配置DDoS攻击防范

小乔

配置DDoS攻击防范

DDoS攻击防范功能可以防范的攻击类型有：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood和SIP Flood攻击。

背景信息

配置DDoS攻击防范时需要绑定接口，使接口启动流量统计功能，以区分正常流量和攻击流量。系统只对来自绑定接口的流量进行攻击防范，所以被绑定的接口应为FW连接外网的接口。

配置DDoS攻击防范时为了准确设置阈值，建议启用阈值学习功能，并在每个阈值学习周期结束后，根据学习结果调整防御阈值。如进行设备替换，建议按照设备替换前的阈值进行设置。

操作步骤

• 采用启用阈值学习功能的方式，配置DDoS攻击防范。
  
  • 选择“策略 > 安全防护 > 攻击防范 > Anti-DDoS”。
  • 选择防御模式为“检测”或“清洗”。
  • 绑定FW连接外网的接口，您可以选择如下其中一种方式来绑定接口。
    
    • 在“未绑定接口”中，双击需要绑定的接口，在“已绑定接口”中将出现该接口。
    • 在“未绑定接口”中，选中需要绑定的接口，单击，在“已绑定接口”中将出现之前选中的接口。
      
  • 可选：配置FW与ATIC服务器联动。
    
    • 选择“策略 > 安全防护 > 攻击防范 > Anti-DDoS”。
    • 选中“ATIC联动”复选框，输入设备主机IP地址和ATIC服务器的IP地址。
      
    配置FW与ATIC服务器联动后，当流量异常时，FW向ATIC服务器上报流量异常日志。
    
    在FW直路部署的情况下，ATIC配置了引流策略，引流后，FW如果因收不到流量而停止上报异常日志，将导致流量来回切换，不能被有效的清洗。
    
    
    
  • 在“DDOS”界面，单击“配置学习参数”，配置阈值学习功能。
    
    

    参数	说明
    学习功能	勾选“启用”复选框，表示启用阈值学习功能，否则为不启用。
    每次学习时长	阈值学习的时长，支持按“分钟”、“小时”或者“天”为单位设置。 建议“每次学习时长”按“天”为单位进行配置，以确保能够学习到一整天的流量。
    学习模式	指定学习模式。 单次学习：只进行一次阈值学习。 周期学习：按周期多次进行阈值学习，可以持续更新最新的学习结果。说明： 建议配置周期学习功能，持续优化学习结果。
    周期学习间隔	每隔多少时间进行一次学习，此间隔是指从上次学习的结束时间到下次学习开始时间的间隔时间。 只有“学习模式”指定为“周期学习”才可配置此项。支持按“分钟”或者“天”为单位设置。
    自动应用	勾选“启用”，系统将自动应用学习结果。 不勾选“启用”，系统将只进行阈值学习，不自动应用学习结果。 说明： 阈值学习提供自动应用功能，但是自动应用功能将自动开启有阈值学习结果的所有攻击防御功能。实际上建议管理员根据网络情况，在了解各类攻击防御原理的基础上，选择启用对应的攻击防御功能。
    学习容忍度	阈值学习功能的学习结果=学习值×（1+学习容忍度）。 学习容忍度的单位是百分比。

    
    
  • 单击“确定”，阈值学习功能将生效。
    
    阈值学习功能生效后，在“配置学习参数”下面将出现“学习状态”。您可以通过此项了解阈值学习的状态。
    如您未启用阈值学习的“自动应用”功能，您需要在阈值学习结束后手工触发系统应用学习结果或根据学习结果手工设置阈值。通常情况下，手工设置的阈值应该略高于学习到的阈值。
    
    
    
