Created On 09/26/18 13:44 PM - Last Modified 06/08/23 10:27 AM
Resolution
DoS 保護ルールベースを使用すると、管理者は、DoS 攻撃から彼ら自身を保護するためにポリシーを構成できます。 これを構成するルールベースはポリシーの下で見つけることができます > DoS 保護。これらのポリシーは、ゾーン、インターフェイス、一致条件として IP アドレスまたはユーザー情報を一致するように構成できます。
DoS 保護プロファイルを使用して、あなたは構成された条件に基づいてトラフィックを許可するセキュリティ ポリシーと同様に DoS ルールを作成できます。[オブジェクト] タブの下でこれらのプロファイルが構成されている > セキュリティ プロファイル > DoS 保護。
まず、プロファイルの種類を指定する必要があります。集計または分類 のいずれかを選択できます。
[集計]: プロファイルで構成されている DoS しきい値を、このプロファイルが適用されているルールの条件に一致するすべてのパケットに適用します。たとえば、10000 パケット/秒 (pps) の SYN 洪水しきい値を持つ集計ルールは、特定の DoS ルールをヒットするすべてのパケットをカウントします。
分類: プロファイルに設定されている DoS しきい値を、分類基準を満たすすべてのパケットに適用します (発信元 ip、宛先 ip、またはソースと宛先の ip)。
DoS 保護プロファイルは、いくつかの種類の DoS 攻撃を軽減するために使用できます。
洪水保護ゾーンの保護プロファイルで使用されるものに似ています。syn の洪水のために、我々は 利用可能なオプションとして syn クッキーとランダムアーリードロップ (赤) を持っている。洪水の他の種類の赤を使用します。ゾーンの保護プロファイルのように同じ構成オプションがわかります。また、ブロック期間もあり、これは、問題の IP アドレスが拒否される秒単位の時間です。
洪水保護に加え、資源保護も提供しています。このタイプの保護は、あなたのホストのクォータを適用します。それは、特定のソース IP アドレスや宛先 IP アドレス、IP 送信元-送信先のペアのために許可されるセッションの最大数を制限します。
次にポリシーに行こう > DoS 保護 DoS ポリシーをセキュリティ規則を作成する場合と同様に作成します。
あなたが見ることができる、ほとんどのパラメーターは、セキュリティ規則に似ています。
ルールに名前を付けた後、ソース、デスティネーション、およびサービスを設定すると、[集計] ドロップダウンを使用してプロファイルをルールにアタッチしたり、[新しい DoS 保護 ] をクリックして新しいファイルを作成したりできます。
さまざまな動作が拒否/許可/保護です。
拒否-すべてのトラフィックを削除
許可-すべてのトラフィックを許可する
保護-この規則に適用される DoS プロファイルの一部として構成されているしきい値で提供される保護を強制します。
[スケジュール] ドロップダウンを使用して、特定の日付/時刻に DoS ルールを適用するスケジュールを割り当てることができます。