DoS-& Täuschungsschutz

Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkannten IP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auch Verkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen, um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.

  • Um sich vor Täuschungsangriffen zu schützen, wählen Sie Täuschungsschutz aktivieren aus, legen Sie Einstellungen und Zonen fest und klicken Sie auf Übernehmen. Um Verkehr von einer unbekannten IP-Adresse auf einer vertrauenswürdigen MAC-Adresse zu verwerfen, wählen Sie Unbekannte IPs auf vertrauenswürdige MAC beschränken aus.
  • Um eine vertrauenswürdige MAC-Adresse hinzuzufügen, blättern Sie zu Täuschungsschutz – Vertrauenswürdige MAC und klicken Sie auf Hinzufügen. Um Adressen zu importieren, klicken Sie auf Importieren.
  • Um sich vor DoS-Angriffen zu schützen, wählen Sie DoS-Einstellungen aus, legen Sie Einstellungen und Zonen fest und klicken Sie auf Übernehmen. Um den aktuellen Status von DoS-Angriffen zu sehen, klicken Sie auf den angegebenen Link.
  • Um DoS-Kontrollen für eine bestimmte IP-Adresse oder Port zu umgehen, blättern Sie zu DoS-Umgehungsregel und klicken Sie auf Hinzufügen.

Allgemeine Täuschungsschutz-Einstellungen

Legen Sie die Art des Täuschungsschutzes fest und die Zonen, die Sie schützen wollen.

IP-Spoofing
Wenn die Quell-IP-Adresse eines Paket nicht mit dem Eintrag in der Routingtabelle der Firewall übereinstimmt oder wenn das Paket nicht aus einem direkten Subnetz stammt, verwirft die Firewall das Paket.
MAC-Filter
Wenn das Paket keine MAC-Adresse angibt, die in der Liste der vertrauenswürdigen MAC-Adressen aufgeführt ist, verwirft die Firewall das Paket.
Hinweis: Um MAC-Filter auszuwählen, müssen Sie mindestens eine vertrauenswürdige MAC-Adresse hinzufügen.
Filter f. IP-MAC-Paar
Ein IP–MAC-Paar ist eine vertrauenswürdige MAC-Adresse, die an eine IP-Adresse gebunden ist. Damit eine Übereinstimmung zustande kommt, müssen sowohl die IP- als auch die MAC-Adresse eines eingehenden Pakets mit einem IP–MAC-Paar übereinstimmen. Wenn entweder die IP- oder die MAC-Adresse mit keinem Paar übereinstimmen, verwirft die Firewall das Paket.

Täuschungsschutz – Vertrauenswürdige MAC

Verwenden Sie vertrauenswürdige MAC-Adressen in der MAC-Filter-Einstellung, um Verkehr für bestimmte Hosts zuzulassen.

Wenn Sie eine vertrauenswürdige MAC-Adresse an eine IP-Adresse binden, gleicht die Firewall Verkehr mit den IP–MAC-Paaren ab und filtert Verkehr basierend auf den Einstellungen, die für den IP–MAC-Paar-Filter festgelegt sind.

DoS-Einstellungen

Sie können Beschränkungen für gesendeten und empfangenen Verkehr festlegen und DoS-Angriffe markieren (flag), um Flooding von Netzwerkhosts zu verhindern.

Tipp: Legen Sie Beschränkungen basierend auf Ihren Netzwerkspezifikationen fest. Werte, die Ihre verfügbare Bandbreite oder Serverkapazität überschreiten, können die Leistung beeinflussen. Werte, die zu niedrig sind, können gültige Anfragen blockieren.
Tabelle 1. Angriffsarten
Name Beschreibung
SYN-Flood Hohes Aufkommen an SYN-Anfragen, die den Zielserver zwingen, eine steigenden Anzahl von halboffenen Verbindungen zu erstellen.
UDP-Flood Hohes Aufkommen an UDP-Paketen, die den Zielhost zwingen, die Anwendung zu prüfen, welche auf dem Port lauscht, und mit einer steigenden Anzahl an ICMP-Paketen zu antworten.
TCP-Flood Hohes TCP-Paketaufkommen.
ICMP/ICMPv6-Flood Hohes Aufkommen an ICMP/ICMPv6-Echo-Anfragen.
Verworfene Pakete der Quelle Pakete verwerfen, die die Paketroute vorgeben.
ICMP/ICMPv6-Paketumleitung deaktivieren ICMP/ICMPv6-Umleitungspakete deaktivieren, die Hosts über alternative Routen informieren.
ARP-Hardening Endpoints erlauben, ARP-Antworten nur an lokale Ziel-IP-Adressen zu senden, und nur wenn sich die Quell- und Ziel-IP-Adresse im gleichen Subnetz befinden.
Paketaufkommen
Anzahl an Paketen, die jeder Host je Minute senden oder empfangen können.
Max. Datendurchsatz
Gelegentliche Verkehrsspitze, die zusätzlich zur Paketrate jedem Host zugestanden wird.
Hinweis: Mit dem maximalen Datendurchsatz können Sie Verkehr erlauben, gelegentlich die Paketrate zu übersteigen. Die Firewall lässt aber keine häufigen oder andauernden Spitzen über der Paketrate zu.
Flag übernehmen
Die Verkehrsbeschränkung anwenden, die für das Protokoll festgelegt ist.
Verworfener Verkehr
Anzahl an verworfenen Quell- oder Zielpaketen.

Paketraten und max. Datendurchsätze

Paketrate je Quelle: 12.000 Pakete je Minute (200 Pakete je Sekunde).

Max. Datendurchsatz je Quelle: 300 Pakete je Sekunde.

Die Firewall erlaubt einem Host, bis zu 200 Pakete je Sekunde zu versenden. Wenn der Verkehr in einer bestimmten Sekunde bis zu 250 Paketen steigt (bis zum max. Datendurchsatz), lässt die Firewall den Verkehr zu. Wenn die Verkehrsspitze jedoch für wenige Sekunden oberhalb der Paketrate weitergeht, verwirft die Firewall den Verkehr und lässt nur 200 Pakete zu (Paketrate). Dreißig Sekunden, nachdem der Verkehr verworfen wurde, startet die Firewall den Zähler für die Paketrate und den max. Datendurchsatz neu.

DoS-Umgehungsregel

Sie können DoS-Einstellungen für bekannte Hosts für die festgelegten Host und Protokolle umgehen. Sie können zum Beispiel Verkehr einer VPN-Zone oder von bestimmten Hosts der VPN-Zone ermöglichen, die DoS-Kontrolle zu umgehen.