DoS 保護とゾーン保護の違い

DoS 保護ポリシーを使用すると、ゾーン保護ポリシーと同じものをいくつか実行できますが、いくつかの重要な違いがあります。

• 主な違いは、DoS ポリシーを分類または集計することができます。ゾーン保護ポリシーは集約できます。
  • 分類されたプロファイルを使用すると、単一のソース IP に適用されるしきい値を作成できます。

    たとえば、ポリシーに一致するすべてのトラフィックに対して ip あたりの最大セッションレートを作成し、しきい値がトリガーされた後にその単一の ip アドレスをブロックすることができます。

  • 集計プロファイルを使用すると、ポリシーに一致するすべてのパケットに対して最大セッションレートを作成できます。このしきい値は、すべての ip 結合の新しいセッションレートに適用されます。しきい値がトリガーされると、ポリシーに一致するすべてのトラフィックに影響します。
• ゾーン保護ポリシーは、洪水保護の使用を可能にし、ポート scanning\sweeps とパケットベースの攻撃から保護する機能を備えています。いくつかの例では、IP スプーフィング、フラグメント、重複セグメントは、tcp 非 syn を拒否されます
• ゾーン保護プロファイルは、セッション前に適用され、ポリシーエンジンに関与しないため、パフォーマンスへの影響が少ない場合があります。

所有者: jteetsel