Zyxel 提供緩解防火牆被 DDoS 攻擊的建議

Zyxel小編 Koda
Zyxel小編 Koda 文章數: 140  Zyxel Employee
5 Answers First Comment Friend Collector Second Anniversary
已編輯 8月 29 日 防火牆 常見問題

近日有許多企業與個人戶面臨分散式拒絕服務攻擊 (DDoS)的網路威脅,包括 Microsoft 365、Intune、Power BI 和 Azure App Services 等 Microsoft 服務中斷 9 小時。這種攻擊方式通過大量的惡意流量,試圖癱瘓目標網路或服務,導致正常用戶無法訪問。然而,儘管DDoS攻擊的威脅不容忽視,透過採取適當的防禦措施,使用者依然可以有效減緩這類攻擊所帶來的風險。以下是識別和解決此類問題的關鍵跡象和解決方案。

如果您在過去幾天中遇到了以下問題,那麼可能是遭受了 DDoS 攻擊:

  1. CPU / RAM使用率高
  2. 防火牆無回應
  3. 網路負載增加
  4. 連接埠的流量有所增加

Zyxel 用戶可採取以下方式緩解防火牆設備上的 DDoS 攻擊 (部份功能需購買 License 才能啟用)

Zyxel 防火牆結合 Zyxel 資安雲提供的特徵碼(目前已累計數百億筆病毒資料、並持續擴增中)隨時蒐集全球最新的威脅情資,並利用 AI 驅動的雲端智慧來運行多層保護

執行方法

雖然 DDoS 攻擊可能會導致中斷,但並不致命。但是,瞭解並主動保護您的設備和網路非常重要。以下是一些建議的操作:

當您無法存取裝置的圖形使用者介面(GUI)時,可以嘗試以下方法恢復:

  1. 斷開WAN連接:如果可以,先斷開 WAN 連接。
  2. 重新啟動設備:嘗試重新啟動設備,這通常可以解決許多問題

請按照以下步驟操作恢復網際網路連線

  1. 禁用所有 WAN 到 LAN TCP 連接埠 443 策略規則。
  2. 如果WAN埠之前已斷開連接,請重新連接該埠。
  3. 繼續執行排查問題的下一步。

我們將持續收集相關的IP位址,並包含在 IP Reputation 資料庫中,以儘快消除所有可能的攻擊源。但是,為了保護設備的操作,您可以手動啟用以下步驟:

1.啟用外部阻止清單

注意:您需要擁有 Gold Security Pack License 才能使用此解決方案

設定方法

Security Services > Reputation Filter > IP Reputation > Block List

URL 是從我們的後端數據中收集的。建議設定每小時更新, 請參考下圖說明:

外部更新清單網址https://threatfeed.blob.core.windows.net/threatfeed/iplist/webattackip.txt

2.手動加入 IPS 阻擋

注意:您需要擁有 UTM Security Pack License 才能使用此解決方案

Security Service > IPS

設定完成之後, 仍需要手動啟用.

  1. 利用 Search 找到 Signatures ID
  2. Signatures ID 就是剛剛手動新增的 Signatures ID
  3. 選擇自訂特徵碼,點選 Activate
  4. 點選 Action 改為 deny

3.啟用 ADP 並修改靈敏度設置:

Security Policy > ADP > Profile

4.新增 Geo IP

如果服務沒有從國外連到內網的需求, 也可以使用 Geo IP 來設定阻擋國外 IP

Object > Address

設定定期更新

Object > Geo IP 

設定安全原則

Security Policy > Policy

建立允許台灣 Geo IP 進入到內網的安全規則

再加上一條阻擋非台灣 Geo IP 進入內網

Security Policy > Policy

最後

最近的 DDoS 攻擊凸顯了保持警惕的網路安全實踐的必要性。通過採取建議的操作,可以顯著降低進一步中斷的風險,並保護您的網路免受潛在威脅。如果您有任何問題或需要更多説明,請隨時聯繫我們的支持團隊。保持安全和警惕。

若您需要購買 License 加強防護力,請聯繫我們的經銷商。