PAN-OS 8.0 : Protection par pare-feu DoS

La protection contre le pare-feu dos améliorera le pare-feu avec la possibilité de suivre les abuseurs de tampons de paquets de pare-feu supérieurs et permettra à l'administrateur de spécifier un seuil global auquel l'atténuation aura lieu lors des sessions les plus abusives.

La fonctionnalité fournira également la capacité de la liste blanche des adresses IP pour permettre à l’administrateur afin de réduire davantage les risques de faux positifs qui peuvent influer sur les services essentiels, tout en protégeant le pare-feu.

La fonctionnalité fournira SNMP MIB CPS suivi pour aider les administrateurs à comprendre comment mieux configurer les politiques de protection de Zone et DoS existantes.

Prise en charge de plate-forme

• Prise en charge sur toutes les plateformes (matérielles et VM-série)
• Prise en charge sur les plates-formes FPGA et non-FPGA
  pour les plates-formes non FPGA, l'atténuation aura lieu dans les logiciels

Performances

• Activation de cette fonctionnalité ne pas négativement affecter les performances de débit du trafic qui n’a pas atteint la mémoire tampon de paquets activent seuil.
• Lorsque des mesures d’atténuation est activé, les sessions qui ne sont pas atténuées grâce ne doivent pas voir une dégradation des performances si les tampons de paquets ne sont pas surexploités.
• Si les mémoires tampons de paquets sont maximisés, il est entendu que toutes les sessions peuvent être touchées.

Interactions de fonctionnalités

Haute disponibilité

• Paramètres de configuration Packet tampon de Protection et de la Zone périphérique synchronise entre A / P et a/a HA membres.
• État de session pour A / P (rouge, jeter) va synchroniser entre membres des AP.

Panorama

• Configuration de la fonctionnalité sera soutenue de modèles de Panorama.
• En poussant aux appareils qui ne prennent pas en charge cette fonctionnalité, configuration de la fonctionnalité va être taillée.

Avant PAN-OS 8.0, DoS et Zone Protection utilise (packetss) pour protection contre les inondations SYN, UDP et autres IP, qui a été moins précise.

Dans PAN-OS 8.0, taux de paquet a été modifié pour refléter correctement (connexions/s) dans les pages de configuration de profil Zone et DoS de SYN, UDP, IP autres attaques par saturation.

PAN-OS 7.1 et versions antérieures :

# Set profils dos-protection TEST Flood TCP-SYN activer Oui rouge
 + Activer-taux de paquets de vitesse (PPS) pour démarrer rouge
 + taux d'Alarme-taux de paquets (PPS)pour générer l'alarme
 + taux maximal de paquets maximum (PPS) autorisé
 > bloc           Paramètres pour bloquer l'
<Enter> entrée de finition</Enter>             

PAN-OS 8.0 :

# Set profils dos-protection TEST Flood TCP-SYN activer Oui rouge
 + Activer taux de connexion taux (CPS) pour démarrer rouge
 + taux d'Alarme-taux de connexion (CPS) pour générer l'alarme
 + taux maximal de connexion (CPS) autorisé 
> Block paramètres pour bloquer l'
<Enter> entrée de finition</Enter>             

 Remarque : dans un environnement multi-vsys les profils sont trouvent dans le chemin d’accès partagé

# définir les profils partagés...

Configuration

Les seuils de protection de la mémoire tampon de paquets ont été ajoutés aux «paramètres de session» via l' onglet Device > Setup > session. Cette option est désactivée par défaut, avec les seuils suivants définis:

Protection de tampon de paquet-CheckBox permet à l'utilisateur d'activer/désactiver le paramètre global. 

• Lorsque activée (cochée), le pare-feu garder trace des sessions albums (par DP). La valeur par défaut est désactivée (non cochée)

Alert (%) -le seuil est exprimé en pourcentage de l'utilisation du tampon de paquets. Lorsque le seuil d’alerte est atteinte, un journal d’événements est créé toutes les 10 secondes.

• Gamme : 0 % - 99 %. Par défaut : 50 %. 0 % signifie désactiver l’alerte.

Activer (%) -le seuil est exprimé en pourcentage de l'utilisation du tampon de paquets. Lorsque le seuil d’activation est atteint, le pare-feu commencera à atténuer les albums sessions abusives sur le pare-feu sur la zone sur que la fonctionnalité est activée. ROUGE est utilisé sur des sessions abusives identifiées.

• Gamme : 0 % - 99 %. Valeur par défaut est de 50 %. 0 % signifie s’éteigne d’atténuation.

Bloquer le temps de maintien -exprimé en secondes. Le temps de la session continue d’être abusif aux tampons paquet même après que rouge a été mis en place. Si la session se poursuit à usage de tampon paquet lecteur au-dessus du seuil d’activation et passé le temps d’attente programmé, la session est ignorée.

• Se situe entre 0 et 65535 secondes. Valeur par défaut est 60 secondes.

Durée du bloc -exprimée en secondes. Moment de l’exécution le jeter/bloc.

• Se situe entre 1-15999999 secondes. Valeur par défaut est 3 600 secondes.

Zone de l’interface utilisateur inclut désormais une option pour « Activer Packet tampon Protection, » sous la sélection du profil de Protection de Zone déroulante :

Profil de Protection zone comprend également une liste d’Exclusion adresse Source au sein de la Protection de la Reconnaissance.

• Adresses/sous-réseaux au sein de la liste blanche sera exonérés de toute action définie dans les options de Protection de la Reconnaissance.
• N’importe quelle combinaison d’IPv4 et IPv6 est pris en charge.
• Plages d’adresses IP sont pris en charge.
• Objets de nom de domaine complet ne sont actuellement pas pris en charge.
• Jusqu'à 20 IP adresses/objets peuvent être ajoutés.
• Bien qu’exempté de toute action, trafic journaux rendra compte des alertes d’information référencement IPs en liste blanche.