Rate limiting and protection DDoS sur firewall : guide de configuration

Rate-limiting and protection DDoS basique sur firewall entreprise. Complémentaire (pas remplaçant) de scrubbing servithese cloud (Cloudflare, Akamai). Configurations FortiGate, Palo Alto, Cisco. Guide 2026.

Types DDoS

• Volumétrique : UDP/ICMP flood, saturation bandwidth
• Protocol : SYN flood, Ping of Death, Smurf
• Application (L7) : HTTP flood, Slowloris, sophistiqué
• Amplification : DNS, NTP, Memcached (attaquants envoient requête petite, victime reçoit amplifiée)

FortiGate DoS protection

• config firewall DoS-policy
• edit 1
• set name "DoS-WAN"
• set interface "port10"
• set srcaddr "all"
• set dstaddr "all"
• set service "ALL"
• config anomaly
• edit "icmp_flood"
• set status enable
• set action block
• set threshold 1000
• next
• edit "tcp_syn_flood"
• set status enable
• set threshold 2000

Palo Alto Zone Protection

• Zone Protection Profile : protège zone entière
• DoS Protection Profile : policy plus granulaire
• Types : flood (SYN/UDP/ICMP), reconnaissance, packet-based
• Thresholds : alert, activate, maximum

Cisco IOS

• ip tcp intercept list 101 : SYN flood protection
• ip tcp intercept drop-mode random
• CoPP (Control Plane Policing) : protège CPU of router
• ip arp inspection : protège L2 ARP spoofing

Limitations firewall DDoS

• Ne protège pas volumétrique massive (>10 Gbps)
• FW peut être saturé lui-même
• Solution : scrubbing upstream (Cloudflare, Akamai, Radware)
• GRE redirection or BGP blackholing for mitigation

Scrubbing services

• Cloudflare Magic Transit : BGP + GRE
• Akamai Prolexic : leader enterprise
• Radware DefensePro : hardware sur site
• AWS Shield Advanced
• Capacity : jusqu'à 10 Tbps mitigation

Commander chez OPTINOC

Configuration DDoS FW + intégration scrubbing cloud. FortiGate, Palo Alto, Cisco. Devis sous 48h.