勾选[IP 地址扫描防护]，则启用 IP 地址扫描防护，可以设置[阈值]，在每秒单位内如果收到来自源区域的 IP 地址扫描包个数超过阀值，则会被认为是攻击。如果页面下方勾选了检测攻击后操作为[阻断]，则检测到攻击后，5 分钟之内会阻断该源 IP 的所有数据。5 分钟后解锁，再次计算该 IP 的扫描次数。

[端口扫描防护]：勾选[端口扫描防护]，则启用端口扫描防护，可以设置[阈值]，在每秒单位内如果收到来自源区域的端口扫描包个数超过阀值，则会被认为是攻击。如果页面下方勾选了检测攻击后操作为[阻断]，则检测到攻击后，5 分钟之内会阻断该源 IP 的所有数据。5 分钟后解锁，再次计算该 IP 的端口扫描次数。

数据包经过上述扫描后，还将进行 [DoS/DDoS 攻击防护]，[基于数据包攻击]，[异常包文侦测]的各种攻击包的过滤。

[DoS/DDoS 攻击防护]：点击请选择防护类型，分别设置 SYN Flood、UDPFlood、DNS Flood 和 ICMP Flood 的阈值，如下图所示：

SYN Flood 防护

[每目的 IP 激活阈值(packet/s)]：统计到达每个目的 IP 的 SYN 包的 PPS

（packets per second），如果超过设定值则触发 NGFW SYN 代理机制，以减少服务器压力，建议比丢包阀值低，最好为其一半。取值范围为 1-100000000。

[每目的 IP 丢包阈值(packet/s)]：统计到达每个目的 IP 的SYN 包 PPS（packets per second），如果超过设定值则触发防护机制。取值范围为 1-100000000。

[源 IP 封锁阈值(packet/s)]：统计到达每个源 IP 的 SYN 包 PPS（packets per second），如果超过设定值则触发防护机制。取值范围为 1-100000000。

[封锁时间(s)]：针对每个源 IP 达到超过设定值后，自动进行封锁时间。取值范围为 0~1800s，在攻击者列表可以查看攻击 IP、封锁时间。

UDP Flood 防护

[每目的 IP 丢包阈值(packet/s)]:统计到达每个目的 IP 的 UDP 包 PPS，如果超过设定值则触发防护机制。取值范围为 0~100000000。

[源 IP 封锁阈值(packet/s)]：统计到达每个源 IP 的 UDP 包 PPS，如果超过设定值则触发防护机制。取值范围为 0~100000000。

[封锁时间(s)]：针对每个目的 IP、源 IP 达到超过设定值后，自动进行封锁时间。取值范围为 0~1800s，在攻击者列表可以查看攻击 IP、封锁时间。

DNS Flood 防护

[每目的 IP 丢包阈值(packet/s)]:统计到达每个目的 IP 的 DNS 包 PPS，如果超过设定值则触发防护机制。取值范围为 0~100000000。

[源 IP 封锁阈值(packet/s)]：统计到达每个源 IP 的 DNS 包 PPS，如果超过设定值则触发防护机制。取值范围为 0~100000000。

[封锁时间(s)]：针对每个目的 IP、源 IP 达到超过设定值后，自动进行封锁时间。取值范围 0~1800s，在攻击者列表可以查看攻击 IP、封锁时间。

ICMP Flood 防护

[每目的 IP 丢包阈值(packet/s)]:统计到达每个目的 IP 的 ICMP 包 PPS，如果超过设定值则触发防护机制。取值范围为 0~100000000。

[源 IP 封锁阈值(packet/s)]：统计到达每个源 IP 的 ICMP 包 PPS，如果超过设定值则触发防护机制。取值范围为 0~100000000。

[封锁时间(s)]：针对每个目的 IP、源 IP 达到超过设定值后，自动进行封锁时间。取值范围 0~1800s。在攻击者列表可以查看攻击 IP、封锁时间。

『检测攻击后操作』：可以勾选操作[记录日志]和[阻断]。

点击，可基于数据包攻击类型，IP 协议报文选项，TCP 协议报文选项来开启防护，默认不勾选。如下图所示：

[基于数据包攻击]的防护类型如下：

[未知协议类型防护]：勾选[未知协议类型防护]，则启用未知协议类型防护。当协议 ID 大于 137 时会被认为是未知协议类型。

[TearDrop 攻击防护]：勾选[TearDrop 攻击防护]，则启用 TearDrop 攻击防护。TearDrop 攻击防御主要是严格控制 IP 头的分片偏移的长度，当 IP 头分片偏移不符合规范时，则认为是 TearDrop 攻击。

