Stormshield SN160 Manuel D'utilisation Et De Configuration page 284

Limite MSS (en octets) Définissez votre limite MSS, comprise entre 100 et 65535 octets.
Réécrire les séquences
TCP avec un aléa fort
(arc4)
Protéger contre l'envoi
répété de paquets ACK
Activer l'ajustement
automatique de la
mémoire dédiée au
suivi de données
Protection contre le déni de service
Nombre maximal de
connections
simultanées par
machine source (0
désactive cette
protection)
Nombre maximal de
nouvelles connections
par machine source
dans l'intervalle de
temps paramétré (0
désactive cette
protection)
Intervalle de temps
pour la limitation des
nouvelles connexions
Expiration (en secondes)
Délai d'ouverture d'une
connexion (SYN)
Connexion TCP
Connexion UDP
Fermeture d'une
connexion (FIN)
Connexions closes
Petite fenêtre TCP
Support
Désactiver le proxy
SYN
Page 282/464
En cochant cette case, les numéros de séquence TCP générées par le client et le
serveur seront écrasés et remplacés par le moteur de prévention d'intrusion
Stormshield Network, qui produira des numéros de séquence aléatoires.
En cochant cette option, vous vous protégez contre le vol de session, ou attaque de
type « ACK ».
En cochant cette option, vous autorisez le firewall à ajuster dynamiquement la
mémoire allouée au suivi de données (data tracking). La valeur maximale de la
mémoire allouée dynamiquement est égale à la taille de la fenêtre TCP divisée par la
limite MSS. Lorsque la case est décochée, cette valeur maximale est de 256.
Cette option permet de limiter le nombre de connexions simultanées pour une même
machine source. Lorsque la valeur choisie vaut 0, aucune restriction n'est appliquée.
AVERTISSEMENT
Le choix d'un nombre trop faible peut empêcher le fonctionnement de
certaines applications ou l'affichage de pages Web.
Cette option permet de limiter le nombre de nouvelles connexions initiées par une
machine source dans un intervalle de temps déterminé. Lorsque la valeur choisie vaut
0, aucune restriction n'est appliquée.
AVERTISSEMENT
Le choix d'un nombre trop faible peut empêcher le fonctionnement de
certaines applications ou l'affichage de pages Web.
Définissez l'intervalle de temps de référence pour le calcul du nombre de nouvelles
connexions autorisées par machine source. Cette valeur doit être comprise entre 1 et
3600 secondes.
Temps maximum, exprimé en secondes, autorisé pour l'établissement complet de la
connexion TCP (SYN / SYN+ACK / ACK). Ce temps est compris entre 10 et 60 secondes
(valeur par défaut : 20 secondes).
Temps maximum en secondes, de conservation de l'état d'une connexion TCP sans
activité (valeur par défaut : 1800 secondes).
Temps maximum, exprimé en secondes, de conservation de l'état d'une pseudo-
connexion UDP sans activité. Ce temps est compris entre 30 et 3600 secondes (valeur
par défaut : 120 secondes).
Temps maximum, exprimé en secondes, admis pour la phase de fermeture d'une
connexion TCP (FIN+ACK / ACK / FIN+ACK / ACK). Cette valeur doit être comprise entre
10 et 3600 secondes (valeur par défaut : 480 secondes).
Délai, en secondes, de conservation d'une connexion clôturée (état closed). Ce délai
est compris entre 10 et 60 secondes (valeur par défaut : 2 secondes).
Pour éviter les attaques par déni de service, ce compteur détermine la durée de vie
maximum d'une connexion avec une petite fenêtre TCP (inférieure à 100 octet). Ce
compteur est initialisé lors de la réception de la première annonce de petite fenêtre.
Si aucun message d'augmentation de fenêtre n'est reçu avant l'expiration de ce
compteur, la connexion TCP est coupée.
En cochant cette case, vous ne serez plus protégé contre les attaques de type
« SYN », car le proxy ne filtrera plus les paquets.
Il est recommandé de ne désactiver cette option qu'à des fins de diagnostic.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
PROTOCOLES