NGFW4000防火墙内置防攻击检测策略

a. 假设你已经通过串口初始化了防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络、创建了相关网络对象（如有疑问请参看“防火墙4000 管理配置”和“防火墙4000属性配置”相关文档或DEMO演示）；

b. 要求：正确配置防火墙防攻击策略，使得外网区域中的server与radius_db服务器能够抵御外部的DDOS等攻击。实现方式如下：

c. 首先配置相应的访问策略，允许lihua能够正常访问两台服务器（如有疑问请参看“防火墙4000 访问策略配置”相关文档或DEMO演示）；

d. 然后在定义服务器节点对象的对话框中选择服务器的“操作系统类型”以及最多接受的“连接数”和“半连接数”等，示例如下：

e. 对于radius_db服务器定义同上。

f. 详细配置请参看DEMO演示。

注  意：

在设置服务器的连接数与半连接数时，具体的数据可参考服务器提供服务的能力以及服务器自身的连接数限制，以确保防火墙此项功能能够真正生效。

关键词：

全连接与半连接：能够完成三次完整TCP握手的一个连接称为全连接；只完成前一次或两次握手的连接称为半连接。

知识点：

DDOS攻击：DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。它的目的就是拒绝服务访问，破坏服务器的正常运行，最终使服务器提供的服务失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

DDoS（分布式拒绝服务），其英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要攻击对象为比较大的站点，如商业公司，搜索引擎和政府部门的站点。