Недавно я начал получать огромное (от 600 тысяч до 2 миллионов в день) количество записей FWX_E_TCP_NOT_SYN_PACKET_DROPPED, 0xc0040017 в моих журналах Forefront TMG.
Если первые 3 исходных IP-адреса указывают на отсутствие легитимного трафика к или от IP-адресов, инициирующих это сканирование. Как я могу запретить их регистрацию в Forefront?
К сожалению, стандартное правило подавления не работает. У меня уже был список подавления для определенного трафика, включая диапазон многоадресной рассылки. Это было главным в моем своде правил. В списке указано правило «Нет - см. Код результата» даже для подавляемого трафика.
Похоже, что инструмент Fwengmon был заменен, и команды netsh tmg не предоставляют готового способа подавления этих предупреждений. Я продвинулся вверх по пищевой цепочке - мы собираем эти журналы в Splunk и используем Syslog-NG в качестве фильтра. Я подавил эти ложные события на уровне syslog-ng, заблокировав код 0xc0040017.
Создайте правило доступа:
Запретить / Весь трафик / От -> Новый компьютер Установите «Заблокировано без регистрации» -> добавьте IP-адреса («компьютеры») в этот список / Куда угодно / Все пользователи / Готово.
Закажите его первым в списке, затем отключите параметр «Журнал запросов, соответствующих этому правилу» - на вкладке «Общие» из памяти.