更新时间:2022-01-07
需求背景
某用户拓扑如下,内网有服务器网段 172.16.1.0/24,内网用户为 192.168.1.0/24 网段。之前有出现过服务器受到洪水攻击,导致应用中断的情况。用户希望通过 Dos/DDos 防护设置来保护内网服务器以及内网用户,内网用户中毒发送过高的会话和数据也需要将其中断, 以保证网络的稳定性。
配置步骤
第一步:在设置 DOS 攻击防护之前,首先必须定义好区域,首先要在『网络配置』→『接口/区域』定义好接口所属的【区域】。『对象定义』→『IP 组』定义好内网服务器所属的【IP 组】。此处不截图说明,请参考 3.4.8 章节。此案例中将需要将 ETH2 定义为[内网区]。ETH1 定义为[外网区]。172.16.1.0/24 定义为[服务器组]
第二步:『防火墙』→『DOS/DDOS 防护』→『外网防护』,进入外网防护设置页面。设置源区域为[外网区],勾选 ARP 洪水攻击防护,设置扫描防护。页面如下:
第三步 DOS/DDOS 攻击防护类型,点击请选择防护类型进入攻击防护设置接口。选择目的 IP 为[服务器组],勾选下面的攻击检测,点击确定即可。页面如下:
第四步:勾选检测攻击后操作的日志勾选上了“记录”和[阻断],[基于数据包攻击]和[异常报文侦测]不勾选。点击提交保存配置即可。页面如下:
第五步:『防火墙』→『DOS/DDOS 防护』→『内网防护』,进入内网防护设置界面。选择源区域为[内网区],选择仅允许内网服务器段和内网用户从源区域穿透设备。由于此处有三层交换机,所以选择[内部网络到本机通过三层交换机]。将服务器网段添加到排除列表。 点击保存即可。页面如下: