Um Täuschungsangriffe (Spoofing) zu verhindern, können Sie den Datenverkehr so beschränken, dass nur Datenverkehr zugelassen ist, der mit erkannten IP-Adressen, vertrauenswürdigen MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auch Verkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen, um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
Legen Sie die Art des Täuschungsschutzes fest und die Zonen, die Sie schützen wollen.
Verwenden Sie vertrauenswürdige MAC-Adressen in der MAC-Filter-Einstellung, um Verkehr für bestimmte Hosts zuzulassen.
Wenn Sie eine vertrauenswürdige MAC-Adresse an eine IP-Adresse binden, gleicht die Firewall Verkehr mit den IP–MAC-Paaren ab und filtert Verkehr basierend auf den Einstellungen, die für den IP–MAC-Paar-Filter festgelegt sind.
Sie können Beschränkungen für gesendeten und empfangenen Verkehr festlegen und DoS-Angriffe markieren (flag), um Flooding von Netzwerkhosts zu verhindern.
Name |
Beschreibung |
---|---|
SYN-Flood | Hohes Aufkommen an SYN-Anfragen, die den Zielserver zwingen, eine steigenden Anzahl von halboffenen Verbindungen zu erstellen. |
UDP-Flood | Hohes Aufkommen an UDP-Paketen, die den Zielhost zwingen, die Anwendung zu prüfen, welche auf dem Port lauscht, und mit einer steigenden Anzahl an ICMP-Paketen zu antworten. |
TCP-Flood | Hohes TCP-Paketaufkommen. |
ICMP/ICMPv6-Flood | Hohes Aufkommen an ICMP/ICMPv6-Echo-Anfragen. |
Verworfene Pakete der Quelle | Pakete verwerfen, die die Paketroute vorgeben. |
ICMP/ICMPv6-Paketumleitung deaktivieren | ICMP/ICMPv6-Umleitungspakete deaktivieren, die Hosts über alternative Routen informieren. |
ARP-Hardening | Endgeräten erlauben, ARP-Antworten nur an lokale Ziel-IP-Adressen zu senden, und nur wenn sich die Quell- und Ziel-IP-Adresse im gleichen Subnetz befinden. |
Paketrate je Quelle: 12.000 Pakete je Minute (200 Pakete je Sekunde).
Max. Datendurchsatz je Quelle: 300 Pakete je Sekunde.
Die Firewall erlaubt einem Host, bis zu 200 Pakete je Sekunde zu versenden. Wenn der Verkehr in einer bestimmten Sekunde bis zu 250 Paketen steigt (bis zum max. Datendurchsatz), lässt die Firewall den Verkehr zu. Wenn die Verkehrsspitze jedoch für wenige Sekunden oberhalb der Paketrate weitergeht, verwirft die Firewall den Verkehr und lässt nur 200 Pakete zu (Paketrate). Dreißig Sekunden, nachdem der Verkehr verworfen wurde, startet die Firewall den Zähler für die Paketrate und den max. Datendurchsatz neu.
Sie können DoS-Einstellungen für bekannte Hosts für die festgelegten Host und Protokolle umgehen. Sie können zum Beispiel Verkehr einer VPN-Zone oder von bestimmten Hosts der VPN-Zone ermöglichen, die DoS-Kontrolle zu umgehen.