名称: 填写本规则的名字
备注: 填写本规则的备注信息
强制同步:抗拒绝服务系统在出现数据没有同步时候一个操作,该功能多用于有多台墙做集群的网络环境
按每连接匹配: 匹配数据按照建立的连接匹配
按每IP匹配: 匹配数据按照源IP匹配
IP记录保存时间:访问IP分配一个记录来保存这个IP的相关数据,设置这个数据保存的时间
接收数据、发送数据: 设置本规则过滤的抗拒绝服务系统接收还是抗拒绝服务系统发送的数据特征码的比较设置如果值为空时不比较直接通过执行下面的逻辑关系比较
逻辑关系值: 匹配包特征码 时用的逻辑关系 = 等于、 <> 不等于、 >大于、 <小于、 >= 大于等于、 <=小于等于 ,注意只有本特征值 匹配时才会判断下面的条件
十六进制、字符:值的类型,十六进制 或字符,十六进制0到F 表示的时候必须两位数字代表一个字节,比如000F1B 中间不能有空格
从TCP数据开始搜索、数据包位置: 这两个参数决定从数据包的什么位置开始搜索,比如选择了从TCP数据开始搜索 ,数据包位置 10 抗拒绝服务系统分析数据包的时候就会从 TCP数据包的数据部分 加上10 的位置 开始搜索输入的值, 如果不选择从TCP数据开始搜索 就从数据包开始部分 加上10 的位置 开始搜索输入的值
搜索整个包、搜索长度: 这两个参数决定数据包搜索的长度,如果选择搜索整个包,搜索
值的时候就会一直搜索到数据包尾,这时搜索长度将不起作用,如果不选择 搜索整个包 就会搜索 指定的搜索长度
判断标志位为真: 与设置标志位、清除标志位、配合使用 比如攻击多特征码,第一个特征码符合的时候设置标志位 ID1 为真第二个特征码符合时 设置标志位ID2 为真,通过组合 可以完成复杂的规则 刚从黑名单释放ID8会设置为真
判断累加器: 与累加器清零、累加器增加 配合使用,记录特征值出现次数或者其他需要累加计数的地方
值出现次数: 按单个数据包时 记录单个数据包里特征值出现的次数 选择按连接则记录整个连接过程值出现的次数,这个功能按每连接匹配 按每IP匹配都可以
数据包大小: 与包字节清零、开始累加包字节配合使用通过这个功能可以判断包字节异常的攻击,也可以做限制流量用按单个数据包只是简单的比较单个数据包大小 。特征码比较和逻辑关系比较匹配或者不匹配时执行的针对本数据包的操作
条件匹配: 上面特征码值 和 逻辑关系比较都通过后执行的操作 <通过><拦截><继续子规则> 继续执行后面的子规则 <跳出本规则> 执行下一个规则
条件不匹配: 特征码值 和逻辑关系比较 只要有一个不匹配则执行 条件不匹配 <跳出本规则>跳出本规则执行下一个规则 <继续后面第几个子规则>继续执行后面的第几个子规则。特征码比较和逻辑关系比较匹配时的操作
加入黑名单: 加入黑名单列表把IP封了
加入外网、加入内网: 选择加入外网黑名单 封的是客户端也就是访问服务器的IP ,如果加入内网黑名单 封的是服务器的IP
发送RET包:针对TCP协议使用的,给服务器发送一个RET包用来释放连接
只对被封时访问的服务器有效: 如果不选择 被封的IP将无法访问抗拒绝服务系统下所有的服务器,如果选择上这个选项 只对被封时访问的服务器拦截;
按客户端IP计算:值出现次数、判断累加器按照客户端IP计算
按服务器IP计算:值出现次数、判断累加器按照服务器IP计算
比较值匹配就执行设置操作:选择如果比较的特征码值匹配就会执行下面的设置操作;如果没有选择,必须特征码比较和罗机关系比较都匹配时执行下面的设置操作
累加器清零、累加器增加: 用来和判断累加器配合使用
设置标志位、清除标志位: 用来和判断标志位配合使用
包字节数清零、开始累加包字节: 用来和数据包大小配合使用