La protezione flood consente di proteggersi dagli attacchi di tipo Denial of Service (DDoS).

Gli attacchi DDoS hanno lo scopo di rendere un server non disponibile per il traffico legittimo consumando tutte le risorse server disponibili. Il server viene inondato di richieste. La creazione di un profilo di protezione flood impone limiti di sessioni attive per i flussi TCP ICMP, UDP e a metà apertura. Il firewall distribuito può memorizzare nella cache le voci del flusso il cui stato è SYN_SENT e SYN_RECEIVED e promuovere ogni voce a uno stato TCP dopo la ricezione di un ACK dall'iniziatore, completando l'handshake a tre vie.

Procedura

  1. Passare a Sicurezza > Impostazioni generali > Firewall > Protezione flood .
  2. Passare a Sicurezza > Impostazioni generali > Protezione flood.
  3. Fare clic su Aggiungi profilo e selezionare Aggiungi profilo gateway Edge o Aggiungi profilo firewall.
  4. Compilare i parametri del profilo di protezione flood:
    Tabella 1. Parametri per i profili gateway Edge e firewall
    Parametro Valori minimo e massimo Predefinito
    Limite connessione semiaperta TCP: gli attacchi flood SYN TCP vengono impediti limitando il numero di flussi TCP attivi e non stabiliti completamente consentiti dal firewall. 1-1.000.000

    Firewall - Nessuna

    Gateway Edge - 1.000.000

    Impostare questa casella di testo per limitare il numero di connessioni semiaperte TCP attive. Se questa casella di testo è vuota, questo limite è disabilitato nei nodi ESX e viene impostato sul valore predefinito nei gateway Edge.
    Limite flusso attivo UDP: gli attacchi flood UDP vengono impediti limitando il numero di flussi UDP attivi consentiti dal firewall. Una volta raggiunto il limite del flusso UDP impostato, i pacchetti UDP successivi che possono stabilire un nuovo flusso vengono eliminati. 1-1.000.000

    Firewall - Nessuna

    Gateway Edge - 1.000.000

    Impostare questa casella di testo per limitare il numero di connessioni UDP attive. Se questa casella di testo è vuota, questo limite è disabilitato nei nodi ESX e viene impostato sul valore predefinito nei gateway Edge.
    Limite flusso attivo ICMP: gli attacchi flood ICMP vengono impediti limitando il numero di flussi ICMP attivi consentiti dal firewall. Una volta raggiunto il limite di flusso impostato, i pacchetti ICMP successivi che possono stabilire un nuovo flusso vengono eliminati. 1-1.000.000

    Firewall - Nessuna

    Gateway Edge - 10.000

    Impostare questa casella di testo per limitare il numero di connessioni aperte ICMP attive. Se questa casella di testo è vuota, questo limite è disabilitato nei nodi ESX e viene impostato sul valore predefinito nei gateway Edge.
    Limite altra connessione attiva 1-1.000.000

    Firewall - Nessuna

    Gateway Edge - 10.000

    Impostare questa casella di testo per limitare il numero di connessioni attive diverse dalle connessioni semiaperte ICMP, TCP e UDP. Se questa casella di testo è vuota, questo limite è disabilitato nei nodi ESX e viene impostato sul valore predefinito nei gateway Edge.
    Cache SYN: la cache SYN viene utilizzata quando è stato configurato anche un limite di connessione semiaperta TCP. Il numero di connessioni semiaperte attive viene imposto mantenendo una cache SYN delle sessioni TCP non definite completamente. Questa cache mantiene le voci del flusso che si trovano nello stato SYN_SENT e SYN_RECEIVED. Ogni voce della cache SYN verrà promossa a uno stato TCP completo dopo la ricezione di un ACK dall'iniziatore, completando l'handshake a tre vie. Disponibile solo per i profili firewall. Attivare e disattivare. L'abilitazione della cache SYN è valida solo quando è configurato un limite di connessione semiaperta TCP. Disabilitato per impostazione predefinita.
    Spoofing RST: genera RST di spoofing nel server quando si eliminano gli stati semiaperti dalla cache SYN. Consente al server di pulire gli stati associati al flood SYN (semiaperta). Disponibile solo per i profili firewall. Attivare e disattivare. Per rendere disponibile questa opzione, è necessario abilitare la cache SYN
    Limite connessione attiva NAT 1 - 4294967295 Disponibile solo per i profili del gateway Edge. Il valore predefinito è 4294967295. Impostare questo parametro per limitare il numero di connessioni NAT che possono essere generate nel gateway.
  5. Per applicare il profilo ai gateway Edge e ai gruppi di firewall, fare clic su Imposta.
  6. Fare clic su Salva.

Operazioni successive

Dopo aver salvato, fare clic su Gestione della precedenza da gruppo a profilo per gestire il gruppo per la precedenza di binding del profilo.