潘-OS 8.0: DoS 防火墙保护
Resolution
本文重点介绍了在 PAN OS 8.0 中引入的新功能或功能。如果您想了解有关此主题或泛 OS 8.0 的详细信息, 您还需要查看我们的世界级技术文档.
DoS 防火墙保护将增强防火墙的功能, 以跟踪顶级防火墙数据包缓冲区滥用者, 并允许管理员指定一个全局阈值, 在这种情况下, 将在最滥用的会话上进行缓解。
该功能还将提供到白名单的 IP 地址允许管理员进一步减少误报可以同时保护防火墙影响关键服务的机会的能力。
该功能将提供跟踪,以帮助管理员了解如何更好地配置现有的区域和 DoS 保护策略的 SNMP MIB CPS。
平台支持
- 支持在所有平台上 (硬件和 VM 系列)
- 在 fpga 和非 fpga 平台上支持
非 fpga 平台, 将在软件中进行缓解
性能
- 启用此功能不会产生不利影响吞吐量性能未达到数据包缓冲区的交通的激活阈值。
- 当激活时缓解时,不被减轻的会话不应该看到性能处罚如果数据包缓冲区不刷爆了。
- 如果数据包缓冲区已透支, 则可以理解所有会话都可能受到影响.
功能交互
高可用性
- 设备设置为数据包缓冲区保护和区域的配置将会同步之间 A / P 和医管局 a/a 的成员。
- 会话状态为 A / P (红色,放弃) 将房委会成员之间的同步。
全景
- 将从全景模板支持功能配置。
- 当推向不支持此功能的设备,该功能的配置将被修剪。
在潘 OS 8.0 之前, DoS 和区域保护使用 (packetss) 为 SYN,UDP 和其他 IP 的防洪,这是不太准确。
在潘 OS 8.0,包率已被修改以正确反映 (连接/秒) 区和 DoS 配置文件配置页中的 SYN,UDP,其他 IP 洪水袭击。
潘 OS 7.1 和之前︰
# 设置配置文件 dos 保护测试洪水 tcp syn 启用 yes 红色
+ 激活速率包速率 (pps)启动红色
+ 警报速率包速率 (pps) 生成警报
+ 最大速率最大包速率 (pps) 允许的
> 块 阻塞
<Enter>完成输入</Enter> 的参数
潘-OS 8.0:
# 设置配置文件 dos 保护测试洪水 tcp syn 启用 yes 红色
+ 激活速率连接速率 (cps) 启动红色
+ 警报速率连接速率 (cps) 以生成警报
+ 最大速率最大连接速率 (cps) 允许
>> 阻塞
<Enter>完成输入</Enter> 的块参数
注意︰ 在多 vsys 环境配置文件位于共享路径
# 设置共享配置文件..。
配置
数据包缓冲区保护阈值已添加到 "会话设置" 中, 通过设备选项卡 >> 安装程序 > 会话. 默认情况下禁用此选项, 并定义以下阈值:
数据包缓冲保护-复选框允许用户启用/禁用全局设置.
- 当启用 (选中),防火墙将跟踪的顶级会议上的 (每 DP)。禁用默认值 (未选中)
警报 (%)-阈值表示为数据包缓冲区利用率的百分比. 警报阈值达到时,将创建日志事件每隔 10 秒。
- 范围︰ 0%-99%。默认值︰ 50%。0%意味着要关闭警报。
激活 (%)-阈值表示为数据包缓冲区利用率的百分比. 当达到激活阈值时,防火墙将开始减轻顶级虐待会议在区域上的防火墙上启用的功能。红色用上虐待的会话标识。
- 范围︰ 0%-99%。默认值为 50%。0%意味着要关闭缓解。
块保持时间-以秒表示. 会议时间继续红推行后甚至会虐待数据包缓冲区。如果使用上述激活阈值和过去设置的保持时间,会话将被丢弃,则会话将继续到驱动器数据包缓冲区。
- 范围是 0-65535 秒。默认值为 60 秒。
块持续时间-以秒表示. 丢弃/块执行的时间。
- 范围是 1 15999999 秒。默认值为 3600 秒。
UI 区现在包括一个选项为 ' 启用数据包缓冲区保护,' 下区保护配置文件选择下拉︰
区域保护配置文件还包含源地址排除白名单内侦察保护。
- 在白名单内的子网地址将免于在侦察保护选项中定义的任何操作。
- 支持 IPv4 和 IPv6 的任意组合。
- 支持 IP 地址的范围。
- 目前不支持 FQDN 对象。
- 高达 20 IP 地址/对象可以添加。
- 虽然豁免的任何行动,交通日志将报告引用列入白名单的 Ip 信息警报。