So richten Sie DoS-Schutz
Resolution
Verwenden ein DoS-Schutz-Regelwerk, können Administratoren konfigurieren Richtlinien, um sich vor DoS-Angriffen zu schützen. Die Regelbasis konfigurieren finden Sie unter Richtlinien > DoS-Schutz. Diese Richtlinien können konfiguriert werden, um Zone, Schnittstelle, IP-Adresse oder Benutzername Informationen als Match-Bedingungen zu entsprechen.
DoS-Schutz-Profile verwenden, können Sie Regeln erstellen, DoS ähnlich wie Sicherheitsrichtlinien, ermöglicht Datenverkehr auf den konfigurierten Kriterien basieren. Diese Profile sind so konfiguriert, unter der Registerkarte "Objekte" > Sicherheitsprofile > DoS-Schutz.
Zuerst musst du den Profiltyp angeben. Sie können zwischen Aggregat oder klassifiziert wählen.
- Aggregat: die im Profil konfigurierten DOS-Schwellen auf alle Pakete anwenden, die den Regel Kriterien entsprechen, auf denen dieses Profil angewendet wird. Beispielsweise zählt eine zusammengefasste Regel mit einem SYN-Flut-Schwellenwert von 10000 Pakete pro Sekunde (Pps) alle Pakete, die diese bestimmte DoS-Regel getroffen.
- Klassifiziert: die im Profil konfigurierten DOS-Schwellen auf alle Pakete anwenden, die das Klassifizierungs Kriterium erfüllen (Quelle IP, Destination IP oder Source-und-Destination IP).
Die DoS-Schutz-Profile können verwendet werden, um verschiedene Arten von DoS-Attacken zu verringern.
Hochwasserschutz ist ähnlich dem in Zone Schutzprofile verwendet. Bei SYN-Überschwemmungen haben wir SYN -Cookie und zufällige frühe Tropfen (rot) als verfügbare Optionen. Für die anderen Arten der Flut wird rot verwendet. Sie werden die gleichen Konfigurationsmöglichkeiten wie in Zone Schutzprofile bemerken. Darüber hinaus gibt es auch Block Dauer, das ist die Zeit in Sekunden, die die beleidigende IP-Adresse verweigert wird.
Neben Hochwasserschutz bieten wir auch Ressourcenschutz. Diese Art des Schutzes erzwingt eine Quote für Ihre Gastgeber. Es beschränkt die maximale Anzahl der Sitzungen für eine bestimmte IP-Quelladresse, Ziel-IP-Adresse oder IP-Quelle-Ziel-paar erlaubt.
Als nächstes gehen wir zur Politik > DoS-Schutz DoS ähnlich wie erstellen Sie eine Richtlinie wir eine Sicherheitsregel erstellen.
Wie Sie sehen können, ähneln sich die meisten Parameter von Sicherheitsregeln.
Nachdem Sie der Regel einen Namen gegeben haben, die Quelle, das Ziel und die Dienste konfiguriert haben, können Sie das Profil mit dem Aggregat-Dropdown-an Ihre Regel anhängen oder Sie können auf neuen DOS-Schutz klicken , um einen neuen zu erstellen.
Die verschiedenen Aktionen sind leugnen/erlauben/schützen.
Deny -Drop alle Verkehr
Erlauben -den gesamten Verkehr zulassen
Schutz -Durchsetzungs Schutz in den Schwellen, die als Teil des DOS-Profils auf diese Regel angewendet werden, zur Verfügung gestellt.
Mit Hilfe des Zeitplans können Sie einen Zeitplan zuweisen, um die DOS-Regel auf ein bestimmtes Datum/Uhrzeit anzuwenden.
Mit dem Log-Forwarding- Dropdown können Sie die Log-Weiterleitung so konfigurieren, dass Sie Ihre Bedrohungs Protokolle an einen externen Dienst wie einen Syslog-Server oder ein Panorama weiterleiten.
Für dieses Tutorial habe ich bereits einen klassifizierten DoS Schutz Profiltyp. Wenn Sie das Kästchen aktivieren, können Sie den klassifizierten Profiltyp über das Profil- Dropdown--Menü auswählen. Im folgenden können Sie im Adress- Dropdown die Klassifikations Kriterien auswählen, die ich bereits erwähnt habe (Quelle-IP-only/Ziel-IP-only/src-dest-IP-beides).
Im Beispiel haben Sie ein Aggregat und einer klassifizierten DoS Schutzprofil so konfiguriert, dass die gleiche DoS-Regel.
Klicken Sie auf OK und verpflichten Sie sich, Ihre Konfiguration zu speichern.
Die CLI verwenden, überprüfen Sie Ihre DoS-Regeln-Einstellungen mit dem folgenden Befehl:
> DOS-Schutzregel <name>Einstellungen</name> anzeigen
Wie im Beispiel zu sehen, haben wir in der Regel mit DoS
- Name = DosRule
- aggregieren Profil = DosProtection
- klassifiziert Profil = Dos_classified
- Einstufungskriterien = Quelle nur
- Aktion = schützen
In der Ausgabe sehen Sie auch die Schwellenwerte, die Sie in den Profilen konfiguriert haben.
Dies schließt das Video auf DoS-Schutz. Fühlen Sie sich frei, Anregungen in den Kommentaren unten zu verlassen.
Vielen Dank,
-Kim
Hier finden Sie Links zu anderen nützlichen Dokumenten mit Beispielen und Themen diskutierten wir im Video: