Функция обнаружения атак сервера Шлюз Microsoft Forefront Threat Management обеспечивает обнаружение и отклонение распространенных типов вредоносных пакетов. Включение и отключение обнаружения атак производится отдельно для каждого типа атаки. Дополнительные сведения об обнаружении атак см. в разделе Обзор обнаружения вторжений.
Включение
обнаружения распространенных атак
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
На вкладке Задачи нажмите кнопку Включить обнаружение вторжений.
-
На вкладке Распространенные атаки установите флажок Включить обнаружение вторжений.
-
Выберите один или несколько параметров из следующего списка.
- Атака переполнения на системы Windows (WinNuke).
Выберите этот параметр, чтобы сервер Forefront TMG создавал событие
при попытке атаки переполнения на компьютер, защищенный с помощью
Forefront TMG.
- Land-атака. Выберите этот параметр, чтобы сервер
Forefront TMG создавал событие в случае отправки TCP SYN-пакета с
поддельными исходным IP-адресом и номером порта, которые
соответствуют IP-адресу и порту назначения.
- Атака «PING смерти». Выберите этот параметр, чтобы
сервер Forefront TMG создавал событие в случае получения фрагмента
IP, размер которого превышает максимальный размер IP-пакета.
- IP-атака полусканирования. Выберите этот параметр, чтобы
сервер Forefront TMG создавал событие в случае повторных попыток
подключения к конечному компьютеру без передачи соответствующих
ACK-пакетов.
- UDP-бомба. Выберите этот параметр, чтобы сервер
Forefront TMG создавал событие в случае попытки отправления
недопустимого UDP-пакета. Несмотря на создание события в случае
атаки необходимо отдельно включить и настроить оповещение для
инициирования действия.
- Сканирование портов. Выберите этот параметр, чтобы
сервер Forefront TMG создавал событие при попытке подсчета служб,
выполняющихся на компьютере, путем сканирования всех портов.
- Атака переполнения на системы Windows (WinNuke).
Выберите этот параметр, чтобы сервер Forefront TMG создавал событие
при попытке атаки переполнения на компьютер, защищенный с помощью
Forefront TMG.
-
Если выбран параметр Сканирование портов, необходимо также задать следующие данные.
- Обнаружение после атак на стандартные порты. Введите
максимальное количество стандартных портов, которые разрешается
сканировать, прежде чем будет создано событие обнаружения
сканирования портов. Стандартным портом является любой порт, номер
которого находится в диапазоне от 1 до 2 048.
- Обнаружение после атак на порты. Введите максимальное
количество портов, которые разрешается сканировать, прежде чем
будет создано событие обнаружения сканирования портов.
- Обнаружение после атак на стандартные порты. Введите
максимальное количество стандартных портов, которые разрешается
сканировать, прежде чем будет создано событие обнаружения
сканирования портов. Стандартным портом является любой порт, номер
которого находится в диапазоне от 1 до 2 048.
-
Если требуется регистрировать все отброшенные пакеты на сервере Forefront TMG, необходимо убедиться, что установлен флажок Регистрировать отброшенные пакеты.
-
Нажмите кнопку ОК для закрытия диалогового окна.
-
В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем кнопку ОК.
Примечание.
- По умолчанию включено обнаружение атак для всех типов
распространенных атак за исключением атак сканирования портов, и
включена регистрация всех отброшенных пакетов.
- Если на сервере Forefront TMG включено обнаружение атак, то при
обнаружении подозрительных пакетов они отбрасываются и создается
событие, которое инициирует оповещение об обнаружении
вторжения.