Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkannten IP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auch Verkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen, um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
- Um sich vor Täuschungsangriffen zu schützen, wählen Sie Täuschungsschutz aktivieren aus, legen Sie Einstellungen und Zonen fest und klicken Sie auf Übernehmen. Um Verkehr von einer unbekannten IP-Adresse auf einer vertrauenswürdigen MAC-Adresse zu verwerfen, wählen Sie Unbekannte IPs auf vertrauenswürdige MAC beschränken aus.
- Um eine vertrauenswürdige MAC-Adresse hinzuzufügen, blättern Sie zu Täuschungsschutz – Vertrauenswürdige MAC und klicken Sie auf Hinzufügen. Um Adressen zu importieren, klicken Sie auf Importieren.
- Um sich vor DoS-Angriffen zu schützen, wählen Sie DoS-Einstellungen aus, legen Sie Einstellungen und Zonen fest und klicken Sie auf Übernehmen. Um den aktuellen Status von DoS-Angriffen zu sehen, klicken Sie auf den angegebenen Link.
- Um DoS-Kontrollen für eine bestimmte IP-Adresse oder Port zu umgehen, blättern Sie zu DoS-Umgehungsregel und klicken Sie auf Hinzufügen.
Allgemeine Täuschungsschutz-Einstellungen
Legen Sie die Art des Täuschungsschutzes fest und die Zonen, die Sie schützen wollen.
- IP-Spoofing
- Wenn die Quell-IP-Adresse eines Paket nicht mit dem Eintrag in der Routingtabelle der Firewall übereinstimmt oder wenn das Paket nicht aus einem direkten Subnetz stammt, verwirft die Firewall das Paket.
- MAC-Filter
- Wenn das Paket keine MAC-Adresse angibt, die in der Liste der vertrauenswürdigen MAC-Adressen aufgeführt ist, verwirft die Firewall das Paket.
Hinweis: Um MAC-Filter auszuwählen, müssen Sie mindestens eine vertrauenswürdige MAC-Adresse hinzufügen.
- Filter f. IP-MAC-Paar
- Ein IP–MAC-Paar ist eine vertrauenswürdige MAC-Adresse, die an eine IP-Adresse gebunden ist. Damit eine Übereinstimmung zustande kommt, müssen sowohl die IP- als auch die MAC-Adresse eines eingehenden Pakets mit einem IP–MAC-Paar übereinstimmen. Wenn entweder die IP- oder die MAC-Adresse mit keinem Paar übereinstimmen, verwirft die Firewall das Paket.
Täuschungsschutz – Vertrauenswürdige MAC
Verwenden Sie vertrauenswürdige MAC-Adressen in der MAC-Filter-Einstellung, um Verkehr für bestimmte Hosts zuzulassen.
Wenn Sie eine vertrauenswürdige MAC-Adresse an eine IP-Adresse binden, gleicht die Firewall Verkehr mit den IP–MAC-Paaren ab und filtert Verkehr basierend auf den Einstellungen, die für den IP–MAC-Paar-Filter festgelegt sind.
DoS-Einstellungen
Sie können Beschränkungen für gesendeten und empfangenen Verkehr festlegen und DoS-Angriffe markieren (flag), um Flooding von Netzwerkhosts zu verhindern.
Tipp: Legen Sie Beschränkungen basierend auf Ihren Netzwerkspezifikationen fest. Werte, die Ihre verfügbare Bandbreite oder Serverkapazität überschreiten, können die Leistung beeinflussen. Werte, die zu niedrig sind, können gültige Anfragen blockieren.
Tabelle 1. AngriffsartenName |
Beschreibung |
---|
SYN-Flood |
Hohes Aufkommen an SYN-Anfragen, die den Zielserver zwingen, eine steigenden Anzahl von halboffenen Verbindungen zu erstellen. |
UDP-Flood |
Hohes Aufkommen an UDP-Paketen, die den Zielhost zwingen, die Anwendung zu prüfen, welche auf dem Port lauscht, und mit einer steigenden Anzahl an ICMP-Paketen zu antworten. |
TCP-Flood |
Hohes TCP-Paketaufkommen. |
ICMP/ICMPv6-Flood |
Hohes Aufkommen an ICMP/ICMPv6-Echo-Anfragen. |
Verworfene Pakete der Quelle |
Pakete verwerfen, die die Paketroute vorgeben. |
ICMP/ICMPv6-Paketumleitung deaktivieren |
ICMP/ICMPv6-Umleitungspakete deaktivieren, die Hosts über alternative Routen informieren. |
ARP-Hardening |
Endpoints erlauben, ARP-Antworten nur an lokale Ziel-IP-Adressen zu senden, und nur wenn sich die Quell- und Ziel-IP-Adresse im gleichen Subnetz befinden. |
- Paketaufkommen
- Anzahl an Paketen, die jeder Host je Minute senden oder empfangen können.
- Max. Datendurchsatz
- Gelegentliche Verkehrsspitze, die zusätzlich zur Paketrate jedem Host zugestanden wird.
Hinweis: Mit dem maximalen Datendurchsatz können Sie Verkehr erlauben, gelegentlich die Paketrate zu übersteigen. Die Firewall lässt aber keine häufigen oder andauernden Spitzen über der Paketrate zu.
- Flag übernehmen
- Die Verkehrsbeschränkung anwenden, die für das Protokoll festgelegt ist.
- Verworfener Verkehr
- Anzahl an verworfenen Quell- oder Zielpaketen.
Paketraten und max. Datendurchsätze
Paketrate je Quelle: 12.000 Pakete je Minute (200 Pakete je Sekunde).
Max. Datendurchsatz je Quelle: 300 Pakete je Sekunde.
Die Firewall erlaubt einem Host, bis zu 200 Pakete je Sekunde zu versenden. Wenn der Verkehr in einer bestimmten Sekunde bis zu 250 Paketen steigt (bis zum max. Datendurchsatz), lässt die Firewall den Verkehr zu. Wenn die Verkehrsspitze jedoch für wenige Sekunden oberhalb der Paketrate weitergeht, verwirft die Firewall den Verkehr und lässt nur 200 Pakete zu (Paketrate). Dreißig Sekunden, nachdem der Verkehr verworfen wurde, startet die Firewall den Zähler für die Paketrate und den max. Datendurchsatz neu.
DoS-Umgehungsregel
Sie können DoS-Einstellungen für bekannte Hosts für die festgelegten Host und Protokolle umgehen. Sie können zum Beispiel Verkehr einer VPN-Zone oder von bestimmten Hosts der VPN-Zone ermöglichen, die DoS-Kontrolle zu umgehen.