使用Fortigate的DoS功能

近期有许多DDoS的资安事件，如下：
国内多家主机託管商遭疑似来自本土之 DVR 僵尸网路 DDoS 攻击
让许多MIS关心起DDoS防护的事情
那么，Fortigate是否也具有DoS防护功能呢?
其实是有的，只是需要到系统管理的进阶功能开关中开启，
算是具备L3/L4等级的异常现象防护能力

当然，L3/L4的DDoS常常是网路流量的洪水攻击
一般的设备就算有防护也大概撑不了太久
更别说是L7及加密等级的DDoS攻击
因为防护多半靠CPU及memory运算处理，效能有限
好在中大型新出F系列的Fortigate具有NP7加速晶片
提供了晶片等级的DDoS Protection
对于大流量的攻击会有一定的防护作用

目前以FortiOS 6.4.2看来，同时支援IPv4及IPv6的防护
L3支援IP session DDoS防护，
L4对TCP/UDP支援flood,scan,sweep,session等防护
可以设定在某些threshold值以上的通讯被丢弃
至少可以起到初级防护作用

其实在下发现，很多DDoS的攻击
都是由于内网的不当使用网路造成
因为开网页连到了Internet的BOT主机
以至于常见到有flood的不间断刺探
这还需要在有开启DoS的状况下持续侦测
(多数人还不知有DDoS防护功能哩)
最好的解决办法是购买FortiGuard IoC
然后启用Fortigate的自动化防护
(这个又是另一新功能，以后有机会再开题目说)

说回头，如果不想当傻子一样被人打好玩
(就是，他打我就踢，他继续打我继续踢)
最好开启封锁隔离功能，像IPS防护一样
打到一定的值，就封锁这个来源几天
这样就没法产生不间断的攻击行为了

这个DDoS防护在Fortigate很早就有
因为看很多用户从来不用
趁最近话题拿出来讨论讨论