Firewall - Grenzwert

Klicken Sie hier, um zu der Tabelle zu springen, die die in diesem Bildschirm verfügbaren Elemente beschreibt.

Angriffsalarm einrichten

Angriffsbenachrichtigungen sind der erste Schritt zur Verteidigung gegen DoS-Angriffe. Bei DoS-Angriffen verwendet Prestige Grenzwerte, um zu bestimmen, wann eine Sitzung zurückgewiesen wird, wenn Sie nicht vollständig hergestellt wurde. Diese Grenzwerte werden global auf alle Sitzungen angewandt. Sie können die Standard-Grenzwerte verwenden, oder Sie können sie gemäß Ihrer Sicherheitsanforderungen anpassen.

Grenzwerte

Ändern Sie diese Werte nur geringfügig, wenn etwas nicht funktioniert und nachdem Sie die Firewall-Zähler überprüft haben. In Standard-Büroumgebungen mit ADSL-Bandbreite sollten die Standardwerte völlig ausreichen. Die Wahl der Grenzwerte hängt von den folgenden Faktoren ab:

1. maximale Anzahl geöffneter Sitzungen

2. minimale Server-Backlock-Kapazität Ihres LAN-Netzwerks

3. CPU-Leistung der Server Ihres LAN-Netzwerks

4. Netzwerk-Bandbreite

5. Art des Datenverkehrs auf einzelnem Server

Falls Ihr Netzwerk bei einigen dieser Werte zu langsam ist (besonders, wenn Sie einen langsamen Server haben oder er viele Aufgaben bearbeitet, sodass er häufig ausgelastet ist), sollten Sie sie leicht verringern. Bevor Sie die Firewall-Regeln einrichten, sollten Sie zunächst mögliche Änderungen an den Grenzwerten durchführen.

Nicht vollständig geöffnete Sitzung

Wenn eine ungewöhnlich hohe Anzahl nicht vollständig geöffneter Sitzungen (entweder ein absoluter Wert oder ein prozentualer) festgestellt wird, so ist dies ein Anzeichen für einen möglichen DoS-Angriff. Bei TCP bedeutet "nicht vollständig geöffnet", dass die Sitzung nicht den Status "offen" erreicht hat - das Dreiwege-Handshake von TCP wurde noch nicht vollständig abgeschlossen. Bei UDP bedeutet dies, dass der Firewall keinen antwortenden Datenverkehr festgestellt hat.

Prestige überwacht sowohl die gesamte Anzahl nicht vollständig geöffneter Sitzungen als auch den prozentualen Wert von Versuchen, eine Sitzung zu öffnen. Bei der Ermittlung der gesamten Anzahl bzw. des prozentualen Werts nicht vollständig geöffneter Sitzungen werden sowohl TCP- als auch UDP-Sitzungen berücksichtigt. Die Messungen werden einmal pro Minute durchgeführt.

Überschreitet die Anzahl nicht vollständig geöffneter Sitzungen einen bestimmten Grenzwert (Obere Grenze unvollst. Sitzungen), trennt Prestige so viele nicht vollständig geöffnete Sitzungen wie zum Herstellen neuer Verbindungen erforderlich sind. Prestige wird so viele nicht vollständig geöffnete Verbindungen trennen, bis Ihre Anzahl unterhalb eines weiteren Grenzwertes (Untere Grenze unvollst. Sitzungen) liegt.

Übersteigt der prozentuale Wert der neuen Verbindungen einen bestimmten Grenzwert (Obere Grenze 1 Min.), werden so viele nicht vollständig geöffnete Sitzungen getrennt, bis die neuen Verbindungsanfragen bearbeitet werden können. Prestige wird so viele nicht vollständig geöffnete Verbindungen löschen, bis der prozentuale Wert der neuen Anfragen unter einen weiteren Grenzwert (Untere Grenze 1 Min.) fällt. Der prozentuale Wert bezieht sich dabei auf die Anzahl der innerhalb der letzten Minute ermittelten neuen Anfragen.

Maximum unvollst. TCP und Abwehrdauer

Eine ungewöhnlich hohe Anzahl nicht vollständig geöffneter Sitzungen mit derselben Host-Zieladresse ist ein Indiz dafür, dass möglicherweise ein DoS-Angriff auf den Host stattfindet.

Überschreitet die Anzahl nicht vollständig geöffneter Sitzungen mit derselben Host-Zieladresse einen bestimmten Grenzwert (Maximum unvollst. TCP), werden nicht vollständig geöffnete Sitzungen gemäß eines der folgenden Verfahren gelöscht:

1. Ist der Zeitüberlauf für Abwehrdauer gleich 0, löscht Prestige für jede neue Verbindungsanfrage zum Host die zeitlich älteste nicht vollständig geöffnete Sitzung. Dadurch wird die Anzahl der nicht vollständig geöffneten Sitzungen auf einem Host niemals den Grenzwert überschreiten.

