DoS軽減のためのレート制限

はじめに

レートリミットはDoS(サービス拒否)攻撃に対する防御策である。

レート制限ルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。は、特定のソースから来る、または特定の宛先に送られ、特定のサービスを使用するトラフィックを制限することができます。

これらには、SecureXL閉じた セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。によるレート制限が適用されます。

  • 帯域とパケットレート

  • 同時接続数

  • 接続率

詳しくは、(英語) を参照してください。

DoS軽減のためのレート制限を設定するには、これらのコマンドを使用します。

  • "fw sam_policy" と "fw6 sam_policy" (fw sam_policy参照 - パラメータ "quota <Quota Filter Arguments>" を使用する必要があります)

  • "fwaccel dos config" と "fwaccel6 dos config" (fwaccel dos config参照)

- 特定の URL に対して Rate Limiting 機能を使用することはできません。この機能は、すべてのトラフィックに適用されます。

Security Gateway / ClusterXLにおけるDoS対策に関連するイベントのモニタについて

DoS軽減に関連する情報を見るには、以下のコマンドを実行します。

Gaia ClishまたはExpertモードでコマンド入力

説明

fwaccel stats

fwaccel6 stats

すべての SecureXL 統計情報(IPv4 および IPv6 カーネルモジュール用)を表示します。

参照:

fwaccel stats -d

or

cat /proc/ppk/drop_statistics

fwaccel6 stats -d

or

cat /proc/ppk6/drop_statistics

SecureXL のドロップ統計情報のみを表示します(IPv4 および IPv6 カーネルモジュール用)。

参照:

fw samp get -l |\
grep '^<[0-9a-f,]*>$' |pdf
xargs fwaccel dos rate get

fw samp get -l |\
grep '^<[0-9a-f,]*>$' |.
xargs fwaccel6 dos rate get

アクティブなポリシールールの詳細をロングフォーマットで表示します (IPv4 および IPv6 カーネルモジュールの場合)。

fw sam_policy getを参照してください。

cat /proc/ppk/rlc

表示します。

  • 総ドロップパケット数

  • 総ドロップバイト数

proc/ppk/ と /proc/ppk6/ のエントリです。 のエントリを参照してください。

スケーラブルプラットフォームにおけるDoS対策に関連するイベントのモニタについて

- Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal閉じた Check Point Gaiaオペレーティングシステム用のWebインタフェース。 に接続する必要があります。

DoS軽減に関連する情報を見るには、以下のコマンドを実行します。

Gaia gClishでのコマンド。

エキスパートモードでのコマンド

手順

fwaccel stats

fwaccel6 stats

g_fwaccel stats

g_fwaccel6 stats

すべての SecureXL 統計情報(IPv4 および IPv6 カーネルモジュール用)を表示します。

参照:

fwaccel stats -d

fwaccel6 stats -d

g_fwaccel stats -d

or

cat /proc/ppk/drop_statistics

g_fwaccel6 stats -d

or

cat /proc/ppk6/drop_statistics

SecureXL のドロップ統計情報のみを表示します(IPv4 および IPv6 カーネルモジュール用)。

参照:

fw samp get -l |\
grep '^<[0-9a-f,]*>$' |pdf
xargs fwaccel dos rate get

fw samp get -l |\
grep '^<[0-9a-f,]*>$' |.
xargs fwaccel6 dos rate get

g_fw samp get -l |\
grep '^<[0-9a-f,]*>$' |pdf
xargs fwaccel dos rate get

g_fw samp get -l |\
grep '^<[0-9a-f,]*>$' |.
xargs fwaccel6 dos rate get

アクティブなポリシールールの詳細をロングフォーマットで表示します (IPv4 および IPv6 カーネルモジュールの場合)。

fw sam_policy getを参照してください。

N / A

cat /proc/ppk/rlc

表示します。

  • 総ドロップパケット数

  • 総ドロップバイト数

proc/ppk/ と /proc/ppk6/ のエントリです。 のエントリを参照してください。

また、SecureXLデバッグ参照してください。