Zyxel 提供緩解防火牆被 DDoS 攻擊的建議
Zyxel Employee
近日有許多企業與個人戶面臨分散式拒絕服務攻擊 (DDoS)的網路威脅,包括 Microsoft 365、Intune、Power BI 和 Azure App Services 等 Microsoft 服務中斷 9 小時。這種攻擊方式通過大量的惡意流量,試圖癱瘓目標網路或服務,導致正常用戶無法訪問。然而,儘管DDoS攻擊的威脅不容忽視,透過採取適當的防禦措施,使用者依然可以有效減緩這類攻擊所帶來的風險。以下是識別和解決此類問題的關鍵跡象和解決方案。
如果您在過去幾天中遇到了以下問題,那麼可能是遭受了 DDoS 攻擊:
- CPU / RAM使用率高
- 防火牆無回應
- 網路負載增加
- 連接埠的流量有所增加
Zyxel 用戶可採取以下方式緩解防火牆設備上的 DDoS 攻擊 (部份功能需購買 License 才能啟用)
Zyxel 防火牆結合 Zyxel 資安雲提供的特徵碼(目前已累計數百億筆病毒資料、並持續擴增中)隨時蒐集全球最新的威脅情資,並利用 AI 驅動的雲端智慧來運行多層保護
執行方法
雖然 DDoS 攻擊可能會導致中斷,但並不致命。但是,瞭解並主動保護您的設備和網路非常重要。以下是一些建議的操作:
當您無法存取裝置的圖形使用者介面(GUI)時,可以嘗試以下方法恢復:
- 斷開WAN連接:如果可以,先斷開 WAN 連接。
- 重新啟動設備:嘗試重新啟動設備,這通常可以解決許多問題
請按照以下步驟操作恢復網際網路連線
- 禁用所有 WAN 到 LAN TCP 連接埠 443 策略規則。
- 如果WAN埠之前已斷開連接,請重新連接該埠。
- 繼續執行排查問題的下一步。
我們將持續收集相關的IP位址,並包含在 IP Reputation 資料庫中,以儘快消除所有可能的攻擊源。但是,為了保護設備的操作,您可以手動啟用以下步驟:
1.啟用外部阻止清單
注意:您需要擁有 Gold Security Pack License 才能使用此解決方案
設定方法
Security Services > Reputation Filter > IP Reputation > Block List
URL 是從我們的後端數據中收集的。建議設定每小時更新, 請參考下圖說明:
外部更新清單網址https://threatfeed.blob.core.windows.net/threatfeed/iplist/webattackip.txt
2.手動加入 IPS 阻擋
注意:您需要擁有 UTM Security Pack License 才能使用此解決方案
Security Service > IPS
設定完成之後, 仍需要手動啟用.
- 利用 Search 找到 Signatures ID
- Signatures ID 就是剛剛手動新增的 Signatures ID
- 選擇自訂特徵碼,點選 Activate
- 點選 Action 改為 deny
3.啟用 ADP 並修改靈敏度設置:
Security Policy > ADP > Profile
4.新增 Geo IP
如果服務沒有從國外連到內網的需求, 也可以使用 Geo IP 來設定阻擋國外 IP
Object > Address
設定定期更新
Object > Geo IP
設定安全原則
Security Policy > Policy
建立允許台灣 Geo IP 進入到內網的安全規則
再加上一條阻擋非台灣 Geo IP 進入內網
Security Policy > Policy
最後
最近的 DDoS 攻擊凸顯了保持警惕的網路安全實踐的必要性。通過採取建議的操作,可以顯著降低進一步中斷的風險,並保護您的網路免受潛在威脅。如果您有任何問題或需要更多説明,請隨時聯繫我們的支持團隊。保持安全和警惕。
若您需要購買 License 加強防護力,請聯繫我們的經銷商。
