#原创分享#如何使用NGAF对抗“流氓”

感谢分享，学习一下~

如何使用NGAF对抗“流氓”

在工作中会听说一个名词DOS攻击，这个DOS是什么意思呢？DOS是Denial ofService 的简称，即拒绝服务，造成DOS的攻击行为被称为DOS攻击，使计算机或网络无法提供正常的服务。生活中有个例子很形象的比喻：一个饭店里面有10张桌子，有一天一群“流氓”来到这个饭店惹事生非，把这10张桌子全部占满了。但是不点餐吃饭，只占坐位导致老板无法正常经营生意。这群人的行为就是DOS攻击。

DDOS攻击就是分布式拒绝服务攻击，很多DOS攻击源一起攻击某台服务器，就组成了DDOS攻击。用上面的例子来比喻就是流氓聚集起来去对一家饭店进行惹事生非。在生活我们可能打110来交给警察叔叔去处理，但是在网络中这些是看不到的，某公司防火墙就可以对抗这些所谓的流氓。下面某公司配置：

1、登陆某公司下一代防火墙WEB界面，步骤略。如下图所示：

2、策略---安全策略---DOS/DDOS防护 ，新增内网对外攻击防护策略，如下图所示：

3、在新增内网对外攻击防护策略窗口中，名称为抗DOS,源内网区域为信任区，网络对象为全部，扫描防护下的扫描攻击类型为IP地址扫描防护，端口扫描防护；DOS/DDOS攻击防护类型为SYN洪水攻击防护，UDP洪水攻击防护，DNS洪水攻击防护，ICMP洪水攻击防护,阈值为默认值即可；检测攻击后操作为记录日志和阻断全部勾选。如下图所示：

4、单击高级防御选项，弹出基本数据包攻击窗口，除了“IP数据块分片传输防护”不勾选外，其余全部勾选。如下图所示：

注意事项：

1、内网DOS防护策略源区域选择内网区域，并且内网到防火墙本机之间是SNAT的部署环境，不用启用内网DOS防护策略

2、内外网DOS防护策略的高级防御选项不要勾选“IP数据块分片传输防护”。