文档中心

云防火墙CFW用户指南（下）

最近更新时间：

5 安全防护

相比传统防火墙，智慧防火墙为您提供了更加灵活可调整的配置及全面的攻击防护功能，包括网络层攻击防护、应用层攻击防护、局域网广播防护、DHCP 防护，这些攻击防护功能用于过滤并阻止非正常报文或攻击报文流入您的内网。一旦非正常报文或攻击报文流入内网中，不仅会耗尽您服务器的资源，使服务器无法正常工作，还会影响您的整个网络，引起网络拥塞，这些都是网络中常见和普遍使用的攻击手段。

5.1 会话限制

5.1.1 简介

会话限制是防火墙基于安全域来限制并发及新建连接数的功能。防火墙即支持 IPv4 也支持 IPv6 会话限制。虚拟系统下支持会话限制。

1. 场景说明

目前常见的两个应用场景为：

• 限制 P2P 流量的并发连接数。通过限制单个 IP 的连接数上限，让使用 P2P 下载的用户在达到阈值时也不会对其它用户造成影响。

• 限制来自外网或者内网的高新建高并发的攻击行为，保护连接表不被 DoS 攻击填满。

2. 术语说明

在配置连接限制功能时，需要先了解以下内容：

• 会话表也称为连接表、状态表。是基于状态检测防火墙的核心表项，每条数据流都会有一个会话表，记录了报文的转发状态和转发报文的一些必要信息，这个表项用来指导报文转发。

• 最大并发连接数由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个 TCP/UDP 的访问。

• 每秒新建连接数指每秒钟可以通过防火墙建立起来的完整 TCP/UDP 连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防火墙对网络攻击防范能力差。

5.1.2 添加会话限制策略

会话限制规则基于安全域，主要针对安全域中的 IP 地址进行连接数限制。安全域上限制的方向有三种类型，分别为双向、出域、入域。会话限制规则支持对单个 IP 地址设置并发和新建限制，也可以对网段内的所有 IP 设置总计的并发和新建限制，限制数配置为 0 时，代表不限制。

(1) 选择“策略配置 > 会话限制”。

(2) 单击“添加”。

(3) 配置会话限制策略的名称和描述。

(4) 配置是否启用该会话限制策略和是否记录日志。

 选中“日志”复选框后会开启会话限制日志记录功能。当达到会话限制新建或并发限制时会生成日志。

 选中“启用”复选框后该会话限制策略才生效。

(5) 配置会话限制策略的关键参数。

(6) 配置完成后，单击“确定”。

5.1.3 调整会话限制策略的顺序

会话限制策略在列表中的顺序决定会话限制策略的优先级。策略越靠前，优先级越高。智慧管理分析系统下发的会话限制策略优先级高于防火墙本地的会话限制策略。仅可以调整防火墙本地会话限制策略的顺序。

(1) 选择一条会话限制策略。

(2) 单击“调序”。

(3) 选择调整策略的关键字。调整策略关键字支持“置顶”、“之前”、“之后”和“末尾”。通过这些关键字可以将会话限制策略调整到列表顶端、指定策略前、指定策略后和末端。

(4) 单击“确定”。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服

中国电子云

售前专家免费咨询

根据您填写的需求，将有售前专家为您提供免费服务！

咨询我们

7*24小时服务

1V1专家服务

全栈安全

咨询热线

400-080-1100

联系邮箱

cecloud-support@cestc.cn

在线客服

热门推荐: 专属云; 存储; 安全; PaaS; 超融合

热门解决方案: 政务云解决方案; 金融灾备云解决方案; 乡村振兴解决方案; K12智能云解决方案; 人社大数据建设方案

精选客户案例: 西咸新区智慧城市共性平台; 泸州白酒产业大数据平台; 新疆银行同城灾备云; 盐南城市驾驶舱项目; 中国南方电网云南调度云平台

关于中国电子云: 中国电子云简介; 资质与荣誉; 新闻中心

快速入口: 合作伙伴; 客户支持; 增值服务; 适配认证; 培训认证

关注或联系我们

友情链接：桑达股份中国系统

中电云计算技术有限公司 2022 保留一切权利鄂B2-20220088-1 鄂公网安备 42011402000611号法律声明及隐私权政策

联系我们

回到顶部

为您提供专业的咨询服务，快速解决您的问题

cecloud-support@cestc.cn