Firewall Protection Profiles

配置>覆盖和安全>安全>防火墙保护配置文件

使用“防火墙保护配置文件”选项卡在任何设备上使用防火墙添加或修改保护配置文件。

Create a Firewall Protection Profile

1. Select an appliance or group of appliances from the list on the right-side menu.

2. Navigate to配置>覆盖和安全>安全>防火墙保护配置文件。

   

3. 单击要配置配置文件的设备旁边的编辑图标。

   防火墙保护配置文件 - <设备名称>对话框打开。

   

4. 在防火墙保护配置文件标题下，单击添加。

   “防火墙保护配置文件”对话框打开。

   

5. 输入配置文件的名称。

6. 选择或清除任何安全设置复选框。

   NOTE:配置不对称路由时，无法执行严格的三向TCP执行和深度数据包检查（DPI）验证。要启用这些设置，请关闭不对称路由。

7. In the DoS Thresholds field, select a preset threshold (Lenient, Moderate, or Strict). To further edit a preset threshold, click the edit icon next to the classification you want to edit.

   或者，单击添加自定义阈值定义特定的阈值。有关更多信息，请参阅Set Firewall Protection Profile Thresholds。

8. （可选的）添加exceptions to the Allowlist or Blocklist fields.

9. （可选的）Click显示高级设置and set the following fields:

   场地	描述
   Rapid aging	设置一个阈值（以秒为单位），以在不活动的周期匹配配置值（例如30s）时强制执行TCP连接的撕裂。
   Block duration	Enforce dynamic blocking of flows originating from a source for a specified duration (for example, 300s).
   胚胎超时	Set this value so that the firewall can tear down half-open TCP connections when the timeout value is reached (for example, 30s). While TCP connection goes through the three-way handshake (SYN, ACK, SYN-ACK), an embryonic connection is a half-open connection that produces (for example) a SYN without the other two parts of the handshake. This is a popular form of denial of service (DoS) attack.

10. ClickOK。

Set Firewall Protection Profile Thresholds

要查看现有防火墙保护配置文件上的阈值设置，请单击“防火墙保护配置文件”表的“阈值计数”列中的链接。

To change the threshold settings:

1. 单击要配置的设备旁边的编辑图标。

   防火墙保护配置文件 - <设备名称>对话框打开。

2. Click the edit icon next to the profile name whose threshold you want to edit.

   “防火墙保护配置文件”对话框打开。

3. 从DOS阈值下拉列表中选择一个预设阈值，或单击添加自定义阈值。

   DOS阈值对话框打开。

   

4. 设置以下参数：

   场地	描述
   Classification	通过两种方式进行分类： 区域级别：Flows originating from multiple endpoints that are part of a single firewall zone. 来源级别：所有源自单个端点或源设备的流。
   公制	DoS thresholds can be configured with any or all of the three metrics available in a firewall protection profile: 每秒流量：流量速率（FPS）。单流是包含常见属性（源和目标IP，端口，协议）的单向数据包。 并发流：在给定时间点处活跃的流量数。 胚胎流：A half-open connection. While TCP connection goes through the three-way handshake (SYN, ACK, SYN-ACK), an embryonic connection is a half-open connection that produces (for example) a SYN without the other two parts of the handshake.
   IP协议	Select an IP protocol (TCP，，，，UDP，，，，ICMP，，，，Others，，，，or全部）用于阈值设置。
   Min value	最小阈值。当违反此值时，保护配置文件采取相应的最低措施（日志，，，，Rapid aging，，，，Drop excess，，，，orBlock source）。
   最大值	最大阈值。当违反此值时，保护配置文件采取相应的最大动作（日志，，，，Rapid aging，，，，Drop excess，，，，orBlock source）。

5. ClickOK。

添加配置文件映射

After you create a profile, you can map it to a segment and zone of your firewall to achieve the expected behavior.

To map a profile to a segment:

1. Click添加在配置文件映射标题下。

2. Click the box under the Segment field and start typing the segment you want to map to your profile, then click the segment.

3. Click the box under the Zone field and start typing the zone you want to assign to your profile, then click the zone.

4. Click the box under the Profile Name field and select the profile you created earlier.

5. ClickSave。

添加Firewall Protection Profile to a Template Group

1. 在“防火墙保护配置文件”选项卡上，单击Manage Firewall Protection Profiles with Templates。

2. 选择一个模板组以添加防火墙保护配置文件，然后单击添加/编辑。

   Firewall Protection Profile appears as a template under Active Templates > Policies.

   

---