为什么深信服AF对tcp的dos防护失效，太消耗设备性能

先表一下起因：

某客户网络整改之后发现网络特别慢，排查设备，发现AF-1720软件版本6.3上某个接口（DMZ区域）流量不正常，流量在600Mbps上下。

设备负载在30%左右，抓包排查之后发现总是对某高防IDC机房的ip的7009端口进行发包，数据包大小在700左右，发包的是一台服务器，但是自己比较奇怪当时开通了DOS防护策略为什么还有这么高的流量，为不影响客户上网，就加了一条应用控制策略封堵了此IP，400协助抓包说中了病毒，总是对外发起连接，但是因为没有建立连接成功，所以连接数限制没有成功，没有封堵的时候设备会话在27万左右，封堵之后会话只有6万上下。

为了搞清楚为什么设备没有进行阻拦，所以跟某公司借了一台型号和性能接近的设备AF-1820(2U设备太TM的沉了)，软件版本略高为AF6.5版本。公司的服务器没有空余的找几台笔记本进行了测试，模拟了600Mbps左右的流量，因为笔记本性能限制，只启动了4000并发，dos策略设置的阈值都是1000，然后发送抓到的tcp的包，数据包内容是客户现场抓到的包。

打开任务管理器，观察网卡流量。

登录设备流量符合预期，600Mbps上下。

截图时间不对，勿纠结

启用策略，发现没有增长。

策略如下

自己没有勾选阻断，为什么没有勾选一会再说。

等待十分钟之后发现记录数没有增长。

拿另外一台电脑测试的时候发现了一条记录

其他的三条记录是在当时tcp发包无效的情况下，改成udp发包触发的，包速过快其实也算触发规则了。

勾选阻断之后观察接口流量没有太大变化。还是几百兆上下。

所以自己去掉了阻拦。

到现在我可以认定AF设备的dos防护策略针对TCP的发布是失效了吗？

我不想用官方提供的ddos测试工具区测试，因为那是针对性测试，难道现网环境下适应性这么差劲吗？

已经联系了400工程师看了？工程师怎么给解释的呢

额，你通过防火墙发现了服务器中毒为什么不直接处理掉呢？

额，内网服务器发包严重，第一反应就是 把服务器网线拔了，其他的后续再说，然后看日志分析

配置DOS防护时，测试的时候好像是不推荐开启 基于数据包攻击 里面的那个IP数据分块防护功能的