La protección contra inundaciones ayuda a proteger contra ataques de denegación de servicio (DDoS).

Los ataques DDoS tienen como objetivo hacer que un servidor no esté disponible para el tráfico legítimo mediante el consumo de todos los recursos de servidor disponibles, ya que el servidor estará inundado con solicitudes. La creación de un perfil de protección contra inundación impone límites de sesión activa para los flujos ICMP, UDP y TCP medio abiertos. El firewall distribuido puede almacenar en caché las entradas de flujo que se encuentran en los estados SYN_SENT y SYN_RECEIVED, y hacer que cada entrada pase a un estado de TCP después de recibir una confirmación del iniciador, completando el protocolo de enlace de tres vías.

Procedimiento

  1. Desplácese a Seguridad > Configuración general > Firewall > Protección contra inundación.
  2. Desplácese hasta Seguridad > Configuración general > Protección contra inundación.
  3. Haga clic en Agregar perfil y seleccione Agregar perfil de puerta de enlace Edge o Agregar perfil de firewall.
  4. Rellene los parámetros del perfil de protección contra inundación:
    Tabla 1. Parámetros de los perfiles de puerta de enlace Edge y firewall
    Parámetro Valores mínimo y máximo Predeterminado
    Límite de conexiones medio abiertas de TCP: los ataques de inundación SYN de TCP se evitan al limitar el número de flujos TCP activos no establecidos completamente que permite el firewall. 1-1000000

    Firewall: Ninguno

    Puerta de enlace Edge: 1.000.000

    Rellene este cuadro de texto para limitar el número de conexiones medio abiertas de TCP. Si este cuadro de texto está vacío, este límite se deshabilitará en los nodos de ESX y se establecerá el valor predeterminado de las puertas de enlace Edge.
    Límite de flujos activos de UDP: los ataques de inundación de UDP se evitan al limitar el número de flujos de UDP activos que permite el firewall. Una vez que se alcanza el límite de flujo UDP establecido, se anularán los paquetes UDP posteriores que pueden establecer un flujo nuevo. 1-1000000

    Firewall: Ninguno

    Puerta de enlace Edge: 1.000.000

    Rellene este cuadro de texto para limitar el número de conexiones activas de UDP. Si este cuadro de texto está vacío, este límite se deshabilitará en los nodos de ESX y se establecerá el valor predeterminado de las puertas de enlace Edge.
    Límite de flujos activos de ICMP: los ataques de inundación de ICMP se evitan al limitar el número de flujos de ICMP activos que permite el firewall. Una vez que se alcanza el límite de flujo establecido, se anularán los paquetes ICMP posteriores que pueden establecer un flujo nuevo. 1-1000000

    Firewall: Ninguno

    Puerta de enlace Edge: 10000

    Rellene este cuadro de texto para limitar el número de conexiones abiertas de ICPM. Si este cuadro de texto está vacío, este límite se deshabilitará en los nodos de ESX y se establecerá el valor predeterminado de las puertas de enlace Edge.
    Límite de otras conexiones activas 1-1000000

    Firewall: Ninguno

    Puerta de enlace Edge: 10000

    Rellene este cuadro de texto para limitar el número de conexiones activas que no sean conexiones medio abiertas de UDP, TCP e ICMP. Si este cuadro de texto está vacío, este límite se deshabilitará en los nodos de ESX y se establecerá el valor predeterminado de las puertas de enlace Edge.
    Caché SYN: la caché SYN se utiliza cuando también se ha configurado un límite de conexiones medio abiertas de TCP. El número de conexiones medio abiertas activas se aplica manteniendo una entrada syncache de las sesiones TCP no establecidas por completo. Esta caché mantiene las entradas de flujo que se encuentran en los estados SYN_SENT y SYN_RECEIVED. Cada entrada syncache se cambiará a una entrada de estado TCP completo una vez que se reciba una ACK del iniciador, lo que completará el protocolo de enlace de tres vías. Solo disponible para perfiles de firewall. Activar y desactivar. Habilitar la caché SYN solo es efectivo cuando se ha configurado un límite de conexiones medio abiertas de TCP. Deshabilitado de forma predeterminada.
    Suplantación RST: genera RST suplantado al servidor al purgar estados medio abiertos de la memoria caché SYN. Permite al servidor limpiar los estados asociados con el desbordamiento SYN (medio abierto). Solo disponible para perfiles de firewall. Activar y desactivar. La opción Caché SYN debe estar habilitada para que esta opción esté disponible
    Límite de conexiones NAT activas 1 - 4294967295 Solo disponible para los perfiles de puerta de enlace de Edge. El valor predeterminado es 4294967295. Establezca este parámetro para limitar el número de conexiones NAT que se pueden generar en la puerta de enlace.
  5. Para aplicar el perfil a las puertas de enlace de Edge y los grupos de firewall, haga clic en Establecer.
  6. Haga clic en Guardar.

Qué hacer a continuación

Después de guardar, haga clic en Administrar prioridad grupo-perfil para administrar la prioridad a grupo-perfil.