Crear regla/policy IPv4 DoS en FortiGate

Para crear una policy DoS en FortiGate deberemos hacer click en la sección de «Policy&Objects» y una vez desplegado en «IPv4 DoS Policy«:

Le damos el nombre que queramos a la regla y ajustamos los parámetros que necesitemos para nuestro entorno, en este caso bloquearemos el tráfico ICMP cuando se supere el umbral por defecto de 250 paquetes:

Una vez activa la regla deberá aparecernos en la sección IPv4 DoS Policy:

Nos conectamos a una máquina y probamos mediante hping3 a enviarle miles de paquetes a un equipo de la red destino para comprobar que la regla funciona correctamente:

Como se puede observar en la imagen anterior, los paquetes han sido dropeados. Si nos conectamos al FortiGate y nos dirigimos a la sección de «Log&Report»>»Security Events» podremos ver los dropeos con mas detalle:

Este es solo un ejemplo de bloquear el ICMP flood pero se pueden aplicar diferentes reglas DoS para bloquear TCP, UDP flood, sesiones… también se puede utilizar la opción de monitorizar, en ese caso no bloqueará pero podremos obtener información valiosa en nuestro firewall y decidir en un futuro dropear dicho tráfico o no según nuestras necesidades.