此功能伺服器的可以依照來襲的不法或是違反規則定義的來源即時主動阻擋一段時間之後再解除阻擋 , 若來源多次來襲 , 可以設定累犯機制將該來源長期阻斷 , 防禦阻斷的因素可以參考以下
啟用服務 : 設定此自動防禦功能是否要啟用
阻斷IP數量上限 : 對於觸及規定的來源IP , 系統會以防火牆規則將之阻斷 , 被阻斷的來源會完全無法與本伺服器通訊,甚至是 ping 也無回應 , 看似本伺服器不存在網路上 , 因為阻斷的IP越多系統就需要更多的效能及記憶體來處理封包 , 所以我們的系統會對不同程度的觸犯來源在一定的時間後進行解放 , 如此可以達到伺服器資源有效的運用 , 此設定最高為 50000 個阻斷 IP , 可以由管理員自行設定
原則上防禦的規則 採用 "一段時間內" 若同一個來源 "錯誤觸發次數" 大約設定值 即對該來源 IP 進行 一定的 "阻斷時間" , 該時間到期後會解除該IP的阻斷 , 以釋放伺服器的資源.
防禦設定
dns-deny(DNS干擾) : 如果管理員有啟動本機的 DNS 管理系統及服務 , 系統的DNS服務預設是非 OpenDNS , 也就是只提供上游來查詢本機的 DNS 結果 , 如果其他來源查詢非本機的DNS名稱時系統會拒絕並紀錄在攻擊次數
pop-auth(收信帳號登入認證) : 通常是來源端在進行帳號密碼的暴力猜測 , 該規則會檢查 pop3 , imap , pop3s , imaps 服務進行檢查 , 若嘗試登入失敗一次會紀錄一次攻擊
smtp-auth(寄信登入帳號認證) : 通常也是來源端進行帳號密碼的暴力猜測 , 該規則會檢查 smtp saslauthd 服務進行檢查 , 若嘗試登入失敗一次會紀錄一次攻擊
smtp-connect (smtp連線) : 雖然 smtp connect 屬於正常的連線行為 , 但如果在很短的時間內進行很多次連線 , 這樣就可能是攻擊的來源 , 最常出現的可能是 ddos 攻擊或是故意霸佔 smtp 的連線資源的行為
webadmin-auth (管理介面登入失敗) : 如果管理員有將 webadmin(管理介面) 開放到公共網路上(管理員方便於任何地方登入查看及管理) , 若來源在一定的時間內進行多次的登入失敗 , 系統會判斷來源為攻擊行為紀錄一次攻擊
webmail-auth (WebMail介面登入失敗) : 和上一個功能相似 , 差別是監視 WebMail 登入的介面
recidivist (累犯,慣犯) : 當來源IP觸犯了上面的任何一項攻擊規則時達到設定的次數後會被立即阻斷 , 系統亦會在阻斷一段時間後將其解開阻斷 , 若是該來源在一段時間內多次觸犯被阻斷 , 系統可將之視為累犯 , 該IP可以將其阻斷更長的時間
白名單
對於某些IP ,可以設定特別白名單 , 對其觸犯的行為不理會 , 例如 : 內部的虛擬IP , 或是公司防火牆(路由器)的共同出入口IP , 或是其他特殊原因的IP都可以加入該白名單內 , 白名單可以設定完整IP或是子網域
已阻斷中紀錄
對於上列說明的來源若觸犯了阻斷規則而被處於阻斷中的IP, 管理員可以在此列表中看到並可查詢 , 若要提早將該IP解除阻斷 , 可以先點選後後按下解除阻斷按鈕
若要查詢較之前阻斷過但已經時間過後解除的IP , 可以到系統日誌/攻擊阻斷紀錄 查詢更多的紀錄