反規避設定控制網路引擎處理可能試圖逃避分析的異常封包。反規避設定可以在政策或個別電腦防護中配置。安全狀況設定控制入侵防護分析封包的嚴格程度,可以設置為以下值之一:
- 一般:防止在沒有誤報的情況下規避入侵防護規則。這是預設值。
- Strict:執行比正常模式更嚴格的檢查,但可能會產生一些誤報。嚴格模式對滲透測試很有用,但在正常情況下不應已啟動。
- Custom:如果您選擇Custom,將會有額外的設定可供選擇,讓您指定代理如何處理封包問題。對於這些設定(TCP Timestamp PAWS Window除外),選項包括允許(代理將封包傳送至系統)或Deny Silent(與拒絕相同的行為,但不記錄事件):
 |
注意拒絕(代理程式丟棄封包並記錄事件)不是可自訂的選項。
|
|
設定
|
說明
|
正常值
|
嚴格值
|
預設自訂值(10.2 之前)
|
預設自訂值(10.2 或更高版本)
|
|
無效的 TCP 時間戳
|
當 TCP 時間戳過舊時採取的行動
|
暫不處理(與允許功能相同)
|
拒絕
|
拒絕
|
暫不處理(與允許功能相同)
|
|
TCP 時間戳記 PAWS 視窗
|
封包可以有時間戳記。當一個時間戳記比之前的時間戳記更早時,可能是可疑的。時間戳記差異的容忍度取決於作業系統。對於 Windows 系統,選擇 0(系統只接受時間戳記等於或更新於前一個封包的封包)。對於
Linux 系統,選擇 1(系統將接受時間戳記最多比前一個封包早一秒的封包)。
|
1 表示 Linux 代理程式,否則為 0
|
1 表示 Linux 代理程式,否則為 0
|
0
|
1 表示 Linux 代理程式,否則為 0
|
|
時間戳記 PAWS 零允許
|
當 TCP 時間戳為零時採取的行動
|
對於 Linux 代理或 NDIS5 拒絕,否則允許
|
對於 Linux 代理或 NDIS5 拒絕,否則允許
|
拒絕
|
對於 Linux 代理或 NDIS5 拒絕,否則允許
|
|
碎片封包
|
封包被分段時採取的行動
|
允許
|
允許
|
拒絕
|
允許
|
|
TCP 零標誌
|
當封包未設置任何標誌時採取的行動
|
拒絕
|
拒絕
|
拒絕
|
拒絕
|
|
TCP 擁塞標誌
|
當封包設置了擁塞標誌時採取的行動
|
允許
|
允許
|
拒絕
|
允許
|
|
TCP 緊急標誌
|
當封包設置了緊急標誌時採取的行動
|
允許
|
拒絕
|
拒絕
|
允許
|
|
TCP Syn Fin 標誌
|
當封包同時設置了 SYN 和 FIN 標誌時採取的行動
|
拒絕
|
拒絕
|
拒絕
|
拒絕
|
|
TCP Syn Rst 標誌
|
當封包同時設有 SYN 和 RST 標誌時採取的行動
|
拒絕
|
拒絕
|
拒絕
|
拒絕
|
|
TCP Rst Fin 標誌
|
當封包同時設置了 RST 和 FIN 標誌時採取的行動
|
拒絕
|
拒絕
|
拒絕
|
拒絕
|
|
TCP Syn with 資料防護
|
當封包設置了 SYN 標誌且包含資料防護時採取的行動
|
拒絕
|
拒絕
|
拒絕
|
拒絕
|
|
TCP 分裂握手
|
當收到 SYN 而不是 SYN-ACK 作為 SYN 的回應時要採取的行動。
|
拒絕
|
拒絕
|
拒絕
|
拒絕
|
|
RST 封包不在連線中
|
對於沒有已知連線的RST封包採取的行動
|
允許
|
拒絕
|
拒絕
|
允許
|
|
FIN 封包不在連線中
|
對於沒有已知連線的FIN封包採取的行動
|
允許
|
拒絕
|
拒絕
|
允許
|
|
連線外的OUT封包
|
對於沒有已知連線的傳出封包採取的動作
|
允許
|
拒絕
|
拒絕
|
允許
|
|
規避重傳
|
對具有重複或重疊資料的封包採取的行動
|
允許
|
拒絕
|
拒絕
|
允許
|
|
TCP 檢查碼
|
對具有無效校驗和的數據包採取的操作
|
允許
|
拒絕
|
拒絕
|
允許
|