PAN-OS 8.0: DoS Firewall-Schutz
Resolution
Dieser Artikel beleuchtet eine neue Fähigkeit oder Funktion, die in PAN-OS 8,0 eingeführt wurde. Wenn Sie mehr über dieses Thema oder Pan-OS 8,0 im allgemeinen erfahren möchten, werden Sie sich auch unsere erstklassige Technische Dokumentation ansehen wollen.
DoS Firewall-Schutz wird die Firewall mit der Möglichkeit verbessern, die Top-Firewall-Paket Puffer-Missbraucher zu verfolgen und es dem Administrator zu ermöglichen, einen globalen Schwellenwert anzugeben, an dem die Abschwächung auf den missbräuchlichsten Sitzungen stattfinden wird.
Die Funktion bietet auch die Möglichkeit, IP-Adressen Whitelist, damit der Administrator weiter Chancen der Fehlalarme zu reduzieren, die wichtige Dienste auswirken können, bei gleichzeitigem Schutz der Firewalls.
Die Funktion liefert SNMP MIB CPS tracking, um Administratoren zu verstehen, wie der bestehenden Zone und DoS-Schutz-Politik besser zu konfigurieren.
Plattform-Support
- Unterstützt auf allen Plattformen (Hard- und VM-Serie)
- UnterStützt sowohl auf FPGA als auch auf nicht-FPGA-Plattformen
für nicht-FPGA-Plattformen, wird die Abschwächung in Software erfolgen.
Performance
- Aktivierung dieser Funktion wird nicht nachteilig beeinflussen Durchsatzleistung des Verkehrs, die nicht die Paketpuffer erreicht hat Schwelle aktiviert.
- Bei aktiviertem Minderung sollten Sitzungen, die nicht entschärft wird sind Performance-Einbußen nicht sehen, wenn die Paket-Puffer nicht ausgereizt sind.
- Wenn Paket Puffer ausgemaxt werden, wird verstanden, dass alle Sitzungen beeinflusst werden können.
Feature Interaktionen
High Availability
- Geräteeinstellungen für Paket-Puffer-Schutz und Zone Konfiguration synchronisiert zwischen A / P und a-HA-Mitglieder.
- Sitzungsstatus für A / P (rot, verwerfen) synchronisiert zwischen HA-Mitglieder.
Panorama
- Feature-Konfiguration wird von Panorama-Vorlagen unterstützt.
- Wenn Geräte herausschieben, die diese Funktion nicht unterstützt, wird die Funktion Konfiguration beschnitten werden.
Vor der PAN-OS 8.0 verwendet DoS und Schutzzone (Packetss) für SYN, UDP und andere IP-Hochwasserschutz, die weniger genau war.
In der PAN-OS 8.0 wurde Paket Preis geändert, um korrekt widerspiegeln (Anschlüsse/sec) in die Zone und DoS Profilseiten Konfiguration für SYN, UDP, andere IP Flood-Attacken.
PAN-OS 7.1 und vor:
# Set-profile DOS-Schutz TEST Flood TCP-SYN aktivieren Sie ja rot
+ Aktivierung-Rate-Paket (PPS), um rot
+ Alarm Rate-Paket-Rate (PPS) zu starten, um Alarm
+ Maximale Paket-Rate (PPS) erlaubt
> Block zu generieren Parameter für die Sperrung der
<Enter> Finish-Eingabe</Enter>
PAN-OS 8.0:
# Set-profile DOS-Schutz TEST Flood TCP-SYN aktivieren Sie ja rot
+ Aktivierung-Rate Verbindungs Rate (CPS), um rot
+ Alarm-Rate-Verbindungs Rate (CPS) zu starten, um Alarm
+ Maximale Geschwindigkeit zu erzeugen maximale Verbindungs Rate (CPS) erlaubt
> Block Parameter für die Sperrung der
<Enter> Finish-Eingabe</Enter>
Hinweis: in einer Multi-Vsys Umgebung befinden sich die Profile in den freigegebenen Pfad
# Set geteilte Profile...
Konfiguration
Paket Puffer SchutzSchwellen wurden zu ' Session-Einstellungen ' hinzugefügt, über Device Tab > Setup > Session. Diese Option ist standardmäßig deaktiviert, wobei die folgenden Schwellen definiert sind:
Paket Puffer Schutz -CheckBox ermöglicht es dem Benutzer, die globale Einstellung zu aktivieren/zu deaktivieren.
- Wenn diese Option aktiviert (geprüft), die Firewall wird behalten Sie den Überblick der erste Sitzungen (pro DP). Standard ist deaktiviert (unkontrolliert)
Alert (%) -Schwelle wird als Prozentsatz der Paket Puffer Auslastung ausgedrückt. Wenn die Warnschwelle erreicht ist, wird ein Ereignis protokollieren alle 10 Sekunden erstellt.
- Reichweite: 0 % - 99 %. Standard: 50 %. 0 % bedeutet Warnungen deaktivieren.
Aktivieren (%) -Schwelle wird als Prozentsatz der Paket Puffer Auslastung ausgedrückt. Wenn die Aktivierung Schwelle erreicht ist, startet die Firewall Milderung der erste missbräuchliche Sitzungen auf der Firewall auf die Zone(n), denen auf die Funktion aktiviert ist. Rot ist auf missbräuchliche Sitzungen identifiziert verwendet.
- Reichweite: 0 % - 99 %. Standardwert ist 50 %. 0 % bedeutet Minderung deaktivieren.
Blockhold -Zeit-in Sekunden ausgedrückt. Die Zeit der Sitzung weiter Paket Puffer missbräuchlich sein, auch nach rot umgesetzt wurde. Wenn die Sitzung Laufwerk Paketpuffer weiterhin, verwenden Sie die Activate-Schwelle und hinter der Zeit halten, wird die Sitzung verworfen.
- Bereich ist 0-65535 Sekunden. Standardwert ist 60 Sekunden.
Block Dauer -in Sekunden ausgedrückt. Die Zeit, die der Ablagestapel/Block ausgeführt wird.
- Bereich ist 1-15999999 Sekunden. Standardwert ist 3600 Sekunden.
Zone UI bietet nun eine Option für "Packet Buffer Schutz aktivieren," unterhalb der Zone Schutzprofil Auswahl Dropdown-Liste:
Zone-Schutzprofil beinhaltet auch eine Quelle Adresse Ausgrenzung Whitelist in Aufklärung Schutz.
- Adressen/Subnetze in die Whitelist werden befreit von Handlungen innerhalb der Aufklärung Schutzoptionen definiert.
- Beliebige Kombination von IPv4 und IPv6 wird unterstützt.
- IP-Adressbereiche werden unterstützt.
- FQDN Objekte werden derzeit nicht unterstützt.
- Bis zu 20 IP können Adressen/Objekte hinzugefügt werden.
- Obwohl jede Aktion befreit, wird Verkehr Protokolle Informationshinweise verweisen auf Whitelist IPs berichten.