分類された DoS 保護が低下 TCP UDP // IP しきい値に達する前にパケットをフラッディング

DP管理者が洪水のアクティブ化率を設定する際にデータプレーン ( ) が存在しないと仮定 firewall PAN-OS すると、このレートの 1/n が各データプレーンに割り当てられます。

シャーシがシリーズの場合 PA-7000 、ルール 1/n は、次の図のようにセッションの分散に依存 policy します。

• 固定 (単一のデータプレーンに固定): n =1
• 入力スロット: N =d (スロットあたりの DP 数)
• ランダム: N =s*d ("s"はオンライン/利用可能なスロットの数、"d"はスロットあたりのDPの数)

複数のデータプレーンを持つ他のすべてのファイアウォールは、使用可能なすべてのデータプレーンに負荷を均等に分散します。

このスキームは、洪水がすべてのデータプレーンに均等に分散されている場合に適しています。 それ以外の場合、ランダムアーリードロップ ( RED ) は 1 つのデータプレーンでキックインし、フラッディングレートが他の DP の 1/n しきい値を大きく下回り、 RED 早期にトリガーされます。

データプレーンごとの分布を確認するにはどうすればよいでしょうか。

admin@PA > show dos-protection rule <rulename> settings

例:

構成済みレート:

アラームレート:10000 cps、活性化率:25000 cps、最大レート:60000 cps

固定：

admin@PA > set session distribution-policy fixed s1dp0
admin@PA > show dos-protection rule DoS_1 settings

DP s1dp0:

DP alarm rate: 10000 cps, activate rate: 25000 cps, maximal rate: 60000 cps

入力スロット:

admin@PA > set session distribution-policy ingress-slot
admin@PA > show dos-protection rule DoS_1 settings

DP alarm rate: 5001 cps, activate rate: 12501 cps, maximal rate: 30001 cps <<< gets dived to two.

ランダム：

admin@PA > set session distribution-policy random
admin@PA > show dos-protection rule DoS_1 settings

DP alarm rate: 2501 cps, activate rate: 6251 cps, maximal rate: 15001 cps << I have 2 slots, hence 4 DP's

NOTE:

このテストに影響を与える可能性のある他の要因があります。 たとえば、iperf/ テスト ツール (ラボで DoS プロファイルをテストする場合) は、生成されたトラフィックにジッタとバースト性を生じる可能性があります。

内部ネットワークおよび内部の分散システム firewall も、トラフィックフローにジッタを追加する可能性があります。

フラッド RED 率がしきい値に近づくと、ジッタ/バースト性がトリガーされることがあります。 DoS Protection は、パケット カウンタではなくフラッディング レートを 1 秒で調べます。