パン-OS 8.0: DoS ファイアウォール保護

パン-OS 8.0: DoS ファイアウォール保護

27682
Created On 09/25/18 18:55 PM - Last Modified 07/18/19 20:11 PM


Resolution


この記事では、PAN-OS 8.0 で導入された新しい機能または機能について説明します。このトピックまたは汎 OS 8.0 全般について詳しく知りたい場合は、世界クラスの技術文書を確認してください

 

DoS ファイアウォール保護により、ファイアウォールを強化して、トップファイアウォールのパケットバッファ乱用者を追跡し、最も不適切なセッションで緩和が行われるグローバルしきい値を指定することができます。

 

機能は、管理者がファイアウォールを保護しながら、重要なサービスに影響を与えることができる偽陽性の可能性をさらに削減できるようにホワイト リストの IP アドレスに機能を提供しても。

 

機能は、SNMP MIB CPS 管理者より既存のゾーンと DoS の保護ポリシーを構成する方法を理解できるようにする追跡を提供します。

 

 

プラットフォームのサポート

  • すべてのプラットフォーム (ハードウェアおよび VM シリーズ) でサポートされています。
  • fpga 以外のプラットフォームにも対応しており、非 fpga プラットフォームでは
    ソフトウェアの緩和が行われます。

 

パフォーマンス

  • この機能を有効にするは悪影響パケット バッファーに達していないトラフィックのスループット パフォーマンスに影響はアクティブ化のしきい値。
  • 軽減されていないセッションが緩和をアクティブにすると、パケット バッファーが限界に達していない場合、パフォーマンスの低下は表示されません。
  • パケットバッファが限界を超えると、すべてのセッションが影響を受ける可能性 があることがわかります。

 

機能の相互作用

 

高可用性

  • A 間同期パケット バッファー保護およびゾーン構成のデバイス設定/P と a/a が HA のメンバー。
  • A のセッション状態/P (赤、破棄) HA メンバー間で同期されます。

パノラマ

  • パノラマ テンプレートから機能の構成がサポートされます。
  • この機能をサポートしていないデバイスへの転送、機能の構成が排除されます。

 

パン OS 8.0 前に DoS と保護地域は、精度が低くなったその他 IP、UDP、SYN 洪水保護用 (packetss) を使用します。

7.1 dos profile.png

 

パン OS 8.0 でパケット レート変更されています (接続/秒) を正しく反映するゾーンと DoS のプロファイル設定ページで syn フラッド攻撃の他の IP、UDP。

dos プロファイル 8.png

パン OS 7.1 と前:

# セットプロファイル dos-保護テスト洪水 tcp-syn を有効にする yes 赤 + アクティブレートパケットレート (pps) は、アラーム

を生成するために赤 + アラームレートパケットレート (pps) を起動する
 + 最大レート最大パケットレート (pps) 許可
> ブロック          
<Enter>終了入力</Enter>   をブロックするためのパラメータ

パン-OS 8.0:

# セットプロファイル dos-保護テスト洪水 tcp-syn を有効にする yes 赤
+ アクティブ-レート接続率 (cps) を起動するには
+ アラームレート接続率 (cps)を生成するアラーム
+ 最大レート最大接続率 (cps) を許可
>
<Enter>終了入力</Enter>   のブロックパラメータ

 注: マルチ vsys 環境プロファイル共有パスにあります。

# 共有プロファイルを設定...

 

設定

 

[デバイス] タブ > [セットアップ] > [セッション ] を使用して、パケットバッファ保護のしきい値が [セッション設定] に追加されました。このオプションは既定で無効になっており、次のしきい値が定義されています。

パケット バッファー protection.png

 

パケットバッファ保護-チェックボックスを使用すると、グローバル設定を有効/無効にすることができます。 

  • 有効にする (オン) にすると、ファイアウォールがの追跡 (DP) ごとの上位セッション。デフォルトは無効 (オフ)

警告 (%)-しきい値は、パケットバッファの使用率のパーセンテージで表されます。警告のしきい値に達すると、ログ イベントが 10 秒ごと作成されます。

  • 範囲: 0% 99%。既定値: 50%。アラートをオフに 0% を意味します。

アクティブ化 (%)-しきい値は、パケットバッファの使用率のパーセンテージで表されます。アクティブ化のしきい値に達すると、ファイアウォール機能がオンのゾーン上にファイアウォール上トップの虐待セッションを軽減する開始されます。赤は、虐待的なセッションの識別に使用されます。

  • 範囲: 0% 99%。既定値は 50% であります。0% 軽減をオフにすることを意味します。

ブロックホールド時間-秒単位で表します。セッションの時間は、赤が実装されている後でさえも、パケット バッファーに虐待を続けています。ドライブ パケット バッファー使用アクティブ化のしきい値を超えると過去のホールド時間設定するセッションが引き続き発生する場合は、セッションは破棄されます。

  • 範囲は 0-65535 秒。デフォルトは 60 秒です。

ブロック期間-秒単位で表されます。破棄/ブロックの実行時間。

  • 範囲は 1-15999999 秒です。デフォルトは 3600 秒です。

 

ゾーン UI 今 ' バッファー パケットの保護を有効にする、' のゾーンの保護プロファイルの選択ドロップダウンの下にオプションがあります。

ゾーン パケット バッファー protection.png

 

ゾーンの保護プロファイルには、偵察保護内のソース アドレス除外ホワイト リストも含まれています。

  • ホワイト リスト内のアドレス/サブネットは偵察保護オプション内で定義された行為から免除されます。
  • IPv4 と IPv6 の任意の組み合わせをサポートします。
  • IP アドレスの範囲がサポートされています。
  • FQDN オブジェクトは現在サポートされていません。
  • 最大 20 IP アドレス/オブジェクトを追加できます。
  • その操作から除外されて、トラフィック ログはホワイト リストに登録 ip アドレスを参照する情報アラートを報告します。

偵察 whitelist.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRmCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language