8.10. Защита от DoS атак

UserGate позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Грубая настройка производится в свойствах зон (смотрите раздел Настройка зон), более точная настройка производится в данном разделе. Используя правила защиты DoS, администратор может указать специфические настройки защиты от DoS атак для определенного сервиса, протокола, приложения и т.п. Чтобы создать правила защиты DoS администратору необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать профили DoS защиты.

В разделе Политики безопасности --> Профили DoS нажать на кнопку Добавить и создать один или более профилей DoS защиты.

Шаг 2. Создать правила защиты DoS.

В разделе Политики сети --> Правила защиты DoS создайте правила, используя профили защиты, созданные на предыдущем шаге.

Настройка профиля защиты DoS подобна настройке защиты от DoS на зонах UserGate. При создании профиля необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Агрегировать

Данная настройка регулирует, будет ли UserGate суммировать количество пакетов, проходящих в секунду, для всех IP-адресов источника трафика, или будет производить подсчет индивидуально для каждого IP-адреса. В случае активации данной настройки необходимо устанавливать достаточно высокие значения количества пакетов/сек в настройках закладки Защита DoS и в закладке Защита ресурсов.

Защита DoS

Данная настройка позволяет указать параметры защиты от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:

  • Порог уведомления - при превышении количества запросов над указанным значением происходит запись события в системный журнал.

  • Порог отбрасывания пакетов - при превышении количества запросов над указанным значением UserGate начинает отбрасывать пакеты, и записывает данное событие в системный журнал.

Защита ресурсов

Данная настройка позволяет ограничить количество сессий, которые будут разрешены для защищаемого ресурса, например, опубликованного сервера:

  • Включено: включает ограничение количества сессий.

  • Ограничить число сессий: задается число сессий.

Чтобы создать правило защиты DoS, необходимо нажать на кнопку Добавить в разделе Политики безопасности --> Правила защиты DoS и указать необходимые параметры.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Запретить - безусловно блокирует трафик подобно действию правил Межсетевого экрана.

Разрешить - разрешает трафик, защита от DoS не применяется. Может быть использовано для создания исключений.

Защитить - применить профиль защиты от DoS атак.

Профиль DoS

В случае, если выбрано действие Защитить, необходимо указать профиль защиты DoS.

Если при использовании профиля DoS с защитой ресурсов не использовать дополнительные условия, например адрес назначения, то будут учитываться все транзитные соединения.

Сценарий

Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.

Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.

Записывать в журнал правил

Записывает в журнал трафика информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Пользователи

Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Назначение

Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Сервис

Тип сервиса, например, HTTP или HTTPS.

Время

Интервалы времени, когда правило активно.