NGFW позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Грубая настройка производится в свойствах зон (смотрите раздел Настройка зон), более точная настройка производится в данном разделе. Используя правила защиты DoS, администратор может указать специфические настройки защиты от DoS атак для определенного сервиса, протокола, приложения и т.п. Чтобы создать правила защиты DoS администратору необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Создать профили DoS защиты.
В разделе Политики безопасности ➜ Профили DoS нажать на кнопку Добавить и создать один или более профилей DoS защиты.
Шаг 2. Создать правила защиты DoS.
В разделе Политики безопасности ➜ Правила защиты DoS создайте правила, используя профили защиты, созданные на предыдущем шаге.
Настройка профиля защиты DoS подобна настройке защиты от DoS на зонах NGFW. При создании профиля необходимо указать следующие параметры:
Наименование
Описание
Название
Название профиля.
Описание
Описание профиля.
Агрегировать
Данная настройка регулирует, будет ли NGFW суммировать количество пакетов, проходящих в секунду, для всех IP-адресов источника трафика, или будет производить подсчет индивидуально для каждого IP-адреса. В случае активации данной настройки необходимо устанавливать достаточно высокие значения количества пакетов/сек в настройках закладки Защита DoS и в закладке Защита ресурсов.
Защита DoS
Данная настройка позволяет указать параметры защиты от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Порог уведомления — при превышении количества запросов над указанным значением происходит запись события в системный журнал.
Порог отбрасывания пакетов — при превышении количества запросов над указанным значением NGFW начинает отбрасывать пакеты, и записывает данное событие в системный журнал.
Защита ресурсов
Данная настройка позволяет ограничить количество сессий, которые будут разрешены для защищаемого ресурса, например, опубликованного сервера:
Включено: включает ограничение количества сессий.
Ограничить число сессий: задается число сессий.
Чтобы создать правило защиты DoS, необходимо нажать на кнопку Добавить в разделе Политики безопасности ➜ Правила защиты DoS и указать необходимые параметры.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеЧекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование
Описание
Включено
Включает или отключает правило.
Название
Название правила.
Описание
Описание правила.
Действие
Запретить — безусловно блокирует трафик подобно действию правил Межсетевого экрана.
Разрешить — разрешает трафик, защита от DoS не применяется. Может быть использовано для создания исключений.
Защитить — применить профиль защиты от DoS атак.
Профиль DoS
В случае, если выбрано действие Защитить, необходимо указать профиль защиты DoS.
Если при использовании профиля DoS с защитой ресурсов не использовать дополнительные условия, например адрес назначения, то будут учитываться все транзитные соединения.
Сценарий
Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.
Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Записывать в журнал правил
Записывает в журнал трафика информацию о трафике при срабатывании правила. Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Важно! Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идеyнтификации пользователей читайте в главе Пользователи и устройства.
Назначение
Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Важно! Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.