В версии v22.04 добавлена новая контрмера TLIM, изменено название контрмеры CPSL,
расширена функциональность взаимодействия по BGP, добавлены новые пороги
автодетектирования, добавлен график количества уникальных IP-адресов на выходе
из политики защиты.
Расширена функциональность контрмер VAL, DNS, TWL.
TLIM. Добавлена новая контрмера «Ограничение трафика по протоколу на IP-адрес получателя».
В общую защиту IPv4 добавлена новая контрмера, аналогичная контрмере DLIM, но позволяющая
задавать для каждого IP-адреса ограничение по скорости с учетом L4-протокола.
Ограничения могут быть заданы на скорость в пакетах в секунду или битах в секунду,
а также одновременно двумя способами.
NCL. Изменено название контрмеры CPSL.
VAL. Добавлена опция сброса TCP SYN-пакетов c ненулевым Acknowledgment number.
VAL. Добавлено включение опций по умолчанию.
Теперь при создании новой политики защиты в контрмере VAL по умолчанию активированы некоторые опции валидатора.
DNS. Добавлены опции валидатора.
Аналогично контрмере VAL в DNS появился перечень дополнительных критериев валидации, которые активируются в настройках контрмеры.
DNS. Добавлен список разрешенных доменных зон.
Если DNS-запрос по домену не из списка, то будет сброшен.
DNS. Добавлена поддержка wildcard для белого списка и списка разрешенных.
Критерий соответствия доменного имени правилу из списка зависит от формата записи
доменного имени:
Если правило, начинается с .
, то доменное имя должно являться поддоменом.
Иначе — доменное имя должно совпадать.
TWL. Изменено поведение временного белого списка IP-адресов.
Теперь обязательным условием удаления адреса из TWL является отсутствие с него трафика в течение заданного времени.
TWL6. Изменено поведение временного белого списка IP-адресов.
Теперь обязательным условием удаления адреса из TWL6 является отсутствие с него трафика в течение заданного времени.
BGP. Добавлена постановка на защиту IP-адреса при трафике на коллекторе выше порога.
Теперь в карточке «BGP-анонсы» на вкладке «Настройка политики» страницы «Политика защиты» можно задать пороги скорости в пакетах и битах в секунду. IP-адреса получателя, для которых на коллекторе превышены пороги, могут анонсироваться по BGP для постановки на защиту.
BGP. Добавлены системные списки префиксов и FlowSpec, формируемые по данным коллектора.
Добавлены новые системные списки префиксов:
system.policy.ips
— формируется из IP-адресов, полученных от коллектора, скорость
поступления трафика на которые превышает установленный порог;system.policy.ips.checked
— равен по содержанию списку system.policy.ips
, но
сравнивается с проверочным списком, во избежание blackhole.Добавлены новые системные списки FlowSpec:
system.policy.flowspec.ips
— формируется из IP-адресов, полученных от коллектора,
скорость поступления трафика на которые превышает установленный порог;system.policy.flowspec.ipsrules
— формируется из значений четырех параметров из
правил маршрутизации, ведущих на эту политику: протокол, префикс отправителя, порт
отправителя и порт получателя. В префикс получателя подставляются IP-адреса, полученные
от коллектора, скорости поступления трафика на которые превышают установленный порог.Переименованы системные списки:
system.policy.prefixes
переименован в system.policy.flowspec.prefixes
;system.policy.rules
переименован в system.policy.flowspec.rules
;system.flow.detect
переименован в system.policy.prefixes
;system.flow.detect.checked
переименован в system.policy.prefixes.checked
.Если в списки .ips
попал IP-адрес, принадлежащий политике защиты, то для избежания
дублирования правила маршрутизации на эту политику не учитываются при формировании
других системных списков.
Detect. Добавлены новые пороги по уникальным IP-адресам на выходе из политики защиты.
Добавлен порог активации механизма автодетектирования при изменении количества
уникальных адресов на выходе из политики <element>.Unique.SrcAddr.Out.{On, Off}
.
Добавлены пороги по возрастанию количества уникальных адресов на входе и выходе из
политики за такт: <element>.Unique.SrcAddr.{In, Out}.Diff
.
Добавлен порог нижнего предела чувствительности. Механизм автодетектирования
не включится или немедленно выключится если количество уникальных адресов на выходе
из политики не превышает <element>.Low.Unique.SrcAddr.Out
.
Detect. Переименованы пороги автодетектирования по уникальным IP-адресам на входе в политику.
<element>.Unique.SrcAddr.{On, Off}
переименован в <element>.Unique.SrcAddr.In.{On, Off}
;<element>.PerSrcAddr{Bps, Pps}.{On, Off}
переименован в <element>.PerSrcAddrIn{Bps, Pps}.{On, Off}
.UX. Добавлен подсчет количества уникальных IP-адресов на выходе из политики защиты.
Теперь на графике IP-адресов отображается количество уникальных адресов на входе и выходе политики защиты.
UX. Добавлено отображение текущих значений внешнего и внутреннего MAC-адресов.
Теперь при нажатии на иконку появляется тултип с текущим значением MAC-адреса.
UX. Добавлен уникальный префикс названий политик группы.
Добавлен префикс названий политик группы, показывающий принадлежность политик защиты к конкретной группе. Префикс автоматически добавляется перед названиями всех политик защиты данной группы через символ нижнего подчеркивания. Это позволяет пользователям разных групп создавать политики с одинаковыми названиями, а администратору системы легко различать политики защиты в общем списке. Поле принимает латиницу, кириллицу, цифры и специальные символы. Максимальная длина – 5 символов.
UX. Удалена проверка количества запросов до повторной аутентификации в контрмерах TCP, HTTP, ATLS, DNS.
UX. Добавлено отображение количества лицензируемых экземпляров в кластере.
UX. Обновлена встроенная справка на английском языке.