防火墙防控DDOS攻击三步曲(2)

　　港湾网络SmartHammer防火墙支持IP Inspect功能，防火墙会对进入防火墙的资料做严格的检查，各种针对系统漏洞的攻击包如Ping of Death、TearDrop等，会自动被系统过滤掉，从而保护了网络免受来自于外部的漏洞攻击。对防火墙产品来说，资源是十分宝贵的，当受到外来的DDOS攻击时，系统内部的资源全都被攻击流所占用，此时正常的资料报文肯定会受到影响。SmartHammer基于状态的资源控制会自动监视网络内所有的连接状态，当有连接长时间未得到应答就会处于半连接的状态，浪费系统资源，当系统内的半连接超过正常的范围时，就有可能是判断遭受到了攻击。SmartHammer防火墙基于状态的资源控制能有效控制此类情况。

　　控制连接、与半连的超时时间；必要时，可以缩短半连接的超时时间，加速半连接的老化；

　　限制系统各个协议的最大连接值，保证协议的连接总数不超过系统限制，在达到连接上限后删除新建的连接；

　　限制系统符合条件源/目的主机连接数量；

　　针对源或目的IP地址做流限制，Inspect可以限制每个IP地址的的资源，用户在资源控制的范围内时，使用并不会受到任何影响，但当用户感染蠕虫病毒或发送攻击报文等情况时，针对流的资源控制可以限制每个IP地址发送的连接数目，超过限制的连接将被丢弃，这种做法可以有效抑制病毒产生攻击的效果，避免其它正常使用的用户受到影响。

　　单位时间内如果穿过防火墙的“同类”数据流超过门限值后，可以设定对该种类的数据流进行阻断，对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。