Acerca de los Ataques de Denegación de Servicios Distribuidos
Los ataques de Denegación de Servicios Distribuidos (DDoS) son muy similares a los ataques de congestión del servidor. En un ataque DDoS, muchos clientes y servidores diferentes envían conexiones a un solo sistema informático para intentar congestionar el sistema. Cuando ocurre un ataque de DDoS, los usuarios legítimos no pueden usar el sistema objetivo.
La configuración predeterminada del dispositivo Firebox es suprimir los ataques DDoS. Puede cambiar las configuraciones para esta función, y cambiar el número máximo permitido de conexiones por segundo.
Puede configurar las siguientes opciones:
Cuota del servidor
La Cuota por Servidor aplica un límite a la cantidad de conexiones por segundo desde cualquier fuente externa hacia la interfaz externa del dispositivo Firebox. Esto incluye las conexiones a servidores internos permitidos por una política NAT estática. La Cuota del servidor está basada en la cantidad de solicitudes de conexión a cualquier dirección IP de destino, independientemente de la dirección IP de origen. Una vez alcanzado el umbral, el dispositivo Firebox rechaza las solicitudes de conexión entrantes desde cualquier host.
Por ejemplo, cuando la Cuota por Servidor está configurada en el valor predeterminado 100, el dispositivo Firebox rechaza la solicitud de conexión número 101 recibida en una franja de tiempo de un segundo desde cualquier dirección IP externa. La dirección IP de origen no se agrega a la lista de sitios bloqueados.
Cuota del cliente
La Cuota por Cliente aplica un límite a la cantidad de conexiones salientes por segundo desde cualquier fuente protegida por el dispositivo Firebox hacia cualquier destino. La Cuota por Cliente se basa en la cantidad de solicitudes de conexión desde cualquier dirección IP de origen, independientemente de la dirección IP de destino.
Por ejemplo, cuando la Cuota por Cliente está configurada en el valor predeterminado 100, el dispositivo Firebox rechaza la solicitud de conexión número 101 recibida en una franja de tiempo de un segundo desde una dirección IP de la red de confianza o la red opcional hacia cualquier dirección IP de destino. La dirección IP de origen no se agrega a la lista de sitios bloqueados.
- Seleccione Firewall > Administración Predeterminada de Paquetes.
Se abre la página Administración de Paquetes Predeterminada.
- Seleccione o deseleccione las casillas Por Cuota del Servidor y Por Cuota del Cliente.
- Establezca los límites Por Cuota del Servidor y Por Cuota del Cliente.
Para descartar ataques DDos, desde Policy Manager:
- Haga clic en .
O bien seleccione Configuración > Default Threat Protection > Administración Predeterminada de Paquetes.
Se abre el cuadro de diálogo Administración de Paquetes Predeterminada.
- Seleccione o deseleccione las casillas Por Cuota del Servidor y Por Cuota del Cliente.
- Establezca los límites Por Cuota del Servidor y Por Cuota del Cliente.
Ver También
Acerca de las Opciones de Administración de Paquetes Predeterminada