Recommandations de Protection de zone
Resolution
Les appareils Palo Alto Networks en PAN-OS cours d’exécution offrent un large éventail de fonctionnalités de nouvelle génération telles firewall que l’application et ID l’utilisateur pour ID protéger les utilisateurs, les réseaux et d’autres systèmes critiques. En plus de ces technologies puissantes, offre également PAN-OS une protection contre les activités de réseau malveillant et de couche de transport en utilisant des profils de protection de zone. En appliquant ces profils aux zones de sécurité, vous pouvez aider à vous défendre contre les inondations, la reconnaissance et d’autres attaques basées sur des paquets.
Lors de la configuration des protections de zone, il est important de comprendre comment elles sont appliquées par le système, et à quel stade du traitement des paquets. Les protections de zone sont toujours appliquées sur l'interface d'infiltration, donc si vous souhaitez vous protéger contre les inondations ou les scans à partir d'internet, vous devez configurer et appliquer le profil sur la zone contenant l'interface Internet non fiable. Les administrateurs de sécurité désireux de durcir leurs réseaux encore plus peuvent appliquer des protections de zone à toutes les interfaces, internes et externes, pour s'assurer que des mesures de protection sont appliquées dans tout l'environnement. Ce type d’approche de confiance zéro est de plus en plus recommandé à mesure que la mobilité dans l’entreprise continue d’augmenter.
En outre, il est important de comprendre que, parce que chaque environnement réseau est différent, les seuils d’inondation spécifiques pour appliquer des mesures de protection devront être ajustés en conséquence. Lorsqu'un seuil d'inondation configuré est croisé, un journal des menaces est généré et peut être transmis à l'extérieur si vous le souhaitez à l'Aide de syslog. Pour déterminer quelle configuration convient à votre environnement, commencez par déterminer votre activité réseau moyenne pendant les heures de pointe pour établir une ligne de base. Ensuite, ajustez graduellement les seuils plus bas jusqu'à ce que vous atteigniez un point qui répond à vos objectifs de sécurité, tout en laissant place aux fluctuations normales de l'activité réseau. Vous voudrez éviter de fixer les seuils d’activation et de maximum trop bas afin d’éviter de perturber le trafic légitime, mais aussi éviter de les fixer trop haut afin qu’ils soient toujours efficaces pour atténuer les pics indésirables dans le volume de trafic.
D’autre part, certaines recommandations relatives à la protection contre les attaques basées sur les paquets s’appliquent un peu également à toutes les organisations. Par exemple, les options « inconnues » et « malformées IP » sont généralement indésirables et peuvent être abandonnées. Le choix des options pour supprimer les « segments qui se chevauchent TCP mal » et « supprimer TCP l’humidité du temps » peut empêcher certaines techniques d’évasive de réussir firewall à travers le , et sont également généralement recommandés pour tous les clients. En outre, vous pouvez empêcher l’usurpation d’adresse dans les zones de sécurité en permettant une protection contre les « adresses IP usurpées ».Cela garantira que seul le trafic avec les adresses source qui correspondent firewall à la table de routage sera autorisé sur l’entrée.
En suivant les recommandations ci-dessus, vous pouvez contribuer à rendre votre organisation encore plus sûre.
Additional Information
- Note technique de déploiement de prévention des menaces
- Protection de DoS de compréhension
- Quelles sont les différences entre la protection dos et la protection de zone?
- Pratiques exemplaires en matière de protection des dos et des zones