配置白名单

白名单中的地址或地址段不受威胁防护功能的检查。点击配置白名单，弹出<白名单配置>对话框。

• IP/掩码 - 指定添加到白名单中的IP地址和网络掩码。
• 地址条目 - 指定添加到白名单中的地址条目。

全选

全部启用：选中该复选框开启所有的网络层攻击防护功能。

行为：为所有的网络层攻击防护指定默认操作，即受到攻击后设备的防护措施：

• 丢弃 - 系统的默认行为。丢弃攻击包。
• 告警 - 发出警报但是允许包通过。
• --- - 不指定全局行为。

Flood防护

ICMP洪水攻击防护：选中该复选框开启ICMP洪水攻击防护功能。

• 警戒值 - 指定安全设备收到的ICMP包个数的警戒值。如果同一个目的IP地址在一秒钟内收到的ICMP包的个数超过该警戒值，设备就判断为受到ICMP洪水攻击，从而采取相应的处理。默认值是1500个，取值范围是1到50000。
• 行为 - 指定受到ICMP洪水攻击而进行的处理行为。如果选择默认行为“丢弃”，系统将在发生攻击的当前秒和下一秒这段时间内，仅允许指定个数（警戒值）的ICMP包通过，并且发出警报，在这段时间内的其它同类包将会被丢弃。

UDP洪水攻击防护：选中该复选框开启UDP洪水攻击防护功能。

• 源警戒值 - 指定安全设备发送的UDP包个数的警戒值。如果同一个源IP地址在一秒钟内发送的UDP包的个数超过该警戒值，设备就判断为受到UDP洪水攻击，从而采取相应的处理。默认值是1500个，取值范围是1到50000。
• 目的警戒值 - 指定设备收到的UDP包个数的警戒值。如果同一个目的IP地址的同一个端口号在一秒钟内收到的UDP包的个数超过该警戒值，设备就判断为受到UDP洪水攻击，从而采取相应的处理。默认值是1500个，取值范围是1到50000。
• 行为 - 指定受到UDP洪水攻击而进行的处理行为。如果选择默认行为“丢弃”，系统将在发生攻击的当前秒和下一秒这段时间内，仅允许指定个数（警戒值）的UDP包通过，并且发出警报，在这段时间内的其它同类包将会被丢弃。

ARP欺骗攻击防护：选中该复选框开启ARP欺骗攻击防护功能。

• 每个MAC最大IP数量 - 指定是否检查ARP表中一个MAC地址对应的IP地址数。如果该选项值为0，则不检查；如果非0，则进行检查，并且如果每个MAC地址对应的IP地址数多于该参数的值，系统将按照<行为>选项的配置进行处理。该参数值的范围是0到1024。
• 反向查询 - 选中该复选框开启ARP反向查询功能。当设备收到ARP请求后，会记录IP地址并且发送ARP请求，检查是否会收到不同MAC地址的返回包或者返回包的MAC地址与ARP请求包的MAC地址是否相同。
• 免费ARP包发送速率 - 指定安全设备是否发出免费ARP包。如果该参数值是0，则不发送免费ARP包（参数的默认值）；如果非0，则发出，并且每秒钟发出包的个数为该参数的值。该参数的取值范围是0到10。

SYN洪水攻击防护：选中该复选框开启SYN洪水攻击防护功能。

• 源警戒值 - 指定一秒钟内从一个源IP地址发出的SYN包的个数，无论目标IP地址和端口号是什么。如果安全设备探测到一秒钟内从同一个源IP地址发出的SYN包多于该指定数，就判断为受到了SYN洪水攻击。默认值是1500个。取值范围是0到50000个。0表示不对源警戒值进行检测。
• 目的警戒值 - 选中<基于IP>单选按钮并在对应文本框中输入需要的数值，指定一秒钟内同一个目的IP地址收到的SYN包个数。如果设备探测到一秒钟同一个目的IP地址收到的SYN包多于该指定数，就认为是受到了SYN洪水攻击。默认值是1500个。取值范围是0到50000个。0表示不对目的警戒值进行检测；选中<基于端口>单选按钮并在对应文本框中输入需要的数值，指定一秒钟内同一目的IP的同一个目的端口收到的SYN包个数。如果设备探测到一秒钟同一目的IP的同一个目的端口收到的SYN包多于该指定数，就认为是受到了SYN洪水攻击。默认值是1500个。取值范围是0到50000个。0表示不对目的警戒值进行检测；选中<基于端口>单选按钮并在<目的地址>组合框中输入或选中“IP地址”或者“地址条目”，指定开启特定网段的基于目的端口的SYN洪水攻击防护功能，其它网段做基于目的IP地址的SYN洪水攻击防护。目的IP地址掩码取值范围是24到32。
• 行为 - 指定受到SYN洪水攻击而进行的处理行为。如果选择默认行为“丢弃”，系统将在发生攻击的当前秒和下一秒这段时间内，仅允许指定个数（源警戒值或者目的警戒值）的SYN包通过，并且发出警报，在这段时间内的其它同类包将会被丢弃；如果同时配置了源和目的警戒值，系统会先检查其是否为目的SYN洪水攻击，如果是，则丢弃并报警，如果不是，再检查其是否为源SYN洪水攻击，是则丢弃并报警。

