บทความนี้อธิบายวิธีตั้งค่า Anti-DDoS Protection บน Sangfor NGAF/NSF เพื่อป้องกันการโจมตีแบบ Denial-of-Service ทั้ง Inbound และ Outbound
Anti-DDoS Protection คืออะไร
Anti-DDoS เป็นฟีเจอร์ที่ป้องกันการโจมตีแบบ DDoS ที่ทำให้ระบบไม่สามารถให้บริการได้ โดยแบ่งเป็น 3 ประเภทหลัก:
- Inbound DDoS Protection — ป้องกัน Server จากการถูกโจมตีจากภายนอก
- Outbound DDoS Protection — ป้องกันเครื่องภายในที่ถูกควบคุมส่ง DDoS Attack ออกไป
- Local Protection — ป้องกันตัว Firewall เองจากการโจมตี
ขั้นตอนการตั้งค่า
1. เปิด Anti-DDoS
ไปที่ Policies > Network Security > Anti-DDoS
2. ตั้งค่า Inbound Protection
กด Add ใน Inbound Protection tab:
- Protected Zone: Zone ที่ Server อยู่ (เช่น DMZ)
- Protected Address: IP ของ Server ที่ต้องการป้องกัน
- Flood Protection: เปิด SYN Flood, UDP Flood, ICMP Flood Protection
- Threshold: กำหนดค่า Packet Rate ที่จะ Trigger Protection (เช่น SYN Flood: 1000 pps)
- Action: Block หรือ Alert
3. ตั้งค่า Outbound Protection
กด Add ใน Outbound Protection tab:
- Monitored Zone: LAN
- Monitored Address: LAN Subnet
- Threshold: กำหนดค่า Packet Rate สูงสุดที่อนุญาตจากแต่ละ IP
4. ตั้งค่า Local Protection
- เปิด Local DDoS Protection เพื่อป้องกัน Firewall เองจาก SYN Flood, UDP Flood
5. ตั้งค่า GeoLocation Blocking (เสริม)
- สามารถ Block Traffic จากประเทศที่ไม่เกี่ยวข้องได้ที่ GeoLocation tab
- ช่วยลด Attack Surface โดย Block IP จากประเทศที่ไม่มี User หรือ Partner
ตั้งค่า Exclusion
หากมี IP ที่ถูก Block ผิดพลาด (False Positive):
- เพิ่ม IP เข้า Exclusion List ใน Anti-DDoS Settings
- IP ที่อยู่ใน Exclusion จะไม่ถูก DDoS Protection ตรวจสอบ
หมายเหตุ
- ค่า Threshold ต้องปรับตาม Traffic Pattern จริงของเครือข่าย — ค่าต่ำเกินไปจะ Block Traffic ปกติ
- Anti-DDoS ทำงานที่ Network Layer จึงป้องกันได้เฉพาะ Volumetric Attack หากต้องการป้องกัน Application Layer DDoS ต้องใช้ WAF ร่วมด้วย
- ตรวจสอบ Log ที่ Monitor > Logs > Security Logs เพื่อดู DDoS Event
- สำหรับ Server ที่ต้องรองรับ Traffic สูง ให้ปรับ Threshold ให้เหมาะสม หรือใช้ร่วมกับ CDN/Cloud DDoS Protection
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น