2. Ist der Zeitüberlauf für Abwehrdauer größer als 0, werden alle neuen Verbindungsanfragen an den Host abgewiesen, sodass der Server Zeit hat, die gegenwärtigen Verbindungen zu bearbeiten. Dies geschieht so lange, bis die im Feld Abwehrdauer eingestellte Zeit verstrichen ist.

Zusätzlich werden bei Überschreiten der Grenze Maximum unvollst. TCP Benachrichtigungen versendet. Die globalen Werte für Grenzwert und Zeitintervall beziehen sich auf alle TCP-Verbindungen.

Bezeichnung

Beschreibung

DoS-Grenzwerte

Untere Grenze 1 Min.

Dies ist der prozentuale Wert neuer, nicht vollständig geöffneter Sitzungen, ab dem die Firewall das Löschen nicht vollständig geöffneter Sitzungen beendet.
Prestige wird so viele nicht vollständig geöffnete Verbindungen löschen, bis der prozentuale Wert der neuen Anfragen unterhalb dieses Grenzwertes liegt. Der Standardwert beträgt "80".

Obere Grenze 1 Min.

Dies ist der prozentuale Wert neuer, nicht vollständig geöffneter Sitzungen, ab dem die Firewall das Löschen nicht vollständig geöffneter Sitzungen beendet. Der Standardwert beträgt "100". Übersteigt der prozentuale Wert der neuen Verbindungen einen bestimmten Grenzwert, werden so viele nicht vollständig geöffnete Sitzungen getrennt, bis die neuen Verbindungsanfragen bearbeitet werden können. Prestige beendet den Löschvorgang nicht vollständig geöffneter Sitzungen, wenn ihre Anzahl unterhalb des Wertes Untere Grenze 1 Min. sinkt.

Untere Grenze unvollst. Sitzungen

Dies ist die Anzahl neuer, nicht vollständig geöffneter Sitzungen (Standardwert "80"), ab der die Firewall das Löschen nicht vollständig geöffneter Sitzungen beendet.
Prestige wird so viele nicht vollständig geöffnete Verbindungen löschen, bis Ihre Anzahl unterhalb dieses Wertes liegt.

Obere Grenze unvollst. Sitzungen

Dies ist die Anzahl neuer, nicht vollständig geöffneter Sitzungen (Standardwert "100"), ab der die Firewall das Löschen nicht vollständig geöffneter Sitzungen startet. Überschreitet die Anzahl nicht vollständig geöffneter Sitzungen diesen Wert, trennt Prestige so viele nicht vollständig geöffnete Sitzungen wie zum Herstellen neuer Verbindungen erforderlich. Prestige beendet den Löschvorgang nicht vollständig geöffneter Sitzungen, wenn ihre Anzahl unterhalb des Wertes Untere Grenze unvollst. Sitzungen sinkt.
Stellen Sie für Obere Grenze unvollst. Sitzungen keinen kleineren Wert als für Untere Grenze unvollst. Sitzungen ein.

Maximum unvollst. TCP

Dies ist die Anzahl vorhandener, nicht vollständig geöffneter TCP-Sitzungen (Standardwert "10") mit derselben Host-IP-Zieladresse, die die Firewall dazu veranlassen, nicht vollständig geöffnete Sitzungen für diese IP-Zieladresse zu löschen. Geben Sie einen Wert zwischen 1 und 256 ein.
Generell sollten Sie für kleinere oder langsamere Netzwerke bzw. bei begrenzter Bandbreite einen kleineren Wert wählen.

Maßnahme, wenn die Grenze Maximum unvollst. TCP erreicht ist
Bei neuer Verbindungsanfrage letzte nicht vollst. geöffnete Sitzung schließenWählen Sie diese Optionsschaltfläche, um die ältesten nicht vollständig geöffneten Sitzungen zu löschen, wenn eine neue Sitzungsanfrage eingeht.
Intervall zum Abwehren neuer Verbindungsanfragen:Wählen Sie diese Optionsschaltfläche, und geben Sie die Abwehrdauer an, die gewartet werden soll, sobald der Wert Maximum unvollst. TCP erreicht wird. Die Abwehrdauer muss zwischen 1 und 256 Minuten liegen.
Zurück
Klicken Sie auf Zurück, um zum Bildschirm Firewall-Funktionen zurückzukehren.
AnwendenKlicken Sie auf Anwenden, um die Änderungen zu speichern.
Abbrechen
Klicken Sie auf Abbrechen, um alle Felder dieses Bildschirms zu löschen und sie erneut zu definieren.