MS-Windows防护

WinNuke攻击防护：选中该复选框开启WinNuke攻击防护功能。当设备发现受到WinNuke攻击后，会丢弃攻击包并且发出警报通知。

扫描/欺骗防护

IP地址欺骗攻击防护：选中该复选框开启IP地址欺骗攻击防护功能。当设备发现受到IP地址欺骗攻击后，会丢弃攻击包并且发出警报通知。

IP地址扫描攻击防护：选中该复选框开启IP地址扫描攻击防护功能。

• 警戒值 - 指定地址扫描的时间警戒值。如果设备探测到在该指定时间内有10个以上来自同一个源IP地址的ICMP包发往不同的主机，设备就认为是受到IP地址扫描攻击。默认值是1，单位是毫秒，取值范围是1到5000毫秒。
• 行为 - 指定受到IP地址扫描攻击而进行的处理行为。如果选择默认行为“丢弃”，系统在指定时间内（警戒值），仅允许10个来自同一个源IP地址的发往不同主机的ICMP包通过，并且发出警报，指定时间内的其它同类包将会被丢弃。

端口扫描防护：选中该复选框开启端口扫描攻击防护功能。

• 警戒值 - 指定端口扫描的时间警戒值。如果设备探测到在该指定时间内有10个以上TCP SYN包发往同一目标的不同端口，设备就认为是受到了端口扫描攻击。默认值是1，单位是毫秒，取值范围是1到5000毫秒。
• 行为：指定受到端口扫描攻击而进行的处理行为。如果选择默认行为“丢弃”，系统在指定时间内（警戒值），仅允许10个发往同一目标的不同端口的TCP SYN包通过，并且发出警报，指定时间内的其它同类包将会被丢弃。

拒绝服务防护

Ping of Death攻击防护：选中其复选框开启Ping of Death攻击防护功能。当设备发现受到Ping of Death攻击后，会丢弃攻击包并且发出警报通知。

Teardrop攻击防护：选中其复选框开启Teardrop攻击防护功能。当设备发现受到Teardrop攻击后，会丢弃攻击包并且发出警报通知。

IP分片防护：选中其复选框开启IP分片攻击防护功能。

• 行为 - 指定受到IP分片攻击而进行的处理行为。默认为“丢弃”。

IP选项：选中其复选框开启IP选项攻击防护功能。系统会对以下IP选项类型进行防护：Security、Loose Source Route、Record Route、Stream ID、Strict Source Route和Timestamp。

• 行为 - 指定受到IP选项攻击而进行的处理行为。默认为“丢弃”。

Smurf或者Fraggle攻击防护：选中其复选框开启Smurf或者Fraggle攻击防护功能。

• 行为 - 指定受到Smurf或者Fraggle攻击而进行的处理行为。默认为“丢弃”。

Land攻击防护：选中其复选框开启Land攻击防护功能。

• 行为 - 指定受到Land攻击而进行的处理行为。默认为“丢弃”。

ICMP大包攻击防护：选中其复选框开启ICMP大包攻击防护功能。

• 警戒值 - 指定ICMP包的大小的警戒值。如果收到的ICMP包的大小大于该指定值，系统就判断为受到大ICMP包攻击，从而采取相应的处理措施。默认值是1024字节，取值范围是1到50000字节。
• 行为：指定受到ICMP大包攻击而进行的处理行为。默认为“丢弃”。

