Default Threat Protection > 关于默认数据包处理选项 > 关于分布式拒绝服务攻击

关于分布式拒绝服务攻击

分布式拒绝服务 (DDoS) 攻击与淹没攻击非常类似。 在 DDoS 攻击中,许多不同客户端和服务器会向一个计算机系统发送连接以尝试淹没该系统。 当发生 DDoS 攻击时,合法用户将无法使用目标系统。

XTM 设备的默认配置将阻止 DDoS 攻击。 从 Fireware XTM Web UI,可以更改该功能的设置,并且更改每秒钟允许的最大连接数。

  1. 选择防火墙 > 默认数据包处理
    将显示默认数据包处理页面。
  1. 选中或清除每个服务器配额每个客户端配额复选框。
  2. 单击箭头可设置每个服务器配额每个客户端配额

每个服务器配额

每个服务器配额会限制每秒钟从任意外部来源到 XTM 设备外部接口的连接的数量。 这包含静态 NAT 策略允许的到内部服务器的连接。 每个服务器配额基于对任意一个目标 IP 地址的连接请求数,无论源 IP 地址如何。 达到阈值后,XTM 设备会丢弃来自任何主机的传入连接请求。

例如,如果将每个服务器配额设置为默认值 100,则在一秒钟之内,XTM 设备会丢弃接收的来自任何外部 IP 地址的第 101 个连接请求。 源 IP 地址不会添加到阻止的站点列表。

每个客户端配额

每个客户端配额会限制每秒钟从受 XTM 设备保护的任意来源到任意目标的出站连接的数量。 每个客户端配额基于对任意一个源 IP 地址的连接请求数,无论目标 IP 地址如何。

例如,如果将每个客户端配额设置为默认值 100,则在一秒钟之内,XTM 设备会丢弃接收的从可信任网络或可选网络上的 IP 地址到任意目标 IP 地址的第 101 个连接请求。

请参阅

关于 默认数据包处理选项

提供反馈  •   获得支持  •   全部产品文件  •   知识库