플러드 보호는 DDoS(서비스 거부) 공격으로부터 보호하는 데 도움을 줍니다.

DDoS 공격은 사용 가능한 모든 서버 리소스를 소비하여 서버가 요청으로 플러드되도록 하여 합법적인 트래픽에 서버를 사용할 수 없도록 하기 위한 것입니다. 플러드 보호 프로파일을 생성하면 ICMP, UDP 및 절반 개방 TCP 흐름에 대해 활성 세션 제한이 적용됩니다. 분산 방화벽은 SYN_SENT 및 SYN_RECEIVED 상태에 있는 흐름 항목을 캐시하고, 이니시에이터에서 ACK가 수신된 후 각 항목을 TCP 상태로 승격하여 3방향 핸드셰이크를 완료할 수 있습니다.

프로시저

  1. 보안 > 일반 설정 > 방화벽 > 플러드 보호로 이동합니다.
  2. 보안 > 일반 설정 > 플러드 보호로 이동합니다.
  3. 프로파일 추가를 클릭하고 Edge 게이트웨이 프로파일 추가 또는 방화벽 프로파일 추가를 선택합니다.
  4. 다음과 같은 플러드 보호 프로파일 매개 변수를 입력합니다.
    표 1. 방화벽 및 Edge 게이트웨이 프로파일에 대한 매개 변수
    매개 변수 최소값 및 최대값 기본값
    TCP 절반 개방 연결 제한 - 방화벽에서 허용하는 완전히 설정되지 않은 활성 TCP 흐름 수를 제한하여 TCP SYN 플러드 공격을 방지합니다. 1-1,000,000

    방화벽 - 없음

    Edge 게이트웨이 - 1,000,000

    이 텍스트 상자를 설정하여 활성 TCP 절반 개방 연결 수를 제한합니다. 이 텍스트 상자가 비어 있는 경우 이 제한은 ESX 노드에서 사용하지 않도록 설정되고 Edge 게이트웨이의 기본값으로 설정됩니다.
    UDP 활성 흐름 제한 - 방화벽에서 허용하는 활성 UDP 흐름 수를 제한하여 UDP 플러드 공격을 방지합니다. 설정된 UDP 흐름 제한에 도달하면 새 흐름을 설정할 수 있는 후속 UDP 패킷이 삭제됩니다. 1-1,000,000

    방화벽 - 없음

    Edge 게이트웨이 - 1,000,000

    이 텍스트 상자를 설정하여 활성 UDP 연결 수를 제한합니다. 이 텍스트 상자가 비어 있는 경우 이 제한은 ESX 노드에서 사용하지 않도록 설정되고 Edge 게이트웨이의 기본값으로 설정됩니다.
    ICMP 활성 흐름 제한 - 방화벽에서 허용하는 활성 ICMP 흐름 수를 제한하여 ICMP 플러드 공격을 방지합니다. 설정된 흐름 제한에 도달하면 새 흐름을 설정할 수 있는 후속 ICMP 패킷이 삭제됩니다. 1-1,000,000

    방화벽 - 없음

    Edge 게이트웨이 - 10,000

    이 텍스트 상자를 설정하여 활성 ICMP 개방 연결 수를 제한합니다. 이 텍스트 상자가 비어 있는 경우 이 제한은 ESX 노드에서 사용하지 않도록 설정되고 Edge 게이트웨이의 기본값으로 설정됩니다.
    기타 활성 연결 제한 1-1,000,000

    방화벽 - 없음

    Edge 게이트웨이 - 10,000

    이 텍스트 상자를 설정하여 ICMP, TCP 및 UDP 절반 개방 연결 이외의 활성 연결 수를 제한합니다. 이 텍스트 상자가 비어 있는 경우 이 제한은 ESX 노드에서 사용하지 않도록 설정되고 Edge 게이트웨이의 기본값으로 설정됩니다.
    SYN 캐시 - SYN 캐시는 TCP 절반 개방 연결 제한이 구성된 경우에도 사용됩니다. 활성 절반 개방 연결 수는 완전히 설정되지 않은 TCP 세션의 syncache를 유지하여 적용됩니다. 이 캐시는 SYN_SENT 및 SYN_RECEIVED 상태에 있는 흐름 항목을 유지합니다. 이니시에이터에서 ACK가 수신된 후에는 각 syncache 항목이 전체 TCP 상태 항목으로 승격되고 3방향 핸드셰이크를 완료합니다. 방화벽 프로파일에만 사용할 수 있습니다. 설정/해제합니다. SYN 캐시를 사용하도록 설정하는 것은 TCP 절반 개방 연결 제한이 구성된 경우에만 유효합니다. 기본적으로 사용하지 않도록 설정됩니다.
    RST 스푸핑 - SYN 캐시에서 반개방 상태를 제거할 때 서버에 대해 스푸핑된 RST를 생성합니다. 서버에서 SYN 플러드(반개방)와 연결된 상태를 정리할 수 있습니다. 방화벽 프로파일에만 사용할 수 있습니다. 설정/해제합니다. 이 옵션을 사용하려면 SYN 캐시를 사용하도록 설정해야 합니다.
    NAT 활성 연결 제한 1 - 4294967295 Edge 게이트웨이 프로파일에만 사용할 수 있습니다. 기본값은 4294967295입니다. 게이트웨이에서 생성할 수 있는 NAT 연결 수를 제한하려면 이 매개 변수를 설정합니다.
  5. 프로파일을 Edge 게이트웨이 및 방화벽 그룹에 적용하려면 설정을 클릭하십시오.
  6. 저장을 클릭합니다.

다음에 수행할 작업

저장한 후 그룹-프로파일 우선 순위 관리을 클릭하여 프로파일 바인딩 우선 순위에 따라 그룹을 관리합니다.