防火墙开启DNS flood攻击检测

配置DNS flood攻击防范策略

(1)     进入系统视图。

system-view

(2)     进入攻击防范策略视图。

attack-defense policy policy-name

(3)     对所有非受保护IP地址开启DNS flood攻击防范检测。

dns-flood detect non-specific

缺省情况下，未对任何非受保护IP地址开启DNS flood攻击防范检测。

(4)     配置DNS flood攻击防范的全局触发阈值。

dns-flood threshold threshold-value

缺省情况下，DNS flood攻击防范的全局触发阈值为10000。

(5)     （可选）配置DNS flood攻击防范的全局检测端口号。

dns-flood port port-list

缺省情况下，DNS flood攻击防范的全局检测端口号为53。

(6)     配置对DNS flood攻击防范的全局处理行为。

dns-flood action { client-verify | drop | logging } *

缺省情况下，不对检测到的DNS flood攻击采取任何措施。

(7)     开启对IP地址的DNS flood攻击防范检测，并配置触发阈值和处理行为。

dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

缺省情况下，未对任何指定IP地址配置DNS flood攻击防范检测。

12. 配置DNS reply flood攻击防范策略

(1)     进入系统视图。

system-view

(2)     进入攻击防范策略视图。

attack-defense policy policy-name

(3)     对所有非受保护IP地址开启DNS reply flood攻击防范检测。

dns-reply-flood detect non-specific

缺省情况下，未对任何非受保护IP地址开启DNS reply flood攻击防范检测。

(4)     配置DNS reply flood攻击防范的全局触发阈值。

dns-reply-flood threshold threshold-value

缺省情况下，DNS reply flood攻击防范的全局触发阈值为10000。

(5)     配置DNS reply flood攻击防范的全局检测端口号。

dns-reply-flood port port-list

缺省情况下，DNS reply flood攻击防范的全局检测端口号为53。

(6)     配置对DNS reply flood攻击防范的全局处理行为。

dns-reply-flood action { client-verify | drop | logging } *

缺省情况下，不对检测到的DNS reply flood攻击采取任何措施。

(7)     开启对IP地址的DNS reply flood攻击防范检测，并配置触发阈值和处理行为。

dns-reply-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

缺省情况下，未对任何指定IP地址配置DNS reply flood攻击防范检测。