配置 Proxy 伺服器的阻斷服務保護
您可以在 Proxy 伺服器或 適用於 IBM® WebSphere® Application Server 的 DMZ Secure Proxy Server 上配置一對內容,以針對阻斷服務攻擊造成需緩衝大量 HTTP 有效負載,限制其風險。
開始之前
關於這項作業
註:
如今系統包含一種保護,可防範稱為阻斷服務攻擊的安全侵害類型。這類攻擊通常會向某個網址傳送超出資料緩衝區設計容納的資料流量。Proxy 伺服器和 適用於 IBM WebSphere Application Server 的 DMZ Secure Proxy Server 提供若干可供配置的內容,可以針對阻斷服務攻擊造成需要緩衝大量的 HTTP 有效負載,限制其風險。
阻斷服務攻擊是一種惡意破壞電腦系統安全的行為,但是通常不會竊取資訊,或造成其他的安全損失。這類攻擊通常會向某個網址傳送超出資料緩衝區設計容納的資料流量,從而造成記憶體流失。HTTP 容許以 HTTP 要求或 HTTP 回應形式,將訊息內文傳送到 HTTP 伺服器。可以採用一連串循序進行的網路寫入,將內文傳送至 HTTP 伺服器,而不是透過單次大型網路寫入來傳送。這項程序稱為 Transfer-Encoding 分段。您可以設定 Transfer-Encoding: Chunked 回應內文和 Transfer-Encoding: Chunked 要求內文的大小上限,來決定執行網路寫入之前的緩衝資料量。
程序
- 按一下伺服器 > Proxy 伺服器 >proxy_server_name。
- 在「Proxy 設定」之下,展開 HTTP Proxy 伺服器設定,按一下阻斷服務保護
- 針對要求內文緩衝區大小上限,設定適當的緩衝區大小 (KB)。 緩衝可使效能變好,因為它會減少大型有效負載的網路寫入次數。緩衝區大小不能配置得太高,否則,可能耗盡記憶體。如果要判斷您環境的最理想值,請逐步增加緩衝區的大小,直到達到適當的平衡為止。
- 針對回應內文緩衝區大小上限,設定適當的緩衝區大小 (KB)。 設定「回應內文緩衝區大小上限」時,必須採取您在設定「要求內文緩衝區大小上限」時的相同預防措施。