Flood Protection hilft beim Schutz vor Denial-of-Service-Angriffen (DDoS).

DDoS-Angriffe zielen darauf ab, einen Server für legitimen Datenverkehr nicht verfügbar zu machen, indem alle verfügbaren Serverressourcen verbraucht werden – der Server wird mit Anforderungen überflutet. Beim Erstellen eines Flood Protection-Profils werden aktive Sitzungsgrenzwerte für ICMP-, UDP- und halboffene TCP-Flows festgelegt. Die verteilte Firewall kann Flow-Einträge im SYN_SENT- und SYN_RECEIVED-Status zwischenspeichern und jeden Eintrag auf einen TCP-Status heraufstufen, nachdem eine Bestätigung vom Initiator empfangen wurde, um den Drei-Wege-Handshake abzuschließen.

Prozedur

  1. Navigieren Sie zu Sicherheit > Allgemeine Einstellungen > Firewall > Flood Protection.
  2. Navigieren Sie zu Sicherheit > Allgemeine Einstellungen > Flood Protection.
  3. Klicken Sie auf Profil hinzufügen und wählen Sie Edge-Gateway-Profil hinzufügen oder Firewall-Profil hinzufügen aus.
  4. Vervollständigen Sie die Parameter für das Flood Protection-Profil:
    Tabelle 1. Parameter für Firewall- und Edge Gateway-Profile
    Parameter Mindest- und Höchstwerte Standard
    Grenzwert für halboffene TCP-Verbindung – TCP SYN-Flood-Angriffe werden verhindert, indem die Anzahl der aktiven, nicht vollständig eingerichteten TCP-Flows begrenzt wird, die von der Firewall zugelassen werden. 1–1.000.000

    Firewall – keine

    Edge-Gateway – 1.000.000

    Legen Sie dieses Textfeld fest, um die Anzahl der aktiven halboffenen TCP-Verbindungen zu begrenzen. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt.
    Grenzwert für aktiven UDP-Flow – UDP-Flood-Angriffe werden verhindert, indem die Anzahl der aktiven UDP-Flows begrenzt wird, die von der Firewall zugelassen werden. Sobald der festgelegte UDP-Flow-Grenzwert erreicht ist, werden nachfolgende UDP-Pakete, die einen neuen Flow generieren können, verworfen. 1–1.000.000

    Firewall – keine

    Edge-Gateway – 1.000.000

    Legen Sie dieses Textfeld fest, um die Anzahl der aktiven UDP-Verbindungen zu begrenzen. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt.
    Grenzwert für aktiven ICMP-Flow – ICMP-Flood-Angriffe werden verhindert, indem die Anzahl der aktiven ICMP-Flows begrenzt wird, die von der Firewall zugelassen werden. Nachdem der festgelegte Flow-Grenzwert erreicht wurde, werden nachfolgende ICMP-Pakete, die einen neuen Flow generieren können, verworfen. 1–1.000.000

    Firewall – keine

    Edge-Gateway – 10.000

    Legen Sie dieses Textfeld fest, um die Anzahl der aktiven offenen ICMP-Verbindungen zu begrenzen. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt.
    Grenzwert für andere aktive Verbindung 1–1.000.000

    Firewall – keine

    Edge-Gateway – 10.000

    Legen Sie dieses Textfeld fest, um die Anzahl der aktiven Verbindungen zu begrenzen, bei denen es sich nicht um halboffene ICMP-, TCP- und UDP-Verbindungen handelt. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt.
    SYN-Cache – SYN-Cache wird verwendet, wenn auch ein Grenzwert für halboffene TCP-Verbindungen konfiguriert wurde. Die Anzahl der aktiven halboffenen Verbindungen wird durch die syncache-Beibehaltung der nicht vollständig eingerichteten TCP-Sitzungen erzwungen. Dieser Cache verwaltet die Flow-Einträge, die sich im SYN_SENT- und SYN_RECEIVED-Status befinden. Jeder syncache-Eintrag wird auf einen vollständigen TCP-Statuseintrag heraufgestuft, nachdem eine Bestätigung vom Initiator empfangen wurde, um den Dreiwege-Handshake abzuschließen. Nur für Firewall-Profile verfügbar. Aktivieren und deaktivieren. Das Aktivieren des SYN-Caches ist nur wirksam, wenn ein Grenzwert für halboffene TCP-Verbindungen konfiguriert ist. Standardmäßig deaktiviert.
    RST-Spoofing – Generiert manipuliertes RST auf dem Server, wenn halboffene Zustände aus dem SYN-Cache gelöscht werden. Ermöglicht dem Server, Zustände in Verbindung mit einer SYN-Flood zu bereinigen (halboffen). Nur für Firewall-Profile verfügbar. Aktivieren und deaktivieren. SYN-Cache muss aktiviert werden, damit diese Option verfügbar ist
    Grenzwert für aktive NAT-Verbindung 1 - 4294967295 Nur für Edge-Gateway-Profile verfügbar. Die Standardeinstellung ist 4294967295. Legen Sie diesen Parameter, um die Anzahl der mit dem Gateway generierten NAT-Verbindungen zu beschränken.
  5. Wenn Sie das Profil auf Edge-Gateways und Firewall-Gruppen anwenden möchten, klicken Sie auf Festlegen.
  6. Klicken Sie auf Speichern.

Nächste Maßnahme

Klicken Sie nach dem Speichern auf Gruppen-zu-Profil-Vorrang verwalten, um die Bindungspriorität zwischen Gruppe und Profil zu verwalten.