ゾーンの保護プロファイル
Resolution
ゾーンの保護プロファイルは、一般的な洪水、偵察攻撃、他のパケット ベースの攻撃などの攻撃からネットワークを保護するために素晴らしい方法です。ゾーンの保護プロファイルとそれらの構成方法に関する詳細については、ビデオ チュートリアルを見てみましょう。
保護地域は、同様の設定を複数のゾーンに適用するテンプレートの構成を使用して設定できます。入口ゾーンにこれらの設定を適用!
ゾーンの保護プロファイルがネットワークで構成されている > ネットワーク プロファイル > ゾーンの保護。
あなたが見ることができる、私は 1 つをまだ構成を持っていません。
[追加] ボタンをクリックして 1 つを追加してそれに ZoneProtection のような役に立つ名前を与えます。
今すぐすべてのオプションの上に行きます。
3 つのタブがある通知-洪水保護/偵察保護/パケット ベースの攻撃に対する保護。
洪水保護の下で SYN フラッド、udp、ICMP 洪水や他の IP の洪水から保護するためにデバイスを構成できます。アラートの設定値がアクティブ化、および最大フィールドはゾーンの 1 つまたは複数の目的地へ 1 つまたは複数のホストから 1 秒あたりのパケット。ゾーンにパケットが率を構成するしきい値に一致するかどうかを決定する 1 秒の間隔でサンプリングされます。
SYN 洪水保護パン OS ドロップ ダウン リストで見ることができる SYN cookie またはランダムな初期ドロップをサポートします。
SYN クッキーのファイアウォールは、接続を検証するために TCP のハンドシェイクのための中間の男として機能します。
ランダム初期検知とパケット率がライセンス認証のしきい値は、0 の場合、ドロップ確率は 0、最大しきい値ドロップ確率が増加する範囲のアクティブ化のしきい値以内でに。率最大値を超える場合、すべてのパケットが破棄されます。
Alert:ゾーンによって受信された SYN パケットの数 (秒単位) で、攻撃アラームが発生します。ダッシュ ボードに、脅威ログ、アラームを表示できます。
アクティブ化:レッドまたは syn クッキーがトリガーされたときにゾーンに1秒あたりの syn パケットの数。
[最大]: 1 秒あたりに受信できる SYN パケットの最大数を入力します。任意の数の最大数を超えるパケットは削除されます。
ICMP 洪水保護適用名前が ICMP パケット (ICMPv6 用と同じ) に示すよう
警告: 1 秒あたりに受信した ICMP エコー要求 (ping) の数を入力して、攻撃アラームを発生させる。
[アクティブ化]: ゾーンによって受信された icmp パケットの数を入力して、後続の icmp パケットを削除します。
[最大]: 1 秒あたりに受信できる ICMP パケットの最大数を入力します。任意の数の最大数を超えるパケットは削除されます。
udp の洪水保護は、名前が udp パケットに示すように適用され
ます警告:攻撃アラームを発生させるゾーンが受信する udp パケットの数を入力します。
[アクティブ化]: udp パケットのランダムなドロップをトリガーするゾーンによって受信された udp パケットの数を入力します。
[最大]: 1 秒あたりに受信できる UDP パケットの最大数を入力します。任意の数の最大数を超えるパケットは削除されます。
最後に、ここでは、他の ip 洪水保護を持っている:
警告:攻撃アラームをトリガするゾーンによって受信された ip パケットの数を入力します。
[アクティブ化]: ip パケットのランダムなドロップをトリガするゾーンによって受信された ip パケットの数を入力します。IP パケットの数がしきい値を下回ったときに、応答は無効です。
[最大]: 1 秒あたりに受信できる IP パケットの最大数を入力します。任意の数の最大数を超えるパケットは削除されます。
注:パン-OS は、フラッド攻撃中に生成された脅威ログに送信元と宛先の IP アドレスを記録しません。通常攻撃は、スプーフィングされた IP アドレスまたはそれから来る洪水では、DDOS 攻撃でもかまいません。数百または数千のソース アドレスをログに記録する可能性があります。
前進、偵察の保護を使用する偵察の管理者の防止/警告する TCP および UDP ポートのようなスキャンとホスト スイープします。洪水の設定とは異なり、ここで構成するしきい値は偵察保護が構成されているゾーン内のホストに適用されます。
それぞれ別々 に保護を有効にするには、あなたが見ることができます。
アクションは次のとおりです:
許可:ポートスキャンの試行を許可する
警告:指定された時間間隔ブロック内のしきい値に一致する各スキャンのアラートを生成し
ます。ソースから宛先ブロック IP へのすべてのトラフィックを削除し
