PAN-OS 8.0: Protección de cortafuegos de DoS

La protección de Firewall de dos mejorará el cortafuegos con la capacidad de realizar un seguimiento de los abusadores de búfer de paquetes de Firewall superior y permitir que el administrador especifique un umbral global en el que se llevará a cabo la mitigación en las sesiones más abusivas.

La función también proporcionará la capacidad de direcciones IP de lista blanca para que el administrador pueda reducir aún más las posibilidades de falsos positivos que pueden afectar los servicios críticos, mientras que la protección del firewall.

La función dará CPS de MIB de SNMP para ayudar a los administradores comprender cómo configurar mejor las políticas existentes de la protección de la zona y DoS de seguimiento.

Soporte de plataformas

• Apoyo en todas las plataformas (hardware y VM-serie)
• Apoyado en plataformas FPGA y no FPGA
  para plataformas no FPGA, la mitigación se llevará a cabo en el software

Rendimiento

• Para activar esta función no adversamente afectar rendimiento de tráfico que no ha alcanzado el buffer de paquetes activa el umbral.
• Cuando se activa la mitigación, sesiones que no están siendo mitigadas no deberían ver penalizaciones de rendimiento si los búferes de paquetes no están maximizados.
• Si los búferes de paquetes están al máximo, se entiende que todas las sesiones pueden verseafectadas .

InterAcciones de características

Alta disponibilidad

• Configuración del dispositivo para la configuración de protección de Buffer del paquete y zona sincronizará entre / P y A/A HA los miembros.
• El estado de sesión para el A / P (rojo, descarte) sincronizará entre los miembros HA.

Panorama

• Se apoyará la característica configuración de plantillas de Panorama.
• Cuando sacas a los dispositivos que no admiten esta característica, configuración de la característica será podada.

Antes de PAN OS 8.0, DoS y la zona de protección utiliza (packetss) para la protección de la inundación SYN, UDP y otra IP que era menos precisa.

En PAN-OS 8.0, tasa de paquetes se ha modificado para reflejar correctamente (conexiones por segundo) en las páginas de configuración de Perfil de zona y DoS para el SYN, UDP, IP otros ataques de inundación.

PAN-OS 7.1 y previo:

# Set perfiles dos-prueba de protección inundación TCP-SYN activar sí rojo
 + Activar-tasa tarifa de paquete (PPS) para iniciar rojo + tarifa de tarifa
 de alarma (PPS) para generar alarma + tarifa máxima de tarifa máxima
 (PPS) permitido
 > bloque           Parámetros para bloquear
<Enter> entrada de acabado</Enter>             

PAN-OS 8.0:

# Set perfiles dos-prueba de protección inundación TCP-SYN activar sí rojo
 + Activar-tasa de conexiónde tarifa (CPS) para iniciar red + tasa de
 conexión de velocidad de alarma (CPS) para generar alarma + velocidad máxima
 de conexión máxima (CPS) permitida 
> bloquear parámetros para bloquear
<Enter> entrada de acabado</Enter>             

 Nota: en un entorno multi-vsys los perfiles se encuentran en el camino compartido

# configurar perfiles compartidos...

Configuración de

Los umbrales de protección del búfer de paquetes se han agregado a ' configuración de sesión ', a través de la ficha dispositivo > configuración > sesión. Esta opción está deshabilitada de forma predeterminada, con los umbrales siguientes definidos:

Protección de búfer de paquetes: la casilla de verificación permite al usuario habilitar/deshabilitar la configuración global. 

• Cuando habilitada (marcada), el cortafuegos se seguimiento de las sesiones principales (por DP). El valor predeterminado está deshabilitado (no se comprueba)

ALERT (%) -el umbral se expresa como un porcentaje de utilización del búfer de paquetes. Cuando se alcanza el umbral de alerta, se creará un evento de registro cada 10 segundos.

• Rango: 0% - 99%. Por defecto: 50%. 0% significa que para desactivar la alerta.

Activar (%) -el umbral se expresa como un porcentaje de utilización del búfer de paquetes. Cuando se alcanza el umbral de activación, el servidor de seguridad comenzará a mitigar las sesiones abusivas superior del servidor de seguridad en las zonas en que la característica está habilitada. ROJO se utiliza en sesiones abusivas identificadas.

• Rango: 0% - 99%. Por defecto es 50%. 0% significa que para desactivar la mitigación.

Bloquee el tiempo de retención -expresado en segundos. El tiempo de la sesión sigue siendo abusivo a búferes de paquetes incluso después de que se ha implementado la RED. Si la sesión continúa unidad packet buffer uso por encima del umbral de activación y el tiempo de espera configurado, el período de sesiones se descarta.

• Rango es 0-65535 segundos. Valor predeterminado es 60 segundos.

Duración del bloque-expresado en segundos. El tiempo que se realiza el bloque de descarte.

• Rango es 1-15999999 segundos. Por defecto es 3600 segundos.

Zona de interfaz de usuario ahora incluye una opción de 'Permitir Packet Buffer protección,' debajo de la selección del perfil de protección de zona desplegable:

Perfil de protección de la zona también incluye fuente dirección exclusión blanca dentro del reconocimiento de protección.

• Direcciones/subredes dentro de la lista blanca estarán exentas de las acciones definidas dentro de las opciones de protección de reconocimiento.
• Se admite cualquier combinación de IPv4 e IPv6.
• Se admiten rangos de dirección IP.
• Objetos FQDN no se admiten actualmente.
• Hasta 20 IP pueden añadirse direcciones/objetos.
• Aunque exenta de cualquier acción, registros de tráfico se informe alertas informativas hace referencia a la lista blanca de IPs.