[IP 数据块分片传输防护]：勾选[IP 数据块分片传输防护]，则表示默认不允许 IP 数据块分片传输，若有分片传输则认为是攻击。非特殊情况下，建议不要勾选此项，可能会引起网络中断。

[LAND 攻击防护]：勾选[LAND 攻击防护]，则启用 LAND 攻击防护。当设备发现数据报文的源地址和目标地址相同时，则认为此报文为 LAND 攻击。

[WinNuke 攻击防护]：勾选[WinNuke 攻击防护]，则启用 WinNuke 攻击防护。当 TCP 头部标识 URG 位置为 1，且目标端口是 TCP139、TCP445 等，则此报文为 WinNuke 攻击。

[Smurf 攻击防护]：勾选[Smurf 攻击防护]，则启用 Smurf 攻击防护。当设备发现数据包的回复地址为网络的广播地址的 ICMP 应答请求包，则认为是 Smurf攻击。

[超大 ICMP 数据攻击防护]：勾选[超大 ICMP 数据攻击防护]则当 ICMP 报文大于 1024 时，被认为是攻击。

[IP 协议报文选项]配置页面如下：

IP 报文通常可包含 IP 时间戳选项、IP 安全选项、IP 数据流选项、IP 记录路由选项、IP 宽松源路由选项、IP 严格源路由选项等，普通的 IP 报文一般不会携带这些额外的选项，带此类选项的 IP 报文通常以攻击为目的，如果不允许数据报文携带这些选项，则勾选对应的选项即可进行防护。

如果不允许 IP 报文中携带除上述所列选项之外的其他未知 IP 报文选项，则勾选[错误的 IP 报文选项防护]。

[TCP 协议报文选项]配置页面如下：

TCP 协议报文选项的防护支持[SYN 数据分片传输防护]、[TCP 报头标志位全为 0 防护]、[SYN 和 FIN 标志位同时为 1 防护]、[仅 FIN 标志位为 1 防护]。一般情况下，正常的 TCP 报文标识不可能存在这些特征，目标主机可能因无法正常处理这些 TCP 报文而出现异常，勾选对应的选项，则设备对相应的特征报文进行防护。

点击确定，保存设置。

最后设置检测攻击后进行的操作，页面如下：

选择[记录日志]则对于检测到的攻击仅记录日志，不进行阻断。如果需要同时阻断攻击数据包，则可以勾选[阻断]。

最后点击提交，保存外网防护设置。

可以点击新增，继续添加其他的外网防护策略。

如果需要修改已设置的外网防护策略，则可以点击相应的[名称]进行编辑。勾选上需要修改的规则，可以点击删除来删除掉该策略。点击启用可以把规则状态改为启用。点击禁用则把规则状态改为禁用。点击上移或者下移，则可以把规则的序号进行调整。在进行规则匹配的时候，『序号』靠前的规则会先被匹配到。

注意：
1、数据包匹配是由上往下匹配的，当匹配到任何一个攻击行为被丢弃之后，都不会往下匹配。如果数据包没有匹配到前面的攻击，则会继续匹配下面设置的攻击行为是否符合。
2、设置了扫描防护，最好再设置 DoS/DDoS 攻击防护里的 ICMP 攻击防护等信息。这个主要是由黑客的攻击行为特征决定的。黑客的入侵一般情况下是首先扫描 IP 地址是否存在，扫描到 IP，然后是扫描端口。当扫描到 IP 和端口之后，则会进行下一步攻击行为。也有一些黑客本来就知道 IP 和端口，不需要扫描，直接发起攻击行为。所以最好是两处都进行设置，才能有效地防范攻击行为。