某些终端疯狂连接内网一服务器,次数较多,是否可以通过防火墙做连接数限制,当发现存在该类终端疯狂连接内网服务器时限制其连接次数
(0)
最佳答案
您好,可以参考一下官网案例:
配置ACL
# 创建ACL 3000,定义允许内网所有主机发送的报文通过,具体配置步骤如下。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
# 创建ACL 3001,定义允许访问Web Server和DNS Server的报文通过,具体配置步骤如下。
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule permit ip destination 192.168.0.2 0
[Device-acl-ipv4-adv-3001] rule permit ip destination 192.168.0.3 0
[Device-acl-ipv4-adv-3001] quit
(6) 配置连接数限制策略
# 创建连接数限制策略1,允许匹配ACL 3000的全部主机总共最多只能与外网建立100000条连接,超过100000时,需要等连接数恢复到95000以下才允许建立新的连接。允许匹配ACL 3001的服务器最多接受10000条连接请求,超过10000时,需要等连接数降到9800以下才允许建立新的连接,具体配置步骤如下。
[Device] connection-limit policy 1
[Device-connlmt-policy-1] limit 1 acl 3000 amount 100000 95000
[Device-connlmt-policy-1] limit 2 acl 3001 per-destination amount 10000 9800
[Device-connlmt-policy-1] quit
# 创建连接数限制策略2,允许匹配ACL 3000的每台主机最多只能与外网建立100条连接,超过100时,需要等连接数恢复到90以下才允许建立新的连接,具体配置步骤如下。
[Device] connection-limit policy 2
[Device-connlmt-policy-2] limit 1 acl 3000 per-source amount 100 90
[Device-connlmt-policy-2] quit
(7) 应用连接数限制策略
# 在全局应用连接数限制策略1。
[Device] connection-limit apply global policy 1
# 在入接口GigabitEthernet1/0/1上应用连接数限制策略2。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] connection-limit apply policy 2
[Device-GigabitEthernet1/0/1] quit
(0)
connection-limit apply policy 1
connection-limit apply global policy 1
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论