代理

SYN代理：选中其复选框开启SYN代理功能。SYN代理功能配合SYN洪水攻击防护功能来共同防护SYN洪水攻击。当SYN洪水攻击防护功能和SYN代理功能都开启时，SYN代理功能对已经通过SYN洪水攻击防护功能检测的数据包起效。

• 最小代理速率 - 指定激活SYN代理机制或者SYN-Cookie机制（选中<Cookie>复选框）的最小SYN包个数值。如果一个目的IP地址的同一个端口在一秒钟内收到的SYN包个数多于该选项的指定值，就会激活SYN代理机制或者SYN-Cookie机制。默认值是1000个每秒，取值范围是1到50000。
• Cookie - 选中该复选框开启SYN-Cookie功能。SYN-Cookie是一种无状态的SYN代理机制。该功能开启后，能够在功能上扩大设备处理多个SYN包的能力，因此用户可以适当的增大“最小代理速率”和“最大代理速率”两个选项之间的范围。
• 最大代理速率 - 指定SYN代理机制或者SYN-Cookie机制（选中<Cookie>复选框）在指定时间内允许通过的最大SYN包个数。如果一个目的IP地址的同一个端口在一秒钟内收到的SYN包个数多于该参数的指定值，系统会在当前秒和下一秒内仅允许该指定数值的SYN包通过，其它同类包将会被丢弃。默认值是3000个每秒，取值范围是1到1500000。
• 代理超时 - 指定半连接的超时时间值，单位为秒。半连接达到该超时值后会被丢弃。默认值是30秒。取值范围是1到180秒。

协议异常报告

TCP选项异常：选中其复选框开启TCP异常攻击防护功能。

• 行为 - 指定受到TCP异常攻击而进行的处理行为。默认为“丢弃”。

DNS查询洪水防护

DNS查询洪水防护：选中其复选框开启DNS查询洪水防护功能。

• 源警戒值 - 指定设备发送的DNS查询报文的警戒值。如果一秒钟内同一个源IP地址发送的DNS查询报文个数超过该警戒值，设备就判断为受到DNS查询洪水攻击，从而采取相应的处理措施。
• 目的警戒值 - 指定设备收到的DNS查询报文的个数的警戒值。如果一秒钟内设备收到的到达同一个目的IP地址且相同端口号的DNS查询报文个数超过该警戒值，设备就判断为受到DNS查询洪水攻击，从而采取相应的处理措施
• 行为 - 指定设备对DNS查询洪水攻击采取的行为。如果选择默认行为“丢弃”，在发生攻击的当前秒和下一秒这段时间内，设备仅允许指定个数（警戒值）的DNS查询报文通过，并且发出警报，在这段时间内的其它同类包将会被丢弃；如果选择“告警”，系统将在发现DNS查询洪水攻击后发出警报但是允许DNS查询报文通过。

DNS递归查询洪水攻击防护：选中其复选框开启安全域的DNS递归查询洪水防护功能。

• 源警戒值 - 指定设备发送的DNS递归查询报文的警戒值。如果一秒钟内同一个源IP地址发送的DNS查询报文个数超过该警戒值，设备就判断为受到DNS查询洪水攻击，从而采取相应的处理措施。
• 目的警戒值 - 指定设备收到的DNS递归查询报文的个数的警戒值。如果一秒钟内设备收到的到达同一个目的IP地址且相同端口号的DNS查询报文个数超过该警戒值，设备就判断为受到DNS查询洪水攻击，从而采取相应的处理措施。
• 行为 - 指定设备对DNS递归查询洪水攻击采取的行为。如果选择默认行为“丢弃”，在发生攻击的当前秒和下一秒这段时间内，设备仅允许指定个数（警戒值）的DNS递归查询报文通过，并且发出警报，在这段时间内的其它同类包将会被丢弃；如果选择“告警”，系统将在发现DNS递归查询洪水攻击后发出警报但是允许DNS查询报文通过。

恢复缺省

特征基本配置
（在严重/警告/信息级别攻击下阻断配置）

抓包：启用在线抓包工具。

行为：为不同级别的特征指定处理行为。选中需要的行为的单选按钮：

• 只记录日志 - 系统发现攻击后仅记录日志信息。
• 重置 - 发现攻击后重置连接（TCP）或者发送目标不可达包（UDP）并且记录日志信息。

屏蔽攻击者：点击『启用』复选框并设置屏蔽对象和屏蔽时间：

• 阻断IP - 屏蔽攻击者的IP地址并设置屏蔽时间。取值范围为60至3600秒，默认值60秒。
• 阻断服务 - 屏蔽攻击者的服务并设置屏蔽时间。取值范围为60至3600秒，默认值60秒。

