ゾーンの保護に関する推奨事項

パロアルトネットワークスデバイスを実行すると PAN-OS firewall 、App-やUser-などの次世代の機能が豊富に用意 ID ID されており、ユーザー、ネットワーク、その他の重要なシステムを保護できます。 これらの強力なテクノロジに加えて、 PAN-OS ゾーン保護プロファイルを使用して、悪意のあるネットワークやトランスポート層のアクティビティに対する保護も提供します。 これらのプロファイルをセキュリティ ゾーンに適用すると、洪水、偵察、およびその他のパケット ベースの攻撃から防御できます。

ゾーン保護を設定する場合、システムによってどのように適用され、パケット処理の段階で適用されるのかを理解することが重要です。 ゾーン保護は常に進入インターフェイスに適用されるため、インターネットからの洪水やスキャンから保護する場合は、信頼できないインターネットインターフェイスを含むゾーンにプロファイルを構成して適用します。 さらに、ネットワークの強化を希望するセキュリティ管理者は、内部および外部のすべてのインターフェイスにゾーン保護を適用して、環境全体にわたって保護対策を適用することができます。 この種のゼロトラストアプローチは、企業のモビリティが増加し続けるにつれて、ますます推奨されています。

また、ネットワーク環境はそれぞれ異なるため、保護処置を適用するための特定のフラッドしきい値を調整する必要があることを理解しておくことが重要です。 設定された洪水のしきい値が交差すると、脅威ログが生成され、syslog を使用して必要に応じて外部に転送することができます。 環境に適した構成を決定するには、まず、ピーク時の平均ネットワークアクティビティを決定してベースラインを確立します。 次に、セキュリティ目標を満たすポイントに到達するまで、しきい値を段階的に調整し、ネットワークアクティビティの通常の変動を考慮します。 正当なトラフィックを中断しないように、アクティブ化と最大しきい値を低く設定しないようにする必要がありますが、トラフィック量の不要なスパイクを軽減するのに効果的になるように、高く設定しないようにする必要があります。

一方、パケットベースの攻撃保護に関する推奨事項の中には、すべての組織にいくらか等しく適用されるものもあります。 たとえば、「不明」および「不正な形式」 IP のオプションは、一般的に不要であり、ドロップすることができます。 「重複するセグメントの不一致 TCP 」と「タイムスタンプの削除」をドロップするオプション TCP を選択すると、特定の回避手法が を通じて成功するのを防ぐこと firewall ができ、一般にすべてのお客様に推奨されます。 さらに、「スプーフィングされたアドレス」に対する保護を有効にすることで、セキュリティ ゾーンでのアドレスのスプーフィングを防止できます IP 。これにより、ルーティング テーブルに一致する送信元アドレスを持つトラフィックのみが firewall 、入力で許可されます。

上記の推奨事項に従うことで、組織をより安全にする手助けとなります。

• 脅威防止展開に関するテクニカル ノート
• DoS 保護をについてください。
• Dos 保護とゾーン保護の違いは何ですか?
• DoS とゾーン保護のベスト プラクティス