Шлюз Microsoft Forefront Threat Management предоставляет механизм предотвращения Flood-атак, использующий следующее.
- Ограничение числа подключений, применяемое для определения и
блокирования вредоносного трафика.
- Регистрация в журнале событий по предотвращению Flood-атак.
- Оповещения, инициируемые при превышении предела
подключений.
Дополнительные сведения о предотвращении Flood-атак см. в разделе Обзор предотвращения Flood-атак.
Настройка
предотвращения Flood-атак
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи щелкните Настройка предотвращения Flood-атаки.
-
На вкладке Предотвращение Flood-атаки выберите следующие параметры.
- Чтобы включить функцию предотвращения Flood-атаки, выберите
Включить предотвращение Flood-атак и распространения
вирусов-червей. Этот параметр выбран по умолчанию.
- Для каждого ограничения числа подключений можно нажать кнопку
Изменить и настроить параметры. В приведенной ниже таблице
перечислены значения по умолчанию.
Параметр ограничения числа подключений Значения по умолчанию Максимальное количество запросов TCP-соединения в минуту на один IP-адрес
600 (настраиваемые: 6,000)
Максимальное количество одновременных TCP-соединений на один IP-адрес
160 (настраиваемые: 400)
Максимальное количество полуоткрытых TCP-соединений (ненастраиваемые)
80
Максимальное количество HTTP-запросов в минуту на один IP-адрес
600 (настраиваемые: 6,000)
Максимальное количество новых не TCP-сеансов в минуту на одно правило
1,000
Максимальное количество одновременных сеансов UDP на один IP-адрес
160 (настраиваемые: 400)
Укажите количество отклоненных пакетов для инициирования оповещения
600
- Чтобы зарегистрировать в журнале заблокированный трафик,
выберите параметр Регистрировать в журнале трафик,
заблокированный согласно параметрам предотвращения Flood-атаки.
Этот параметр выбран по умолчанию.
- Чтобы включить функцию предотвращения Flood-атаки, выберите
Включить предотвращение Flood-атак и распространения
вирусов-червей. Этот параметр выбран по умолчанию.
-
На вкладке Исключения IP-адресов нажмите кнопку Добавить, чтобы добавить сетевые объекты, к которым нужно применить настраиваемые ограничения.
Оптимизация ведения журнала в случае
атаки
При каждом превышении ограничения числа подключений Forefront TMG создает оповещение, указывающее IP-адрес проблемного клиента. Составив список подозрительных IP-адресов, выполните следующие действия для отказа от регистрации ненужных записей в журнале. Таким образом можно повысить производительность Forefront TMG во время Flood-атаки.
Повышение
производительности во время Flood-атаки
-
Отключите ведение журнала для конкретного правила, соответствующего Flood-атаке, или до момента полного останова Flood-атаки.
-
Перенастройте оповещения «Превышен предел подключений» и «Превышен предел подключений для правила» (или другие оповещения, которые могут постоянно инициироваться в результате определенной атаки) так, чтобы предотвратить их постоянную инициацию. Для этого выберите параметр Только если оповещение было сброшено вручную.