区域保护建议

运行中的 Palo Alto 网络设备 PAN-OS 提供广泛的下一代 firewall 功能，如应用 ID 和用户功能 ID ，以保护用户、网络和其他关键系统。 除了这些强大的技术外， PAN-OS 还通过使用区域保护配置文件保护恶意网络和传输层活动。 通过将这些配置文件应用到安全区域，您可以帮助抵御洪水、侦察和其他基于数据包的攻击。

在配置区域保护时，了解系统如何应用它们以及数据包处理的哪个阶段非常重要。 区域保护始终应用于入口接口, 因此, 如果您希望防止洪水或从 Internet 进行扫描, 您可以在包含不受信任的 internet 接口的区域上配置和应用配置文件。 希望加强其网络的安全管理员可以对内部和外部的所有接口应用区域保护, 以确保在整个环境中应用保护措施。 随着企业流动性的不断增强，这种零信任方法被越来越多的推荐。

此外，重要的是要了解，由于每个网络环境不同，应用保护行动的具体洪水阈值需要相应调整。 当越过任何配置的洪水阈值时, 将生成威胁日志, 如果需要使用日志, 则可以在外部转发。 要确定适合您的环境的配置, 请从确定高峰时段的平均网络活动开始, 以确定基线。 然后, 增量地调整阈值, 直到到达满足安全目标的点, 同时仍然允许网络活动正常波动的空间。 您将希望避免将激活值和最大阈值设置得过低，以避免中断合法流量，但也希望避免设置过高的阈值，以便它们仍然能够有效缓解不必要的流量峰值。

另一方面，一些基于数据包的攻击保护建议对所有组织适用得相当均等。 例如，"未知"和"畸形" IP 选项通常是不需要的，可以丢弃。 选择放弃"不匹配重叠 TCP 段"和"删除 TCP 时间戳"的选项可以防止某些回避技术通过该选项获得成功 firewall ，并且通常也推荐给所有客户。 此外，您可以通过启用防止"欺骗地址"来防止安全区的 IP 地址欺骗。这将确保只有与路由表匹配的源地址的流量 firewall 才会允许进入。

通过遵循上述建议，您可以帮助您的组织更加安全。

• 威胁预防部署技术说明
• 了解 DoS 保护
• Dos 保护和区域保护之间有什么区别？
• DoS 和区域保护最佳实践