特征列表

显示特征库中所有特征的具体信息。

搜索：用户可在搜索栏设置搜索条件，查看符合需求的特征。

• 保存本次筛选设置 - 将本次搜索条件保存到系统中。
• 搜索 - 点击『设置』按钮，特征列表中将显示所有符合条件的特征。
• 重置 - 点击『重置』按钮，重置搜索条件。

启用：从特征列表中选中需要启用的特征对应的复选框，点击列表左上角的『启用』按钮。

禁用：从特征列表中选中需要禁用的特征对应的复选框，点击列表左上角的『禁用』按钮。特征被禁用后，匹配到该特征的攻击报文将无法被检测到。

编辑：从特征列表中选中需要编辑的特征对应的复选框，点击列表左上角的『编辑』按钮，支持批量编辑。在<特征列表编辑>对话框中，选项说明如下：

• 抓包 - 启用在线抓包工具。关于在线抓包功能的详情，请参阅在线抓包工具介绍一节。
• 行为 - 选择特征响应行为。若选择“由对应攻击级别配置行为决定”，表示由特征的攻击级别的行为配置决定该特征的响应行为。
• 屏蔽攻击者 - 设置屏蔽对象和屏蔽时间。若选择“由对应攻击级别配置行为决定”，表示由特征的攻击级别的行为配置决定该特征的屏蔽设置。

DNS

协议异常检查：为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

FTP

在暴力破解下阻断配置：配置暴力破解功能，即如果一分钟内指定次数尝试登录均失败，系统会判定为攻击，并根据配置做出相应。

• 每分钟登录上限值：指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000，默认值为900。
• 屏蔽对象：指定对超出限定认证/登录失败频率的攻击者的IP地址或者协议/源IP/目的IP/目的端口进行阻断。
• 屏蔽时间：指定对攻击者IP或者协议/源IP/目的IP/目的端口进行阻断的时长，单位为秒，默认值为60秒，范围是60到3600秒。

协议异常检查：为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

Banner防护：选中该选项的『启用』复选框开启FTP服务器banner信息保护功能。

• Banner信息：开启banner防护功能后，在该文本框中输入新信息替换原有服务器banner信息。

命令行最大长度：指定FTP命令行的最大长度（包含回车换行），单位为字节。取值范围是5到1024字节。

• 安全级别：指定超过限定命令行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

响应行最大长度：指定FTP最大响应长度，单位为字节。

• 安全级别：指定超过限定响应长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

POP3

在暴力破解下阻断配置：配置暴力破解功能，即如果一分钟内指定次数尝试登录均失败，系统会判定为攻击，并根据配置做出相应。

• 每分钟登录上限值：指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000，默认值为900。
• 屏蔽对象：指定对超出限定认证/登录失败频率的攻击者的IP地址或者协议/源IP/目的IP/目的端口进行阻断。
• 屏蔽时间：指定对攻击者IP或者协议/源IP/目的IP/目的端口进行阻断的时长，单位为秒，默认值为60秒，范围是60到3600秒。

协议异常检查：为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

Banner防护：选中该选项的『启用』复选框开启POP3服务器banner信息保护功能。

• Banner信息：开启banner防护功能后，在该文本框中输入新信息替换原有服务器banner信息。

命令行最大长度：指定POP3命令行的最大长度（包含回车换行），单位为字节。取值范围是5到1024字节。

• 安全级别：指定超过限定命令行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

参数最大长度：指定POP3客户端命令参数的最大长度，单位为字节。

• 安全级别：指定超过限定命令参数行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

失败最大次数：指定系统允许的POP3服务器返回错误的最大次数（同一个POP3会话中）。范围为0到512。

• 安全级别：指定超过限定失败次数的事件的安全级别。系统将根据该安全级别确定相应的动作。

SMTP

在暴力破解下阻断配置：配置暴力破解功能，即如果一分钟内指定次数尝试登录均失败，系统会判定为攻击，并根据配置做出相应。

• 每分钟登录上限值：指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000，默认值为900。
• 屏蔽对象：指定对超出限定认证/登录失败频率的攻击者的IP地址或者协议/源IP/目的IP/目的端口进行阻断。
• 屏蔽时间：指定对攻击者IP或者协议/源IP/目的IP/目的端口进行阻断的时长，单位为秒，默认值为60秒，范围是60到3600秒。

