最近,我开始在 Forefront TMG 日志中收到大量(每天 60 万到 200 万)FWX_E_TCP_NOT_SYN_PACKET_DROPPED、0xc0040017 条目。
如果前 3 个源 IP 有任何迹象表明启动这些扫描的 IP 没有合法流量。我该如何阻止 Forefront 记录这些流量?
不幸的是,使用标准抑制规则不起作用。我已经为某些流量(包括多播范围)设置了抑制列表。这是我的规则集的顶部。列出的规则是“无 - 查看结果代码”,即使对于被抑制的流量也是如此。
答案1
看来 Fwengmon 工具已被替换,而 netsh tmg 命令无法提供抑制这些警报的现成方法。我已经向上移动了食物链 - 我们在 Splunk 中收集这些日志,并使用 Syslog-NG 作为过滤器。我通过阻止 0xc0040017 代码在 syslog-ng 级别抑制了这些虚假事件。
答案2
创建访问规则:
拒绝/所有流量/来自->新计算机设置“不记录而阻止”->将 IP(“计算机”)添加到此列表/到任何地方/所有用户/完成。
在列表中首先对其进行排序,然后禁用“记录与此规则匹配的请求”设置 - 在“常规”选项卡上,从内存中。