La protection de propagation permet de se protéger contre les attaques de déni de service (DDoS).

Les attaques DDoS visent à rendre un serveur indisponible pour le trafic légitime en consommant toutes les ressources de serveur disponibles. Le serveur est alors submergé de demandes. La création d'un profil de protection de propagation impose des limites de session active pour les flux TCP ICMP, UDP et semi-ouverts. Le pare-feu distribué peut mettre en cache des entrées de flux qui sont dans les états SYN_SENT et SYN_RECEIVED, et promouvoir chaque entrée à l'état TCP après la réception d'un accusé de réception de la part de l'initiateur, en effectuant l'établissement d'une liaison en trois temps.

Procédure

  1. Accédez à Sécurité > Paramètres généraux > Pare-feu > Protection de propagation.
  2. Accédez à Sécurité > Paramètres généraux > Protection de propagation.
  3. Cliquez sur Ajouter un profil et sélectionnez Ajouter un profil de passerelle Edge ou Ajouter un profil de pare-feu.
  4. Renseignez les paramètres du profil de protection de propagation :
    Tableau 1. Paramètres pour les profils de passerelle Edge et de pare-feu
    Paramètre Valeurs minimales et maximales Par défaut
    Limite de connexion semi-ouverte TCP : les attaques par saturation TCP SYN sont bloquées en limitant le nombre de flux TCP actifs et non entièrement établis qui sont autorisés par le pare-feu. 1 - 1 000 000

    Pare-feu : aucun

    Passerelle Edge : 1 000 000

    Définissez cette zone de texte pour limiter le nombre de connexions semi-ouvertes TCP actives. Si cette zone de texte est vide, cette limite est désactivée sur les nœuds ESX et définie sur la valeur par défaut des passerelles Edge.
    Limite de propagation active UDP : les attaques par saturation UDP sont bloquées en limitant le nombre de flux UDP actifs qui sont autorisés par le pare-feu. Une fois la limite de flux UDP définie atteinte, les paquets UDP suivants qui peuvent établir un nouveau flux sont abandonnés. 1 - 1 000 000

    Pare-feu : aucun

    Passerelle Edge : 1 000 000

    Définissez cette zone de texte pour limiter le nombre de connexions UDP actives. Si cette zone de texte est vide, cette limite est désactivée sur les nœuds ESX et définie sur la valeur par défaut des passerelles Edge.
    Limite de propagation active ICMP : les attaques par saturation ICMP sont bloquées en limitant le nombre de flux ICMP actifs qui sont autorisés par le pare-feu. Une fois la limite de flux définie atteinte, les paquets ICMP suivants qui peuvent établir un nouveau flux sont abandonnés. 1 - 1 000 000

    Pare-feu : aucun

    Passerelle Edge - 10 000

    Définissez cette zone de texte pour limiter le nombre de connexions ouvertes ICMP actives. Si cette zone de texte est vide, cette limite est désactivée sur les nœuds ESX et définie sur la valeur par défaut des passerelles Edge.
    Autre limite de connexion active 1 - 1 000 000

    Pare-feu : aucun

    Passerelle Edge - 10 000

    Définissez cette zone de texte pour limiter le nombre de connexions actives autres que les connexions ICMP, TCP et UDP semi-ouvertes. Si cette zone de texte est vide, cette limite est désactivée sur les nœuds ESX et définie sur la valeur par défaut des passerelles Edge.
    Cache SYN : le cache SYN est utilisé lorsqu'une limite de connexion semi-ouverte TCP a également été configurée. Le nombre de connexions semi-ouvertes actives est appliqué en conservant un cache SYN des sessions TCP non entièrement établies. Ce cache conserve les entrées de flux qui sont dans les états SYN_SENT et SYN_RECEIVED. Chaque entrée du cache SYN sera promue en une entrée complète à l'état TCP après la réception d'un accusé de réception de la part de l'initiateur, en effectuant l'établissement d'une liaison en trois temps. Disponible uniquement pour les profils de pare-feu. Bouton bascule d'activation et de désactivation. L'activation du cache SYN n'est efficace que lorsqu'une limite de connexion semi-ouverte TCP est configurée. Désactivé par défaut.
    Usurpation RST : génère un RST usurpé au serveur lors de la purge d'états semi-ouverts à partir du cache SYN. Permet au serveur de nettoyer les états associés à la saturation SYN (semi-ouverte). Disponible uniquement pour les profils de pare-feu. Bouton bascule d'activation et de désactivation. Le cache SYN doit être activé pour que cette option soit disponible
    Autre limite de connexion active NAT 1 - 4294967295 Disponible uniquement pour les profils de passerelle Edge. La valeur par défaut est 4294967295. Définissez ce paramètre pour limiter le nombre de connexions NAT qui peuvent être générées au niveau de la passerelle.
  5. Pour appliquer le profil à des passerelles Edge et des groupes de pare-feu, cliquez sur Définir.
  6. Cliquez sur Enregistrer.

Que faire ensuite

Après l'enregistrement, cliquez sur Gérer la priorité des groupes sur les profils pour gérer la priorité de liaison groupe-profil.