攻击防护

通过本功能可以在对流经本系统的流量进行攻击检测与防护。

注意：只有在“访问控制引擎”为开启状态时，攻击防护功能才会起效。

防护日志

通过本功能模块，可以查看和搜索生成的相关攻击防护日志

系统安全日志

提供利用主机漏洞入侵的防护记录查询，根据规则编号、来源IP、源端口、目的IP、目的端口、协议、时间进行条件组合查询的功能。如下图所示：

Web安全日志

提供利用Web漏洞入侵的防护记录查询，根据规则编号、来源IP、目的IP、源端口、目的端口、时间进行条件组合查询的功能。如下图所示：

流量安全日志

提供利用Web漏洞入侵的防护记录查询，根据攻击名称、来源IP、目的IP、时间进行条件组合查询的功能。

防护规则

主机规则

本页面显示“极元安全防御系统“在出厂时已经内置好的主机漏洞防护规则集。页面具体如图所示，显示的详细内容包括：规则编号、规则名称、等级（高/中/低）、动作（检测/拦截）、启用（开启/停用）。如下图所示：

用户可以通过规则后的【编辑】自定义设置规则的“检测”和“拦截”属性。点击“ ”按钮，弹出如下图所示界面：

通过【规则动作】下拉框选择：拦截、检测。

• “拦截”代表对该规则匹配则的数据包进行拦截并记录日志。
• “检测”代表对该规则匹配则的数据包进行放行并记录日志。

通过【规则状态】下拉框选择：开启、停用。设置该规则是否启用。

Web规则

本页面显示“极元安全防御系统”在出厂时已经内置好的主机漏洞防护规则集。页面具体如图所示，显示的详细内容包括：规则编号、规则名称、等级（高/中/低）、动作（检测/拦截/阻断）、启用（开启/停用）。如下图所示：

用户可以通过规则后的【编辑】自定义设置规则的“动作”和“开启”属性。点击“ ”按钮，弹出如下图所示界面：

通过【规则动作】下拉框选择：检测、拦截、阻断。

• “检测”代表对该规则匹配则的数据包进行放行并记录日志。
• “拦截”代表对该规则匹配则的数据包进行拦截并记录日志，但不封断其来源IP。
• “阻断”代表对该规则匹配的数据包记录日志，并且对其来源IP进行封断，使来源IP不能通过网关进行任何访问操作。

通过【规则状态】下拉框选择：开启、停用。设置该规则是否启用。

流量规则

本页面显示“极元安全防御系统”对于DDOS攻击的检测阈值。页面具体如图所示：

• 【src_ip_rst】:每秒来源IP的rst包数量
• 【src_ip_ack】: 每秒来源IP的ack包数量
• 【src_ip_udp】: 每秒来源IP的udp包数量
• 【src_ip_other】: 每秒来源IP的其他包数量
• 【src_ip_syn】: 每秒来源IP的syn包数量
• 【src_ip_icmp】: 每秒来源IP的ICMP包数量

策略配置

运行模式

通过本页面设置【攻击防护】中各子引擎：系统防护引擎、Web防护引擎、流量防护引擎的日志存储模式与运行模式。如下图所示：

【日志发送】下拉框选项：

• 【不记录】：不记录当前安全子引擎产生的任何日志。
• 【本地】：将当前安全子引擎产生的所有日志存储在网关本地硬盘。
• 【syslog】：将当前安全子引擎产生的所有日志向设定的syslog服务器进行推送。
• 【本地+syslog】：将当前安全子引擎产生的所有日志存储在网关本地硬盘同时向设定的syslog服务器进行推送。

【运行模式】下拉框选项：

• 【旁路检测】：系统对数据包不拦截或阻断，只进行规则匹配，此为全局设置，优先级高于内置规则库各规则的“动作”。
• 【防护拦截】：系统以内置规则库的规则动作为最高优先级。