区域保护配置文件
Resolution
区域保护配置文件是一个伟大的方式来帮助保护您的网络免受攻击,包括常见的洪水、侦察攻击和其他基于数据包的攻击。看看我们的视频教程来学习更多关于区保护配置文件,以及如何对它们进行配置。
可以使用模板配置将类似的设置应用于多个区域设置区域保护。这些设置将应用于入口区域!!
区域保护配置文件在网络上配置 > 网络配置文件 > 区保护。
正如你所看到的没有和一个尚未配置。
让我们添加一个通过单击添加按钮,给它一个有用的名称,如 ZoneProtection。
我现在去了所有的选项。
你有 3 个标签的通知 — — 洪水保护 / 侦察保护 / 包基于攻击保护。
洪水在保护下,您可以配置您的设备从 SYN 洪水、UDP 洪水、ICMP 洪水和其他 IP 洪水的保护。在警报中,设置的值激活,和最大的领域是每秒钟从一个或许多目的地区域中的一个或多主机的数据包。数据包发送到区的抽样一秒钟的时间间隔,以确定是否速率匹配您配置的阈值。
SYN 洪水攻击保护,泛 OS 支持 SYN cookie 或随机早期下降,正如你可以看到在下拉列表中。
SYN cookie,防火墙充当中间人的 TCP 握手以验证连接。
与随机早期下降,如果数据包速率介于 0 到激活阈值,丢弃概率为 0,最大阈值下降概率增加范围激活阈值内。率下降最大值以上,所有的数据包将被丢弃。
警报:区域收到的 SYN 数据包数 (秒), 触发攻击警报. 仪表板上和威胁日志中,可以查看警报。
激活:触发红色或 SYN cookie 时, 每秒到区域的 SYN 数据包数.
最大值:输入每秒能够接收的 SYN 数据包的最大数目. 任意数量的最高,超过的数据包将被丢弃。
ICMP 洪水保护适用如名称所表明的 ICMP 数据包 (为 ICMPv6 相同)
警报:输入每秒收到的 ICMP 回送请求 (ping) 触发攻击警报的次数.
激活:输入由区域接收的 icmp 数据包的数量, 导致随后的 ICMP 数据包被丢弃.
最大值:输入每秒能够接收的 ICMP 数据包的最大数目. 任意数量的最高,超过的数据包将被丢弃。
udp 防洪保护适用于名称指示 udp 数据包
警报:输入触发攻击警报的区域接收的 UDP 数据包数.
激活:输入触发随机丢弃 udp 数据包的区域接收的 udp 数据包数.
最大值:输入每秒能够接收的 UDP 数据包的最大数目. 任意数量的最高,超过的数据包将被丢弃。
最后, 在这里, 我们还有其他 IP 洪水保护:
警报:输入触发攻击警报的区域接收的 ip 数据包数.
激活:输入触发随机丢弃 ip 数据包的区域接收的 ip 数据包数. IP 数据包的数目低于阈值时,将禁用响应。
最大值:输入每秒能够接收的 IP 数据包的最大数目. 任意数量的最高,超过的数据包将被丢弃。
注意:泛 OS 不会在洪水攻击期间生成的威胁日志中记录源和目标 IP 地址. 通常洪水攻击来自伪造的 IP 地址或它甚至可以一次 DDOS 攻击。可能有数百或数以千计的源地址进行登录。
在向前迈进,侦察保护用来防止警报上侦察的管理员尝试像 TCP 和 UDP 端口扫描,和主机扫。洪水与设置不同,您在此处配置的阈值是适用于中区侦察保护在配置的主机。
正如你可以看到,您可以启用每个保护分开。
这些操作是:
允许端口扫描尝试
警报:为与指定时间间隔块中的阈值匹配的每个扫描生成警报: 将
源中的所有通信量除去到目标
块 IP:在指定的时间段内删除所有进一步的数据包. 选择是否阻止源、目标或源和目的地交通和输入持续时间 (秒)。
间隔:用于打开端口的连续探头之间的时间. 主机扫描对于连续探针 (ICMP/TCP/UDP) 到网络之间的时间间隔
阈值:目标主机上的扫描端口数, 在指定的时间间隔内将触发侦测保护操作.
