Изменение настроек МЭ |
содержит список дополнительных опций межсетевого экрана. Окно состоит из трех вкладок. Первые две, «Соединения» и «Flood-атака», предназначены для настройки системы защиты ФПСУ-IP от атак отказа в обслуживании (flood-атак). Вкладка «Соединения» содержит установленные по умолчанию параметры работы межсетевого экрана ФПСУ-IP с IP/TCP/UDP соединениями в обычном режиме и в режиме после обнаружения атаки. Здесь настраиваются таймауты, по истечению которых неактивное соединение будет удалено из внутренней таблицы контроля соединений межсетевого экрана. Указывается два типа таймаутов – время удаления записи о соединении из таблицы при штатном режиме работы ФПСУ-IP (первый столбец), и время обнаружения атаки отказа в обслуживании (второй столбец). Учитываются таймауты удаления из таблицы контроля соединения межсетевого экрана для следующих типов соединений: •UDP без обмена – соединением в этом случае считается трафик между уникальными UDP портами разных IP-адресов абонентов ФПСУ-IP. В случае отсутствия UDP-трафика по указанным портам, по таймауту запись о соединении удаляется из таблицы; •ICMP без обмена – соединением в этом случае считается ICMP обмен между двумя абонентами ФПСУ-IP. В случае отсутствия обмена ICMP-сообщениями в течение указанного таймаута, запись о соединении удаляется из таблицы; •IP без обмена – соединением в этом случае считаются все прочие виды трафика между двумя абонентами, не являющиеся TCP, UDP или ICMP. Запись удаляется из таблицы по таймауту при отсутствии новых обменов; •TCP в состоянии … – учитывается каждое соединение с разными TCP портами отправителя и получателя между любой парой абонентов ФПСУ-IP. По таймауту запись будет удалена из таблицы, и дальнейшее взаимодействие между этой парой абонентов должно будет начаться с повторного установления TCP-соединения. Новые пакеты, не относящиеся к установлению TCP-соединения, после удаления записи из таблицы будут сброшены. Для каждого состояния TCP-соединения используется одна запись в таблице контроля соединений межсетевого экрана ФПСУ-IP, но таймауты различаются. •Совместимость с FULL TRANSP. RiverBed – флаг, активирующий на ФПСУ-IP механизм совместимости с оптимизаторами трафика RiverBed, которые отклоняются от стандартных схем работы TCP-соединений (в том разрешение на пропуск ACK без данных). •Сброс TCP-пакетов с неверными флагами – флаг, указывающий межсетевому экрану ФПСУ-IP сбрасывать пакеты, в IP-заголовке которых обнаружены некорректные (не соответствующие рекомендуемым RFC) комбинации флагов протокола TCP. Вкладка «Flood-атака» содержит параметры, по которым ФПСУ-IP определяет начало атаки в свои адреса или адреса защищаемых абонентов и управляет списком заблокированных IP-адресов. Следует учитывать, что ФПСУ-IP безусловно переходит в режим защиты от flood-атаки, если оперативная память ФПСУ-IP загружается на 100%. В режиме защиты от flood-атаки ФПСУ-IP использует тайминги удаления соединений, указанные во вкладке Соединения, а также заносит в стоп-лист IP-адреса абонентов, передающих больше пакетов в секунду, чем разрешено настройками. ФПСУ-IP переходит в режим защиты от атаки, если превышен хотя бы один из следующих критериев: •Максимальное кол-во новых TCP соединений (шт./сек.) – количество новых, то есть отсутствующих в таблице контроля соединений межсетевого экрана, TCP- соединений в секунду; •Максимальное кол-во новых UDP соединений (шт./сек.) – количество новых, то есть между новыми парами IP-адрес: UDP-порт, UDP- обменов в секунду; •Максимальное кол-во новых ICMP обменов (шт./сек.) – количество новых ICMP- обменов в секунду; •Максимальное кол-во новых ICMP пакетов (шт./сек.) – общее количество ICMP эхо-запросов (и только эхо-запросов) в секунду. Во время защиты от flood-атаки, ФПСУ-IP начинает считать количество пакетов в секунду, отправленных с IP-адресов абонентов. Если это число превышает параметр «Максимальное кол-во соединений с IP-адреса (шт./сек.)», то этот IP-адрес заносится в стоп-лист, то есть все исходящие от него пакеты будут блокироваться. •Анти-флуд включен. Если флаг «Flood control» установлен, то IP-адрес будет находится в стоп-листе в течение времени, указанного в поле «Время нахождения в стоп-листе (мин.)». Если флаг «Flood control» не установлен, то IP-адрес будет находится в стоп-листе до перезагрузки ФПСУ-IP. Флаг «Flood control» влияет на активность параметров «Максимальное кол-во новых TCP соединений (шт./сек.)», «Максимальное кол-во новых UDP соединений (шт./сек.)», «Максимальное кол-во новых ICMP обменов (шт./сек.)», «Максимальное кол-во соединений с IP-адреса (шт./сек.)». Если флаг снят, то ФПСУ-IP будет переходить в режим защиты от flood-атаки только в случаях полной загрузки оперативной памяти и в случае превышения порога ICMP эхо-запросов. •На момент начала атаки ФПСУ-IP запоминает общее количество всех типов соединений – это значение потребуется для определения времени завершения атаки. Для начала выхода ФПСУ-IP из режима защиты от flood-атак, общее количество соединений сначала должно упасть до указанной в поле «Процент flood-соединений – атака считается завершенной» доли соединений, по сравнению с количеством соединений на начало атаки. •После первоначального уменьшения соединений до процентного значения, указанного в поле «Процент flood-соединений – атака считается завершенной», ФПСУ-IP запускает таймер обратного отсчета, с указанным в поле «Начальный интервал ожидания flood-атаки (мин.)» значением. Если в течение этого времени общее количество соединений не поднялось обратно выше порога, то атака считается завершенной и ФПСУ-IP переходит в обычный режим работы. •Если общее количество соединений за указанное время превысило пороговое значение, то ФПСУ-IP остается в режиме защиты от flood-атаки, таймер увеличивается в полтора раза и запускается заново. Максимальное значение таймера указывается в поле «Максимальный интервал ожидания Flood-атаки (мин.)». Вкладка «Spoofing» содержит параметры, отвечающие за работу ФПСУ-IP c TCP-соединениями в режиме spoofing на медленных каналах связи. Некоторые параметры отправки подтверждения о передаче пакета получателем отправителю самостоятельно, без подтверждения от получателя, можно изменить, а именно: •Таймаут повторной пересылки задержанного пакета (мс.) – время в миллисекундах, через которое ФПСУ-IP будет проводить повторную пересылку пакета, в отсутствие ответа от получателя; •Шаг увеличения таймаута (мс.) – с каждым разом повторной отправки пакета, время очередного повтора пересылки увеличивается на указанное в этом параметре количество миллисекунд. |