UserGate позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Грубая настройка производится в свойствах зон (смотрите раздел Настройка зон), более точная настройка производится в данном разделе. Используя правила защиты DoS, администратор может указать специфические настройки защиты от DoS атак для определенного сервиса, протокола, приложения и т.п. Чтобы создать правила защиты DoS администратору необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать профили DoS защиты |
В разделе Политики безопасности --> Профили DoS нажать на кнопку Добавить и создать один или более профилей DoS защиты. |
Шаг 2. Создать правила защиты DoS |
В разделе Политики безопасности --> Правила защиты DoS создайте правила, используя профили защиты, созданные на предыдущем шаге. |
Настройка профиля защиты DoS подобна настройке защиты от DoS на зонах UserGate. При создании профиля необходимо указать следующие параметры:
Наименование |
Описание |
---|---|
Название |
Название профиля. |
Описание |
Описание профиля. |
Агрегировать |
Данная настройка регулирует, будет ли UserGate суммировать количество пакетов, проходящих в секунду, для всех IP-адресов источника трафика, или будет производить подсчет индивидуально для каждого IP-адреса. В случае активации данной настройки необходимо устанавливать достаточно высокие значения количества пакетов/сек в настройках закладки Защита DoS и в закладке Защита ресурсов. |
Защита DoS |
Данная настройка позволяет указать параметры защиты от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
|
Защита ресурсов |
Данная настройка позволяет ограничить количество сессий, которые будут разрешены для защищаемого ресурса, например, опубликованного сервера:
|
Чтобы создать правило защиты DoS, необходимо нажать на кнопку Добавить в разделе Политики безопасности --> Правила защиты DoS и указать необходимые параметры.
Примечание
Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.
Примечание
Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.
Наименование |
Описание |
---|---|
Вкл/Выкл |
Включает или отключает правило. |
Название |
Название правила. |
Описание |
Описание правила. |
Действие |
Запретить - безусловно блокирует трафик подобно действию правил Межсетевого экрана. Разрешить - разрешает трафик, защита от DoS не применяется. Может быть использовано для создания исключений. Защитить - применить профиль защиты от DoS атак. |
Профиль DoS |
В случае, если выбрано действие Защитить, необходимо указать профиль защиты DoS. |
Сценарий |
Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает. |
Записывать в журнал правил |
Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник |
Зона источника трафика и/или списки IP-адресов источника трафика. |
Пользователи |
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
Назначение |
Зона назначения трафика и/или списки IP-адресов назначения трафика. |
Сервис |
Тип сервиса, например, HTTP или HTTPS. |
Время |
Интервалы времени, когда правило активно. |