我们向前迈进,转到基于数据包的攻击保护。 几个选项卡在这里提供许多类型的额外保护。
若要配置 IP 滴,你可以指定以下设置:
| 伪造的 IP 地址 | 选择该复选框以启用 IP 地址欺骗攻击的防护。潘 OS 设备上使用路由表来验证是否交通的源 IP 到达相应的接口。如果不是的这样的数据包将被丢弃。 |
| 严格 IP 地址检查 | 选择该复选框以丢弃与格式错误的源或目标 IP 地址的数据包。例如,丢弃的数据包的源或目标 IP 地址是网络接口地址相同,是一个广播的地址,环回地址,链路本地地址,是未指定的地址,或者是时保留供将来使用。 |
| 支离破碎的交通 | 丢弃零碎的 IP 数据包。 |
| 严格源路由 | 丢弃数据包与严格源路由 IP 选项集。 |
| 松散源路由 | 丢弃数据包与松散源路由 IP 选项集。 |
| 时间戳 | 丢弃的数据包带有时间戳 IP 选项集。 |
| 记录路由 | 丢弃的数据包带有记录路由 IP 选项集。 |
| 安全 | 如果定义了安全选项,请丢弃的数据包。 |
| 流 ID | 如果定义了流 ID 选项,丢弃的数据包。 |
| 未知 | 丢弃的数据包,如果类和数是未知的。 |
| 格式不正确 | 如果他们有不正确组合的类、编号和长度基于 RFC 791,1108年,1393 和 2113年,丢弃的数据包。 |
若要配置 TCP 下降,可以指定以下设置:
不匹配重叠 TCP 段: 导致防火墙丢弃该数据包,当部分数据不匹配在这些情况下,报告重叠不匹配:
- 线段是另一段内。
- 部分与另一个部分的一部分重叠。
- 这一类别包括的另一段。
这种保护机制使用序列号来确定数据包驻留在 TCP 数据流内。
拆分握手: 防止 TCP 会话正在建立如果会话建立过程不使用知名的 3 路握手。4 路或 5 路拆分握手或同时打开的会话建立过程是不会允许的变化的例子。
拒绝非 SYN TCP:如果 tcp 会话设置的第一个数据包不是 syn 数据包, 则确定是否拒绝该数据包:
- 全球 — — 使用通过 CLI 分配的全系统设置。
- 是的 — — 拒绝 SYN TCP 通信量。
- 不 — — 接受 SYN TCP 通信。
非对称路径:确定是除去还是绕过包含同步 ACKs 或窗口外序列号的数据包:
- 全球 — — 使用通过 CLI 分配的全系统设置。
- 滴 — — 丢弃数据包包含不对称的路径。
- 绕过 — — 绕过扫描数据包包含不对称的路径。
删除 TCP 时间戳:确定数据包在标头中是否有 TCP 时间戳, 如果有, 则从标头中剥离时间戳.
若要配置 ICMP 下降,可以指定以下设置:
| ICMP Ping ID 0 | 丢弃的数据包,如果 ICMP ping 数据包的标识符值为 0。 |
| ICMP 片段 | 丢弃 ICMP 碎片组成的数据包。 |
| 大的 ICMP 数据包 (> 1024年) | 丢弃大于 1024 个字节的 ICMP 数据包。 |
放弃嵌入的 ICMP 错误消息 | 放弃嵌入的错误信息的 ICMP 数据包。 |
| 抑制 ICMP TTL 过期错误 | 停止发送 ICMP TTL 过期消息。 |
| 抑制 ICMP 炸弹需要 | 停止发送 ICMP 碎片需要超越接口 MTU 而又做不片段 (DF) 的数据包响应邮件的设置位。 |
若要配置 IPv6 下降,可以指定以下设置:
| 键入 0 路由标题 | 丢弃包含类型 0 路由头的 IPv6 数据包。类型 0 路由标头信息,请参阅 RFC 5095。 |
| IPv4 兼容地址 | 丢弃被定义为 RFC 4291 IPv4 兼容 IPv6 地址的 IPv6 数据包。 |
| 选播源地址 | 丢弃包含选播源地址的 IPv6 数据包。 |
| 不必要片段标题 | 丢弃 IPv6 数据包,最后一个片段标志 (M = 0) 和偏移量为零。 |
| 在数据包太大的 ICMP 小于 1280 字节的 MTU | 丢弃包含数据包太大 ICMPv6 消息的最大传输单元 (MTU) 时小于 1280 字节的 IPv6 数据包。 |
| 逐个跃扩展 | 丢弃包含逐跳选项扩展标头的 IPv6 数据包。 |
| 路由扩展 | 丢弃包含路由扩展标头,到目的地的途中将数据包发送到一个或多个中间节点的 IPv6 数据包。 |
| 目标扩展 | 丢弃包含目的地选项扩展,其中包含选项仅用于该数据包的目的地的 IPv6 数据包。 |
| 扩展标头中的 IPv6 选项无效 | 丢弃包含无效的 IPv6 选项扩展标头中的 IPv6 数据包。 |
| 非零保留的字段 | 丢弃已具有一个保留字段的标头不设置为零的 IPv6 数据包。 |
若要配置 ICMPv6 下降,可以指定以下设置:
| ICMPv6 目标不可访问 | 要求显式安全规则匹配: 需要显式安全策略匹配的目标遥不可及的 ICMPv6 错误即使与现有的会话相关联 |
| ICMPv6 数据包太大 | 要求显式安全规则匹配: 需要显式安全策略匹配的数据包太大 ICMPv6 错误即使与现有的会话相关联 |
| ICMPv6 时间超过-需要显式安全规则匹配 | 需要显式安全策略匹配的时间超过了 ICMPv6 错误即使与现有的会话相关联。 |
| ICMPv6 参数问题-要求显式安全规则匹配 | 需要显式安全策略匹配的参数问题 ICMPv6 错误即使与现有的会话相关联。 |
| ICMPv6 重定向-需要显式安全规则匹配 | 需要显式安全策略匹配的重定向 ICMPv6 消息即使与现有的会话相关联。 |
以便适用于区区保护配置文件,我们可以去我们区的页面,编辑要应用我们的配置文件的区域。只需使用带保护配置文件旁边的下拉列表,选择你刚才创建的配置文件并提交更改。
您可以验证区保护配置文件中使用以下命令的 CLI。
显示区域保护区域<zone_name></zone_name>
正如你可以看到在示例中,我看区现在有 ZoneProtection 分配给它的配置文件。
我的视频区保护配置文件到此结束。
一如往常,随时在下面的评论栏中留言。
干杯!
请参见
下面是一些 Rfc 在视频教程中提到的链接: