【每日一记5】第3天+ac中如何设置防dos攻击

Dos攻击在众多网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法。它通过各种手段消耗网络带宽和系统资源，或者攻击系统缺陷，使正常系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常的用户访问服务。

深信服的上网行为管理具有防dos攻击的功能，具体设置如下：

1、打开浏览器，登陆ac。在左侧菜单里，点击【安全防护】，点击【防dos攻击】，打开防dos攻击设置界面。

2、勾选“启动防dos攻击”。

3、勾选“启用内网网段列表”后，填写内网网段。

     格式为：一行一个ip（ip6）、ip段、子网，子网与子网掩码之间用“/”分隔，起始ip地址与结束ip地址用“-”分隔。

    注意：内网网段必须填全，如果没有填全，则不在此列中的PC上网直接被认为是DOS攻击，被丢弃，导致断网。如果不启用内网网段列表，则对经过的所有数据包进行条件匹配，匹配上才认为是DOS攻击。

如果内网是二层环境，需要勾选“内网到本设备间通过一台/多台二层交换机直接相连，没有跨越任何的三层交换设备”，否则不要勾选该项。

4、根据需要，决定勾选“以下ip地址发起的攻击不会被拦截”，格式同上。

     这里个人理解是对不在“启用内网网段列表”里的ip地址进行放行（不进行dos攻击检测）的设置。

5、设置检测攻击条件，及检测到攻击后的处理，可以设置封锁时间及发送告警邮件通知管理员。

     最大tcp连接数推荐设置1024，最大攻击包次数推荐5000，封锁攻击时间（分钟）根据需要自行设置。

感谢分享