议的最大连接值,保证协议的连接总数不超过系统限制,在达到连接上限后删除新建的连接;
限制系统符合条件源/目的主机连接数量;
针对源或目的IP地址做流限制,Inspect可以限制每个IP地址的的资源,用户在资源控制的范围内时,使用并不会受到任何影响,但当用户感染蠕虫病毒或发送攻击报文等情况时,针对流的资源控制可以限制每个IP地址发送的连接数目,超过限制的连接将被丢弃,这种做法可以有效抑制病毒产生攻击的效果,避免其它正常使用的用户受到影响。
单位时间内如果穿过防火墙的“同类”数据流超过门限值后,可以设定对该种类的数据流进行阻断,对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。
2、智能TCP代理有效防范SYN Flood
SYN Flood是DDOS攻击中危害性最强,也是最难防范的一种。这种攻击利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)。页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