协议异常检查：为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

Banner防护：选中该选项的『启用』复选框开启SMTP服务器banner信息保护功能。

• Banner信息：开启banner防护功能后，在该文本框中输入新信息替换原有服务器banner信息。

命令行最大长度：指定SMTP命令行的最大长度（包含回车换行），单位为字节。取值范围是5到1024字节。

• 安全级别：指定超过限定命令行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

路径最大长度：指定系统允许的SMTP客户端命令中reverse-path和forward-path的最大长度，单位为字节。范围为16到512（含标点符号）。

• 安全级别：指定超过限定SMTP服务器端响应的最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

回复行最大长度：指定系统允许的SMTP服务器端响应的最大长度，单位为字节，范围为64到1024（含回车换行）。

• 安全级别：指定超过限定SMTP服务器端响应的最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

文本行最大长度：指定系统允许的SMTP客户端邮件文本的最大长度，单位为字节，范围为64到2048（含回车换行）。

• 安全级别：指定超过限定SMTP客户端邮件文本的最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

内容类型最大长度：指定SMTP协议Content-Type值的最大长度，单位为字节。取值范围是6到1024字节。

• 安全级别：指定超过限定Content-Type值长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

内容文件名最大长度：指定SMTP协议邮件附件名称的最大长度，单位为字节。取值范围是64到1024字节。

• 安全级别：指定超过限定SMTP协议邮件附件名称最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

失败最大次数：指定系统允许的SMTP服务器返回错误的最大次数（同一个SMTP会话中）。范围为0到512。

• 安全级别：指定超过限定失败次数的事件的安全级别。系统将根据该安全级别确定相应的动作。

Telnet

在暴力破解下阻断配置：配置暴力破解功能，即如果一分钟内指定次数尝试登录均失败，系统会判定为攻击，并根据配置做出相应。

• 每分钟登录上限值：指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000，默认值为900。
• 屏蔽对象：指定对超出限定认证/登录失败频率的攻击者的IP地址或者协议/源IP/目的IP/目的端口进行阻断。
• 屏蔽时间：指定对攻击者IP或者协议/源IP/目的IP/目的端口进行阻断的时长，单位为秒，默认值为60秒，范围是60到3600秒。

协议异常检查：为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

用户名/密码最大长度：指定Telnet用户名和密码的最大长度，单位为字节，范围为6到1024。

• 安全级别：指定超过限定Telnet用户名和密码长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

IMAP/Finger/
NNTP/TFTP/
SNMP/MYSQL/
MSSQL/ORACLE/
NETBIOS/DHCP/
LDAP/VoIP

扫描最大长度：指定最大扫描长度，单位为字节。

SUNRPC

协议异常检查：为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

MSRPC

在暴力破解下阻断配置：配置暴力破解功能，即如果一分钟内指定次数尝试登录均失败，系统会判定为攻击，并根据配置做出相应。

• 每分钟登录上限值：指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000，默认值为900。
• 屏蔽对象：指定对超出限定认证/登录失败频率的攻击者的IP地址或者协议/源IP/目的IP/目的端口进行阻断。
• 屏蔽时间：指定对攻击者IP或者协议/源IP/目的IP/目的端口进行阻断的时长，单位为秒，默认值为60秒，范围是60到3600秒。

协议异常检查：为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

Bind最大长度：指定系统允许的MSRPC协议绑定报文的最大长度，单位为字节。取值范围是16到65535字节。

• 安全级别：指定超过限定绑定报文长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

Request最大长度：指定系统允许的MSRCP协议请求报文的最大长度，单位为字节。取值范围是16到65535字节。

• 指定超过限定请求报文长度的事件的安全级别。系统将根据该安全级别确定相应的动作。

协议异常检查

为特征集配置协议合法性检查的严格性。

• 严格：配置协议合法性检查为严格。配置为严格后，当系统在协议解析过程中发现协议解析错误时，系统将根据错误的安全级别，按照特征集配置的相应级别对应的动作对攻击包进行操作。
• 宽松：配置协议合法性检查为松散。配置为松散后，当系统在协议解析过程中发现协议解析错误时，系统将仅记录日志信息然后调用引擎进行特征匹配检查。

