IP限速
本帮助主要介绍以下内容:
特性简介
本配置可对设备上的新建会话速率进行限制,防止DDoS攻击造成大量新建连接消耗设备的处理性能,影响正常业务。
设备支持配置公网防护和内网防护两种类型的新建连接速率限制:
公网防护:用来对公网主动访问内网的连接进行限制,基于报文目的IP地址进行新建会话数统计,向同一个目的IP地址发起的连接数目将受到指定阈值的限制。
内网防护:用来对内网主动访问公网的连接进行限制,基于报文源IP地址进行新建会话数统计,同一个源IP地址发起的连接数目将受到指定阈值的限制。
vSystem相关说明
非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
同一个接口上,基于源IP地址的新建会话限速功能与基于目的IP地址的新建会话限速功能不能同时开启。
配置指南
配置思路
IP限速的配置思路如下图所示:
图-1 配置指导图
配置准备
在配置本特性之前,需要完成以下任务:
配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。
配置路由,保证路由可达。路由在“网络 > 路由”页面配置。
创建安全域。安全域在“网络 > 安全域”页面配置。
配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。
配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。
配置新建连接速率限制
支持配置公网防护和内网防护两种类型的新建连接速率限制。公网防护是通过配置对公网主动访问内网的连接进行限制来实现的,内网防护是通过配置对内网主动访问公网的连接限制来实现的。具体的配置步骤如下:
单击“策略 > 主动防护 > IP限速”。
根据需求请选择公网防护或内网防护,具体的配置参数如下表所示。
图-2 公网防护页面
图-3 内网防护页面
表-1 配置参数
参数
说明
IP类型
IPv4
IPv6
防范动作
告警:超出限速阈值时将发送日志,可在IP限速日志界面查看
丢弃:丢弃超出限速阈值的新建会话报文
接口
选择需要开启会话限速功能的接口
最大新建连接速率
新建会话限速功能的限速阈值
单击<确定>按钮,完成配置。