深信服社区»版块 安全类 下一代防火墙NGAF AF的DOS防护问题

AF的DOS防护问题

查看数: 2461 | 评论数: 5 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2015-7-16 22:16

正文摘要:

怎么防护的地址是内网IP地址,ping不是防护的接口地址?

回复

Sangfor_闪电回_朱丽 发表于 2015-7-20 11:42
您好:
AF DOS防御从外网进来的dos攻击,这个“外网”的概念,不一定是来自Internet,而是自定义的“源区域”,而受保护的对象也不再是AF本身,而是自定义的“目标地址”。
所以外网防御应用于要对某个目标地址做重点防御的情况,一般用于保护服务器不受dos攻击。

您在最上面截图的攻击日志里,看到是超大ICMP数据攻击,这个是在“数据包攻击类型"中的,并不是您下面截图的这个ICMP洪水攻击哦。

您内网是否有30段的地址,这些地址现在使用有没有异常?


Sangfor_闪电回_小狒 发表于 2015-7-17 09:10
AF的dos防御功能主要分两大块,外网防御和内网防御。
内网防御:
AF的内网防御,防护的源是可以自定义的。这部分功能主要是防止设备自身被攻击,而对于外来攻击侵犯内部网络的防护是极其微弱的。
外网防御:
对于一款防火墙产品,保护内部网络安全,防止外来攻击入侵,才是最为关键的。
所以AF DOS防御从外网进来的dos攻击,这个“外网”的概念,不一定是来自Internet,而是自定义的“源区域”,而受保护的对象也不再是AF本身,而是自定义的“目标地址”。
所以外网防御应用于要对某个目标地址做重点防御的情况,一般用于保护服务器不受dos攻击。
因此出现这种情况的话,得检查一下您在对DOS防护的配置处是如何配置的~~

如果我的回复能帮助您解决疑问,希望您采纳为满意答案。以后有用户遇到与您同样的问题,可以帮助到他们,社区用户会非常感谢您!
Sangfor_闪电回_朱丽 发表于 2015-7-17 09:00
您好,请在DDOS防护中,配置下源区域为WAN口所在的区域,再观察下~~
15079102641 发表于 2015-7-17 08:42
你的那几个内网地址是不是服务器