Banner防护

选中该选项的『启用』复选框开启SMTP服务器banner信息保护功能。

• Banner信息：开启banner防护功能后，在该文本框中输入新信息替换原有服务器banner信息。

URI最大长度

安全级别

允许HTTP方法

指定系统允许的HTTP方法。

XSS检查

选中『启用』复选框开启Web服务器XSS注入检查功能。

• 抓包 - 启用在线抓包工具。关于在线抓包功能的详情，请参阅在线抓包工具介绍一节。
• 行为 - 为Web服务器XSS注入检查指定相应的动作，可以为“仅记录日志”或者“重置”。“仅记录日志”指定发现XSS注入攻击后仅记录日志信息。“重置”指定发现XSS注入攻击后重置连接（TCP）或者发送目标不可达包（UDP）并且记录日志信息。
• 屏蔽攻击者：选中『启用』复选框，并选择屏蔽类型、指定阻断XSS注入攻击者的IP地址或者服务。在文本框中输入时间，指定对攻击者IP或者服务进行阻断的时长，单位为秒，范围是60到3600秒。

SQL插入检查

选中『启用』复选框开启Web服务器SQL注入检查功能。

• 抓包 - 启用在线抓包工具。关于在线抓包功能的详情，请参阅在线抓包工具介绍一节。
• 行为 - 为Web服务器SQL注入检查指定相应的动作，可以为“仅记录日志”或者“重置”。“仅记录日志”指定发现SQL注入攻击后仅记录日志信息。“重置”指定发现SQL注入攻击后重置连接（TCP）或者发送目标不可达包（UDP）并且记录日志信息。
• 屏蔽攻击者：选中『启用』复选框，并选择屏蔽类型、指定阻断SQL注入攻击者的IP地址或者服务。在文本框中输入时间，指定对攻击者IP或者服务进行阻断的时长，单位为秒，范围是60到3600秒。

命令插入检查

Other-TCP/
Other-UDP

扫描最大长度：指定最大扫描长度，单位为字节。

安全级别

指定防护的安全等级。不同等级的防护效果不同。如果选择自定义防护类型，请分别指定扫描文件类型和协议类型以及发现病毒后的处理动作。

• 低 - 防护等级为“低”。系统将对最易携带病毒的文件类型进行扫描，包括GZIP、HTML、Mail和PE；协议类型包括HTTP、SMTP、POP3、IMAP4和FTP。系统对协议HTTP和FTP采取的默认行为是重置连接，对SMTP、POP3和IMAP4采取的默认行为是只记录日志。
• 高 - 防护等级为“高”。系统将对其支持的所有文件类型进行严格扫描，包括GZIP、HTML、Mail、PE、ZIP、RAR、TAR、BZIP2、RIFF和JPEG；协议类型包括HTTP、SMTP、POP3、IMAP4和FTP。系统对协议HTTP和FTP采取的默认行为是重置连接，对SMTP、POP3和IMAP4采取的默认行为是填充魔术数。
• 自定义 - 自定义扫描文件类型和协议类型以及发现病毒后的处理动作。

扫描文件类型

自定义系统将扫描的文件类型，可以是GZIP、HTML、JPEG、PE、Mail。

扫描协议类型

自定义系统将扫描的协议类型（HTTP、SMTP、POP3、IMAP4、FTP）以及发现病毒后的处理动作。

• 填充魔术数 - 使用文件填充的方式处理病毒文件，即从文件中被病毒感染部分的起始位置起使用魔术字（Virus is found, cleaned）进行填充，一直到被感染部分结束。
• 只记录日志 - 系统发现病毒后仅记录日志信息。
• 重置连接 - 发现病毒后，重置病毒连接。
• 警告 - 弹出警告提示页面，提示用户发现病毒。用户可在警告提示页面点击<忽略此警告>链接，跳过该页面，继续访问。跳过警告提示页面后，若用户一小时之内再次访问该网站，将不会收到警告提示。该选项只对通过HTTP协议传输的信息进行病毒扫描时有效。
  

启用抓包

启用在线抓包工具。

抓包

启用在线抓包工具。

行为

指定系统发现恶意链接后的处理动作：

• 只记录日志 - 系统发现恶意链接后仅记录日志信息。
• 重置连接 - 发现恶意链接后，重置恶意链接连接。
• 返回告警页面 - 弹出警告提示页面，提示用户发现恶意网站。点击<忽略此警告>链接，跳过警告提示页面继续访问。跳过警告提示页面后，若用户一小时之内再次访问该网站，将不会收到警告提示。