FortiGate에서는 임계값 기반의 Dos Policy 기능을 지원 합니다.(직접 설정해야 하기 때문에 임계값 설정에 주의 필요)
[Dos Policy 설정 화면]
| 변칙 | 설명 | 권장 임계값 |
|---|---|---|
| tcp_syn_flood | 재전송을 포함하여 하나의 대상 IP 주소에 대한 새 TCP 연결의 SYN 패킷 속도가 구성된 임계값을 초과하는 경우 작업이 실행됩니다. | 초당 2000 패킷. |
| tcp_port_scan | 하나의 소스 IP 주소에서 재전송을 포함하여 새 TCP 연결의 SYN 패킷 속도가 구성된 임계값을 초과하면 작업이 실행됩니다. | 초당 1000 패킷. |
| tcp_src_session | 하나의 소스 IP 주소에서 동시 TCP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션. |
| tcp_dst_session | 하나의 대상 IP 주소에 대한 동시 TCP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션. |
| udp_flood | 하나의 대상 IP 주소에 대한 UDP 트래픽이 구성된 임계값을 초과하면 작업이 실행됩니다. | 초당 2000 패킷. |
| udp_scan | 하나의 소스 IP 주소에서 시작된 UDP 세션 설정 속도가 구성된 임계값을 초과하는 경우 작업이 실행됩니다. | 초당 2000 세션. |
| udp_src_session | 하나의 소스 IP 주소에서 동시 UDP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션. |
| udp_dst_session | 하나의 대상 IP 주소에 대한 동시 UDP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션. |
| icmp_flood | 하나의 대상 IP 주소로 전송된 ICMP 패킷 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 초당 250패킷. |
| icmp_sweep | 하나의 소스 IP 주소에서 시작된 ICMP 세션 설정 속도가 구성된 임계값을 초과하면 작업이 실행됩니다. | 초당 100개의 세션. |
| icmp_src_세션 | 한 소스 IP 주소의 동시 ICMP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 동시 세션 300개 |
| icmp_dst_session | 하나의 대상 IP 주소에 대한 동시 ICMP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 동시 세션 1000개 |
| ip_src_session | 하나의 소스 IP 주소에서 동시 IP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션. |
| ip_dst_session | 하나의 대상 IP 주소에 대한 동시 IP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션. |
| sctp_flood | 하나의 대상 IP 주소로 전송된 SCTP 패킷의 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 초당 2000 패킷 |
| sctp_scan | 하나의 소스 IP 주소에서 시작되는 SCTP 세션 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 초당 1000 패킷 |
| sctp_src_세션 | 하나의 소스 IP 주소에서 동시 SCTP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션 |
| sctp_dst_세션 | 하나의 대상 IP 주소에 대한 동시 SCTP 연결 수가 구성된 임계값을 초과하면 작업이 실행됩니다. | 5000 동시 세션 |
[Dos policy 설정 의미]
Dos Policy는 두 가지 형태로 나누어 집니다.
1. 초당 패킷 수
동시 세션 수에 따른 임계값의 경우 이상을 차단하면 임계값으로 설정된 동시 세션 수 이상을 허용하지 않습니다.
예를 들어 임계값이 동시 세션에서 측정되는 경우와 같이 특정 이상에 대한 기간이 60초인 경우 60초 타이머가 만료된 후 이상 기준과 일치하는 허용된 세션 수가 0으로 재설정됩니다. 즉, 차단하기 전에 10개의 세션을 허용하면 60초가 경과한 후 다시 10개의 세션이 허용됩니다. 만료로 인한 세션 감소는 허용된 세션이 최대값에 도달하지 않도록 해야 합니다.
2. 동시 세션 수
임계값이 초당 패킷 수로 측정되는 속도 기반 임계값의 경우 차단 작업은 두 가지 방법으로 비정상적인 트래픽이 방화벽을 압도하는 것을 방지합니다.
연속(continuous): 이상이 감지되면 패킷을 차단하고 속도가 임계값을 초과하는 동안 패킷을 계속 차단합니다. 이것이 기본 설정입니다.
주기적(periodical): 이상이 감지된 후 구성된 초당 패킷 수를 허용합니다.
예를 들어 DoS 정책이 임계값 10pps로 icmp_flood를 차단하도록 구성되고 연속 ping이 1000개의 패킷에 대해 20pps의 속도로 시작되는 경우:
연속 모드에서 처음 10개의 패킷은 트리거될 경우 DoS 센서보다 먼저 전달되고 나머지 990개의 패킷은 차단됩니다.
주기적 모드에서는 초당 10개의 패킷이 통과할 수 있으므로 ping이 발생하는 50초 동안 500개의 패킷이 차단됩니다.