防火墙能够对DDoS进行流量控制吗

1.25.12  新建会话限速配置举例

1. 组网需求

在Device上配置新建会话限速功能，以防止来自外网的DDoS攻击造成的大量新建连接消耗设备的处理资源，影响正常业务。

2. 组网图

图1-21 新建会话限速配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

(2)     将接口加入安全域

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置安全策略

# 配置名称为untrust-trust的安全策略，保证Internet中的主机可以访问内网服务器，具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name untrust-trust

[Device-security-policy-ip-1-untrust-trust] source-zone untrust

[Device-security-policy-ip-1-untrust-trust] destination-zone trust

[Device-security-policy-ip-1-untrust-trust] destination-ip-host 192.168.1.10

[Device-security-policy-ip-1-untrust-trust] destination-ip-host 192.168.1.11

[Device-security-policy-ip-1-untrust-trust] destination-ip-host 192.168.1.12

[Device-security-policy-ip-1-untrust-trust] action pass

[Device-security-policy-ip-1-untrust-trust] quit

[Device-security-policy-ip] quit

(4)     配置新建会话限速功能

# 配置基于源IPv4地址的新建会话限速的阈值为10，处理行为为发送日志并丢弃报文。

[Device] attack-defense ipcar source ip threshold 10 action logging drop

[Device] interface gigabitethernet 1/0/2

# 开启基于源IPv4地址的新建会话限速功能。

[Device-GigabitEthernet1/0/2] attack-defense ipcar source ip session-rate-limit enable