UserGate позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Грубая настройка производится в свойствах зон (смотрите раздел Настройка зон), более точная настройка производится в данном разделе. Используя правила защиты DoS, администратор может указать специфические настройки защиты от DoS атак для определенного сервиса, протокола, приложения и т.п. Чтобы создать правила защиты DoS администратору необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать профили DoS защиты. |
В разделе Политики безопасности --> Профили DoS нажать на кнопку Добавить и создать один или более профилей DoS защиты. |
Шаг 2. Создать правила защиты DoS. |
В разделе Политики сети --> Правила защиты DoS создайте правила, используя профили защиты, созданные на предыдущем шаге. |
Настройка профиля защиты DoS подобна настройке защиты от DoS на зонах UserGate. При создании профиля необходимо указать следующие параметры:
Наименование |
Описание |
---|---|
Название |
Название профиля. |
Описание |
Описание профиля. |
Агрегировать |
Данная настройка регулирует, будет ли UserGate суммировать количество пакетов, проходящих в секунду, для всех IP-адресов источника трафика, или будет производить подсчет индивидуально для каждого IP-адреса. В случае активации данной настройки необходимо устанавливать достаточно высокие значения количества пакетов/сек в настройках закладки Защита DoS и в закладке Защита ресурсов. |
Защита DoS |
Данная настройка позволяет указать параметры защиты от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
|
Защита ресурсов |
Данная настройка позволяет ограничить количество сессий, которые будут разрешены для защищаемого ресурса, например, опубликованного сервера:
|
Чтобы создать правило защиты DoS, необходимо нажать на кнопку Добавить в разделе Политики безопасности --> Правила защиты DoS и указать необходимые параметры.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование |
Описание |
---|---|
Включено |
Включает или отключает правило. |
Название |
Название правила. |
Описание |
Описание правила. |
Действие |
Запретить - безусловно блокирует трафик подобно действию правил Межсетевого экрана. Разрешить - разрешает трафик, защита от DoS не применяется. Может быть использовано для создания исключений. Защитить - применить профиль защиты от DoS атак. |
Профиль DoS |
В случае, если выбрано действие Защитить, необходимо указать профиль защиты DoS. Если при использовании профиля DoS с защитой ресурсов не использовать дополнительные условия, например адрес назначения, то будут учитываться все транзитные соединения. |
Сценарий |
Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает. |
Записывать в журнал правил |
Записывает в журнал трафика информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник |
Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика. Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса. Важно! Обработка трафика происходит по следующей логике:
|
Пользователи |
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
Назначение |
Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика. Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса. Важно! Обработка трафика происходит по следующей логике:
|
Сервис |
Тип сервиса, например, HTTP или HTTPS. |
Время |
Интервалы времени, когда правило активно. |