ます。指定された期間、それ以降のパケットをすべて削除します。ソース、変換先、またはソースと宛先トラフィックをブロックし、持続時間 (秒) を入力するかどうかを選択します。
間隔:開いているポートの連続するプローブ間の時間。それはネットワークに連続したプローブ (ICMP、TCP、UDP) 間の時間間隔、ホスト スイープ
しきい値:指定された時間間隔内に、ターゲット・ホスト上のスキャン・ポートの数が、偵察保護アクションをトリガします。
前進して、私たちはパケット ベースの攻撃に対する保護に行きます。 ここでいくつかのタブでは、追加の保護の多くの種類を提供しています。
IP ドロップを構成するのには、次の設定を指定できます。
| スプーフィングされた IP アドレス | IP アドレス スプーフィングからの保護を有効にするチェック ボックスを選択します。パン OS はトラフィックの発信元 ip アドレスが適切なインターフェイスに到着するかどうかを確認するのにデバイスのルーティング テーブルを使用します。これはそうではない場合、パケットは破棄されます。 |
| 厳格な IP アドレス チェック | 誤った形式のソースまたは宛先 IP アドレスのパケットを破棄する] チェック ボックスを選択します。たとえば、パケットにおいてソースまたはディスティネーション IP アドレス ネットワーク インターフェイスのアドレスと同じですがループバック アドレス、ブロードキャスト アドレス、リンク ローカル アドレスは、未指定アドレス、又は将来の使用のために予約を破棄します。 |
| 断片化されたトラフィック | 断片化された IP パケットを破棄します。 |
| 厳密なソース ルーティング | 厳密なソース ルーティング IP オプションを設定してパケットを破棄します。 |
| 非厳密なソース ルーティング | 緩やかな送信元ルーティング IP オプションを設定してパケットを破棄します。 |
| タイムスタンプ | タイムスタンプの IP オプションを設定してパケットを破棄します。 |
| レコードのルート | レコード ルートの IP オプションを設定してパケットを破棄します。 |
| セキュリティ | セキュリティ オプションが定義されている場合は、パケットを破棄します。 |
| ストリーム ID | ストリーム ID オプションが定義されている場合は、パケットを破棄します。 |
| 不明 | クラスと番号が不明な場合は、パケットを破棄します。 |
| 不正な形式 | クラス、番号、および RFC 791、2113、1393 1108 に基づく長さの正しくない組み合わせがある場合は、パケットを破棄します。 |
TCP をドロップするには、次の設定を指定できます。
重複している TCP セグメントが一致しない: 重複の不一致を報告し、セグメントのデータは、これらのシナリオでは一致しない場合、パケットをドロップするようにファイアウォールを引き起こします。
- セグメント別のセグメントです。
- セグメントは、別のセグメントの一部と重なります。
- セグメントは、別のセグメントをカバーしています。
この保護メカニズムは、シーケンス番号を使用して、パケットが TCP データ ストリーム内に存在を調べます。
分割ハンドシェイク: は、TCP セッションがセッション確立手順がよく知られている 3 ウェイ ハンドシェイクを使用しない場合に確立されることを防ぎます。4 ウェイや 5 ウェイの分割ハンドシェイクまたは同時オープン セッション確立手順は許されない変化の例を示します。
非 syn tcp を拒否: tcp セッションセットアップの最初のパケットが SYN パケットでない場合、パケットを拒否するかどうかを決定します。
- グローバル-CLI を通じて割り当てられるシステム全体の設定を使用します。
- はい、SYN TCP トラフィックを拒否します。
- いいえ、SYN TCP トラフィックを受け入れます。
非対称パス:同期していない ACKs またはウィンドウ外のシーケンス番号を含むパケットを削除するか、バイパスするかを決定します。
- グローバル-CLI を通じて割り当てられるシステム全体の設定を使用します。
- ドロップ-非対称パスを含むパケットをドロップします。
- バイパス-非対称パスを含むパケットのスキャンをバイパスします。
tcp タイムスタンプの削除:パケットがヘッダーに tcp タイムスタンプを持っているかどうかを判断し、その場合はヘッダーからタイムスタンプを取り除きます。
ICMP をドロップするには、次の設定を指定できます。
| ICMP Ping ID 0 | ICMP ping パケットが 0 の識別子の値を持っている場合は、パケットを破棄します。 |
