返回
如何配置DOS策略

如何配置DOS策略

ID:47895273

大小:79.50 KB

页数:3页

时间:2019-10-20

如何配置DOS策略_第1页
如何配置DOS策略_第2页
如何配置DOS策略_第3页
资源描述:

《如何配置DOS策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何配置DOS策略说明:本文档针对所有FortiGate设备的DOS策略配置进行说明。使用DOS可以限制主机的会话数不能超过阈值,同吋可以保护服务器接受的总会话数不超过阈值,从而实现避免拒绝服务攻击的耳的。FortiGate支持的DOS协议为tcp>udp^icmp。环境介绍:木文使用FortiGate310B做演示。木文支持的系统版本为FortiOSv4.0及更高。保护的类别源会话(src_session):指从同一个源IP地址发出的连接总数,一般用于限制用户的电脑。目的会话(dst_session):指去往同一个目的IP地址的连接总数,一般用于保护服务器。泛洪(flood)

2、:指向同一个目的IP地址每秒钟发送的数据包总数,一般用于保护服务器。端口扫描(port_scan):指从同一个源IP地址每秒钟发出的数据包总数,一般用于限制用户的电脑。步骤二:配置防火墙DOS在UTM—入侵防护一DOS传感器

3、

4、噺建一个传感器启用全部功能,启用□志记录,动作全部为通过。在阈值中可以使用默认值,也可以自定义。本例的意图是先启用DOS传感器,然后查看口志中的报警,根据口志调整阈值范围,直到找到合适的阈值。然后就可以将动作改为阻断,真正启用DOS保护。一般不用选择所有的保护内容,保护主机只需要启用源会话(srjsession)和端口扫描(poH_scan)即可;保护服

5、务器只需耍启用口的会话(dst_session)和泛洪(flood)即可。推荐的阈值(参考):保护主机:src_session:512port_scan:200保护服务器:建议使用默认值然后根据日志调整大小编辑DoS传感器名称dos注释—(最大63个字符)异常配置:名称叼,自用H日志记亲动作阀怕tcp_syn_flood00通过V2000tcp_port_scan00通过V1000tcp_src_session00通过V5000tcp_dst_session00通过V5000udp_flood00通过V2000udp_scan00通过V2000udp_src_session00

6、通过V5000udp_dst_session00通过V5000icmp_flood00通过V250icmp_sweep00通过V100icmp_src_session00通过V300icmp_dst_session00通过V1000OKJ厂步骤三:配置策略在防火墙--DOS策略中新建一个策略源接口:选防火墙内网接口则保护内部主机选防火墙外网接口则保护内部服务器源地址:定义要保护的源地址范围目的地址:定义耍保护的目的地址范围服务:选择服务类型DOS触发器:选择步骤二屮写好的触发器编辑输出策略源接口赵port2(352)v源地址all目的地址allV多个服务ANY0DoS袖发器do

7、sOK取消DOS策略顺序:DOS策略同防火墙策略一样从上到下执行。DOS策略与防火墙策略的顺序:数据到达防火墙后先执行DOS策略再执行防火墙策略。步骤四:查看日志在日志与报告•…日志访问•…内存屮选择攻击日志,查看日志消息屮超过的阈值和对应的类型,然后调整步骤二中的阈值,直到确定合适的阈值大小。对于口志中没有出现的类型可以调小阈值再看。FortiAnalyzer内存日志类型:攻击VKq"1—/io►►!列设定陈始沼除所有的过范条QYTimeV级别V子类型V日志IDV液它目的

8、TM—它状态2312:03:40alertanomaly1843210.10.32.11202.106.

9、199.39anomaly:tcp_dst_$es$ion,93>threshold1,repeats3timesdetectec2312:03:29alertanomaly1843210.0.0.1168.178.232.143anomaly:tcp_dst_session,3>threshold1,repeats4timesdetectec2312:03:27alertanomaly1843210.0.0.1168.178.232.143anomaly:tcp^syn^flood;2>threshold1,repeats5timesdetectec步骤五:高级功能在命令行C

10、LIKDOS策略可以调用应用控制列表和入侵防护传感器,例如:configfirewallinterface-policyedit1setstatusdisablesetinterfaceHport2Msetsrcaddr"all"setdstaddr"all"setservice"ANY"setapplication-list-statusenablesetapplication-listnqqnsetips-sensor-statusenablesetips-sensorHall_defa

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。