Descripción
A partir de FortiOS 5.6, la nueva característica HPE (Host Protection Engine) está disponible para proteger las CPUs del FortiGate bajo un ataque DDOS, y permitir que FortiOS procese los paquetes a su máxima capacidad. HPE se ejecuta en el ASIC NP6, por lo que sólo está disponible en las plataformas NP6. Decodifica los paquetes entrantes en varias categorías y luego aplica un conformador de hardware en cada cola del host. Se puede configurar un umbral en paquetes por segundo por categoría de tráfico.
Las categorías de tráfico son:
- TCP SYN
- TCP
- UDP
- ICMP
- SCTP
- ESP
- Fragmento IP
- Otra IP
- ARP
- Otros
HPE puede ser habilitado por cada chip NP6. Una vez habilitado, HPE comprobará todas las categorías de tráfico en la cola del host. El umbral configurado se dividirá por el número de colas de host. Si el umbral configurado es de 60000 pkt/seg y las unidades tienen 6 colas de host por NP6, entonces cada cola se configurará con 10000 pkt/seg
No es posible activar/desactivar el conformador HPE por categoría de tráfico.
El tráfico descargado no se ve afectado por HPE.HPE se puede utilizar además de las políticas DoS para proteger el FortiGate. HPE no es tan granular como las políticas DoS, debería usarse como un primer nivel de protección. Las políticas DoS deben ser usadas como un segundo nivel de protección usando los sensores adecuados.
Flujo de paquetes
Alcance
FortiGate con NP6 y NP7.
Solución
HPE puede ser habilitado por cada chip NP6. Algunas plataformas tienen múltiples chips NP6, por lo que es muy importante conocer la asignación de puertos NP6 para aplicar la configuración HPE al NP6 adecuado. También es importante conocer el número de colas de host por NP6.El siguiente comando puede ser usado para encontrar el mapeo de puertos NP6 / externos:
FGT3KD-1 # diagnosticar npu np6 port-list
Chip XAUI Ports Max Cross-chip
Descarga de velocidad
—— —- ——- —– ———-
np6_0 0 puerto1 10G Sí
0 puerto6 10G Sí
1 puerto2 10G Sí
1 puerto5 10G Sí
2 puerto3 10G Sí
2 puerto8 10G Sí
3 puerto4 10G Sí
3 puerto7 10G Sí
—— —- ——- —– ———-
np6_1 0 puerto10 10G Sí
0 puerto13 10G Sí
1 puerto9 10G Sí
1 puerto14 10G Sí
2 puerto12 10G Sí
2 puertos15 10G Sí
3 puerto11 10G Sí
3 puerto16 10G Sí
—— —- ——- —– ———-
En el ejemplo anterior, la interfaz externa (Interface facing) es el puerto1.
Para proteger el FortiGate contra un ataque DDOS procedente de Internet, es necesario aplicar la configuración HPE bajo NP6 0.
FGT3KD-1 # config system np6
editar «np6_0»
config hpe
set type-shaping-tcpsyn-max <umbral 10000 – 4000000000 pps>
set type-shaping-tcp-max <threshold 10000 – 4000000000 pps>
set type-shaping-udp-max <threshold 10000 – 4000000000 pps>
set type-shaping-icmp-max <threshold 10000 – 40000000000 pps>
set type-shaping-sctp-max <threshold 10000 – 4000000000 pps>
set type-shaping-ipsec-esp-max <threshold 10000 – 4000000000 pps>
set type-shaping-ip-frag-max <threshold 10000 – 4000000000 pps>
set type-shaping-ip-others-max <threshold 10000 – 4000000000 pps>
set type-shaping-arp-max <umbral 10000 – 4000000000 pps>
set type-shaping-others-max <umbral 10000 – 4000000000 pps>
set type-shaper enable
end
fin
El siguiente comando se puede utilizar para encontrar el número de colas del host :
FGT3KD-1 # diag hardware sysinfo interrupciones | grep -c np6_0-tx-rx
20
Esta unidad tiene 20 colas de host por NP6.
El umbral debe elegirse en función del patrón de tráfico y de las características de la plataforma.
Documentos relacionados.