使用 DoS 保护库,管理员可以配置策略以保护自己免受 DoS 攻击。 库此配置可以发现下政策 > DoS 保护。可以配置这些策略来匹配区、接口、IP 地址或用户信息作为匹配条件。
使用 DoS 保护配置文件,您可以创建 DoS 规则很像安全策略允许基于配置标准的交通。这些配置文件是在对象选项卡下 > 安全配置文件 > DoS 保护。
首先,您将需要指定配置文件类型。您可以在合计或分类 之间进行选择。
- 聚合: 将配置文件中配置的 DoS 阈值应用于与应用此配置文件的规则条件相匹配的所有数据包. 例如,聚合规则 SYN 洪水阈值为每秒 (pps) 10000 数据包计数击中那特定的 DoS 规则的所有数据包。
- 分类: 将配置文件中配置的 DoS 阈值应用于满足分类标准 (源 ip、目标 ip 或源和目标 ip) 的所有数据包.
DoS 保护配置文件可以用于减轻几种类型的 DoS 攻击。
防洪是类似于区保护配置文件中使用。对于 syn 洪水, 我们有syn Cookie和随机早期下降(红色) 作为可用的选项. 对于其他类型的洪水,使用红色。你会注意到在区域保护配置文件相同的配置选项。此外, 还有块持续时间, 即违反IP 地址将被拒绝的时间 (以秒为单位).
除了防洪,我们还提供了资源保障。这种类型的保护为您的主机强制配额。它限制为特定的源 IP 地址、目标 IP 地址或 IP 源目标对允许的会话的最大数目。
下一步我们将去政策 > DoS 保护创建 DoS 策略类似于我们创建一条安全规则的方法。
正如你所看到的大多数参数是类似于安全规则。
在给规则命名后, 配置源、目标和服务后, 可以使用聚合下拉列表将配置文件附加到规则中, 也可以单击 "新建 DoS 保护"来创建一个新的.
不同的操作是否认/允许/保护。
拒绝-丢弃所有通信量
允许-允许所有通信量
保护-强制执行阈值中提供的保护, 这些防护配置为应用于此规则的 DoS 配置文件的一部分.
使用 "计划" 下拉列表, 可以指定一个计划, 将 DoS 规则应用于特定的日期/时间.
使用日志转发下拉列表, 可以配置日志转发, 将威胁日志项转发到外部服务 (如 syslog 服务器或全景图).
为了本教程中,我已经创建了一个分类的 DoS 保护配置文件类型。如果激活该复选框, 则可以使用 "配置文件" 下拉菜单选择分类配置文件类型。 下面, 在地址下拉列表中, 您可以选择我前面提到的分类标准 (仅限源 ip/目标 ip/src-ip).
在示例中,您可以聚合和分类的 DoS 保护配置文件配置为相同的 DoS 规则。
单击"确定"并提交以保存配置.
使用 CLI,验证您使用以下命令的 DoS 规则设置:
>> 显示 dos 保护规则<name>设置</name>
如示例所示,我们有 DoS 的规则
- 名称 = DosRule
- 聚合配置文件 = DosProtection
- 分类配置文件 = Dos_classified
- 分类标准 = 只有源
- 行动 = 保护
在输出中,您还将看到你已经在配置文件中配置的所有阈值。
对 DoS 保护视频就此结束。 随意在下方的评论区留下任何评论。
谢谢你,
-金
下面是其他有用文档的案例与我们在视频中讨论的主题的链接: