Isa-Server

最前沿 0xc0040017

  • September 20, 2011

我最近開始在我的 Forefront TMG 日誌中收到大量(每天 60 萬到 200 萬)FWX_E_TCP_NOT_SYN_PACKET_DROPPED、0xc0040017 條目。

如果前 3 個源 IP 表明沒有合法流量傳入或傳出發起這些掃描的 IP。我怎樣才能抑制這些被 Forefront 記錄?

不幸的是,使用標準抑制規則不起作用。我已經為某些流量製定了一個黑名單,包括多播範圍。這是我的規則集的頂部。列出的規則是“無 - 請參閱結果程式碼”,即使對於被抑制的流量也是如此。

Fwengmon 工具似乎已被替換,而 netsh tmg 命令沒有提供一種現成的方法來抑制這些警報。我已經提升了食物鏈 - 我們在 Splunk 中收集這些日誌,並將 Syslog-NG 用作過濾器。我通過阻止 0xc0040017 程式碼在 syslog-ng 級別抑制了這些虛假事件。

創建訪問規則:

拒絕/所有流量/來自-> 新電腦集“在沒有記錄的情況下被阻止”-> 將 IP(“電腦”)添加到此列表/到任何地方/所有使用者/完成。

首先在列表中對其進行排序,然後禁用“記錄與此規則匹配的請求”設置 - 在“正常”選項卡上,從記憶體中。

引用自:https://serverfault.com/questions/308632