| ICMP フラグメント | ICMP フラグメントで構成されるパケットを破棄します。 |
| ICMP 大きなパケット (> 1024) | 1024 バイトより大きい ICMP パケットを破棄します。 |
埋め込まれた ICMP を破棄します。 エラー メッセージ | エラー メッセージに埋め込まれている ICMP パケットを破棄します。 |
| 抑制する ICMP TTL 期限切れエラー | 停止送信 ICMP TTL 期限切れメッセージです。 |
| 必要な ICMP 断片を抑制します。 | 必要なインターフェイスの MTU を超えるとフラグメント (DF) でないかパケットへの応答でメッセージ ビット セット ICMP のフラグメンテーションを送信を停止します。 |
IPv6 をドロップするには、次の設定を指定できます。
| 0 ルーティング見出しを入力します。 | タイプ 0 のルーティング ヘッダーを含む IPv6 パケットを破棄します。タイプ 0 のルーティング ヘッダー情報の RFC 5095 を参照してください。 |
| IPv4 互換アドレス | RFC 4291 IPv4 互換 IPv6 アドレスとして定義されている IPv6 パケットを破棄します。 |
| ソースのエニー キャスト アドレス | エニー キャスト ソース アドレスを含む IPv6 パケットを破棄します。 |
| 言うまでもなくフラグメント ヘッダー | 最後の IPv6 パケットを破棄フラグメント フラグ (M = 0) とゼロのオフセット。 |
| 1280 バイト未満の ICMP の「パケット過大」MTU | 最大転送単位 (MTU) が 1280 バイトより小さいパケットも大きな ICMPv6 メッセージを含む IPv6 パケットを破棄します。 |
| ホップずつ延長 | ホップ バイ ホップ オプション拡張ヘッダーを含む IPv6 パケットを破棄します。 |
| ルーティング拡張機能 | その先への道に 1 つまたは複数の中間ノードにパケットを指示するルーティング拡張ヘッダーを含む IPv6 パケットを破棄します。 |
| 先拡張機能 | オプション専用のパケットの宛先を含む宛先オプション拡張子を含む IPv6 パケットを破棄します。 |
| 拡張ヘッダー内の IPv6 オプションが無効です。 | 拡張ヘッダーに無効な IPv6 オプションを含む IPv6 パケットを破棄します。 |
| 非ゼロの予約フィールド | ゼロに設定されない予約済みフィールドのヘッダーを持つ IPv6 パケットを破棄します。 |
ICMPv6 をドロップするには、次の設定を指定できます。
| ICMPv6 宛先到達不能 | 明示的なセキュリティ ルールの一致を必要とする: の宛先到達不能 ICMPv6 エラー既存のセッションに関連付けられている場合でも一致する明示的なセキュリティ ポリシーを必要とします。 |
| ICMPv6 パケットが大きすぎます | 明示的なセキュリティ ルールの一致を必要とする: 大きすぎる ICMPv6 エラー場合でも、既存のセッションに関連付けられているパケットを一致する明示的なセキュリティ ポリシーを必要とします。 |
| ICMPv6 時間超過 - 明示的なセキュリティ ルールの一致を必要とします。 | 明示的なセキュリティ ポリシー一致の時間超過 ICMPv6 エラー場合でも、既存のセッションに関連付けられている必要があります。 |
| ICMPv6 パラメーター問題 - 明示的なセキュリティ ルールの一致を必要とします。 | パラメーター問題 ICMPv6 エラー既存のセッションに関連付けられている場合でも、一致する明示的なセキュリティ ポリシーが必要です。 |
| ICMPv6 リダイレクト - 明示的なセキュリティ ルールの一致を必要とします。 | 明示的なセキュリティ ポリシーは ICMPv6 メッセージ場合でも、既存のセッションに関連付けられているリダイレクトの一致が必要です。 |
ゾーンにゾーンの保護プロファイルを適用するために我々 は、私たちのゾーンのページに移動し、私たちのプロファイルを適用しゾーンを編集します。単にゾーンの保護プロファイルの横にあるドロップダウン リストを使用して、以前に作成したプロファイルを選択し、変更をコミットします。
次のコマンドを使用して CLI でゾーンの保護プロファイルを確認できます。
ゾーン保護ゾーンを表示する<zone_name></zone_name>
例でわかるように、私の信頼ゾーンは今 ZoneProtection がそれに割り当てられているプロファイルを持っています。
これは、ゾーンの保護プロファイルに私のビデオを終了します。
いつものように、コメント欄にコメントを残してお気軽に。
乾杯 !
また見なさい
下記ビデオ チュートリアルに記載されている Rfc へのリンクがあります。