    当“学习状态”为“学习停止”后，您可以在各攻击类型对应的“学习结果”处查看具体的学习结果。
    
    
  • 阈值学习结束后，在“DDoS”界面，选中需要防范的攻击类型对应的“启用”，根据阈值学习结果配置各攻击防范对应的阈值。
    
    
    • 如您已启用阈值学习的“自动应用”功能，当阈值学习结束后，系统将自动应用学习结果。
    • 对于SYN Flood攻击，启用“源探测”后，可以启用“首包丢弃”功能减少反弹量节省性能。在重传时间范围内的报文被认为是重传报文直接放行，当重传报文速率达到告警阈值时进入源探测流程；在重传时间范围外的报文被认为是首包直接被丢弃。
    • 对于DNS Request Flood攻击有“源探测”和“CNAME重定向”两种防范方式：
      
      • 当DNS服务器为缓存服务器时，请选“源探测”方式进行防范。
      • 当DNS服务器为授权服务器时，请选“CNAME重定向”方式进行防范。
        
    • 对于HTTP Flood攻击有“基础源探测”、“302重定向”和“高级源探测”三种防范方式：
      
      
      • 如果攻击源是代理服务器或攻击源实现了浏览器部分功能，选择基础源探测模式则达不到防御效果，需要选择“高级源探测”。
      • 当HTTP服务的客户端是机顶盒时，由于机顶盒无法输入验证码，必须选择“302重定向”或“基础源探测”。建议优先选择“302重定向”。
        
      
      
    
    
    
  • 单击“应用”。
    
• 采用手工方式设置阈值的方式，配置DDoS攻击防范。
  
  • 选择“策略 > 安全防护 > 攻击防范 > Anti-DDoS”。
  • 绑定FW连接外网的接口，您可以选择如下其中一种方式来绑定接口。
    
    • 在“未绑定接口”中，双击需要绑定的接口，在“已绑定接口”中将出现该接口。
    • 在“未绑定接口”中，选中需要绑定的接口，单击，在“已绑定接口”中将出现之前选中的接口。
      
  • 可选：配置FW与ATIC服务器联动。
    
    • 选择“策略 > 安全防护 > 攻击防范 > Anti-DDoS”。
    • 选中“ATIC联动”复选框，输入ATIC服务器的IP地址。
      
    配置FW与ATIC服务器联动后，当流量异常时，FW向ATIC服务器上报流量异常日志。
  • 在“DDOS”界面选中需要防范的攻击类型对应的“启用”，并在该攻击类型对应的“阈值”处设置相应的阈值。
    
    
    • 对于SYN Flood攻击，启用“源探测”后，可以启用“首包丢弃”功能减少反弹量节省性能。在重传时间范围内的报文被认为是重传报文直接放行，当重传报文速率达到告警阈值时进入源探测流程；在重传时间范围外的报文被认为是首包直接被丢弃。
    • 对于DNS Request Flood攻击有“源探测”和“CNAME重定向”两种防范方式：
      
      • 当DNS服务器为缓存服务器时，请选“源探测”方式进行防范。
      • 当DNS服务器为授权服务器时，请选“CNAME重定向”方式进行防范。
        
    • 对于HTTP Flood攻击有“基础源探测”、“302重定向”和“高级源探测”三种防范方式：
      
      
      • 如果攻击源是代理服务器或攻击源实现了浏览器部分功能，选择基础源探测模式则达不到防御效果，需要选择“高级源探测”。
      • 当HTTP服务的客户端是机顶盒时，由于机顶盒无法输入验证码，必须选择“302重定向”或“基础源探测”。建议优先选择“302重定向”。
        
      
      
    
    
    
  • 单击“应用”。
    
  
  

后续处理

配置完成后，系统对检测到的攻击会记录威胁日志，并输出威胁报表。选择“监控 > 日志 > 威胁日志”，可以查看对应的威胁日志；选择“监控 > 报表 > 威胁报表”，可以查看对应的威胁报表。

当“防御模式”为“检测”时，攻击发生和攻击结束时FW各输出一次威胁日志。当“防御模式”为“清洗”时，FW按照firewall defend log-time命令配置的时间间隔周期性的输出日志。

mawr1985

f1662

f1662