SecPath F100-M-G

您好，请知：

如果是限制登陆防火墙的用户连接数，可以在local-user内进行限制。

如果是限制登陆防火墙的IP限制，可使用ACL来限制。

如果是限制业务IP链接的数量，需要结合现场环境来评估确认是否能部署。

以下是链接数限制的配置举例，请参考：

5.3.6  连接数限制典型配置举例

1. 组网需求

某公司拥有202.38.1.1/24至202.38.1.5/24五个公网IP地址，内部网络地址为192.168.0.0/16。通过配置NAT使得内部网络主机可以访问Internet，并提供两台内部服务器供外网访问。为保护内部网络及网络资源，需要进行以下限制：

·            192.168.0.0/24网段的每台主机最多只能与外网建立100条连接，其他网段的主机不作限制。

·            同一时刻DNS服务器只接受10000条查询请求。

·            同一时刻Web服务器只接受10000条连接请求。

2. 组网图

图5-4 连接数限制典型配置组网

3. 配置步骤

# 创建并进入连接数限制策略视图。

<Firewall> system-view

[Firewall] connection-limit policy 0

# 配置连接数限制规则0，允许192.168.0.0/24网段的每台主机最多只能与外网建立100条连接。

[Firewall-connection-limit-policy-0] limit 0 source ip 192.168.0.0 24 destination ip any protocol ip max-connections 100 per-source

# 配置连接数限制规则1，允许同一时刻DNS服务器最多接受10000条查询请求。

[Firewall-connection-limit-policy-0] limit 1 source ip any destination ip 192.168.0.3 32 protocol dns max-connections 10000

# 配置连接数限制规则2，允许同一时刻Web服务器最多接受10000条连接请求。

[Firewall-connection-limit-policy-0] limit 2 source ip any destination ip 192.168.0.2 32 protocol http max-connections 10000

[Firewall-connection-limit-policy-0] quit

# 应用连接数限制策略。

[Firewall] connection-limit apply policy 0

4. 验证配置结果

上述配置完成后，执行display connection-limit policy命令显示连接数限制的配置情况，具体内容如下。

[Firewall] display connection-limit policy 0

 Connection-limit policy 0, refcount 1, 3 limits

  limit 0 source ip 192.168.0.0 24 destination ip any protocol ip max-connections 100 per-source

  limit 1 source ip any destination ip 192.168.0.3 32 protocol dns max-connections 10000

  limit 2 source ip any destination ip 192.168.0.2 32 protocol http max-connections 10000