI 的内部转到: 网络 > 网络配置文件 > 区域保护 > 区域保护配置文件 > 侦察保护。
  2. 将操作从 "警报" 更改为 "阻止 IP", 并根据您的要求选择 "跟踪源" 或 "源" 和 "目标 IP"。
    屏幕截图2015-10-06 在 11.46.05. png

  3. 选中 "按字段跟踪" 后, 选择持续时间 (秒)-最小值为1秒, 最大值为3600秒。当触发端口扫描/主机扫描保护时, 从该源 ip 或从该源到目标 IP 的所有进一步通信 (基于在 "机架" 字段中选择的选项) 将在指定期间被阻止。屏幕截图2015-10-06 在 11.47.32. png屏幕截图2015-10-06 在 11.48.03. png


  4. 然后提交更改以使此活动生效。

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHSCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language