并发连接限制

特性简介

为了实现保护内部网络资源（主机或服务器）以及合理分配设备系统资源的目的，通常采用并发连接限制对设备上建立的连接数进行统计和限制。

并发连接限制策略

设备支持创建IPv4和IPv6两种类型的并发连接限制策略，将配置好的并发连接限制策略应用到整机或接口上，实现对用户的并发连接限制。

接口上应用的并发连接限制策略仅对本接口上处理的指定连接生效，整机应用的并发连接限制策略对本设备处理的所有指定的连接生效。

如果在入接口、整机和出接口上分别应用了不同的并发连接限制策略，则经过设备的连接将会依次受到入接口、整机、出接口并发连接限制策略的多重限制，只要该连接的数目达到任何一处连接数上限，都将受到并发连接限制策略的限制。

并发连接限制规则

一个并发连接限制策略中可定义多条并发连接限制规则，每条并发连接限制规则中指定一个并发连接限制的用户范围，属于该范围的用户可建立的连接数及新建连接速率将受到该规则中指定参数的限制。具体如下：

• 并发连接限制：对某类型的连接数进行限制，达到触发限制阈值时，设备将根据用户配置的动作允许、拒绝新建连接请求或将源IP地址加入黑名单。若动作配置为拒绝新建连接，则需要等到设备上已有连接因老化而删除，使得当前该类型的连接数低于解除限制阈值后，才允许新建连接；若动作配置为IP加入黑名单，则需要等到黑名单老化后，该源IP地址才允许新建连接。连接数达到触发限制阈值时，设备将记录日志；连接数下降到解除限制阈值时，只有动作配置为拒绝新建连接时才会记录日志。

• 新建速率限制：对新建连接的速率进行限制，每秒新建的连接数达到限制值时，设备将根据用户配置的动作允许、拒绝新建连接请求并记录日志或将源IP地址加入黑名单。

对于未匹配并发连接限制规则的用户所建立的连接，设备不对其进行限制。

目前，并发连接限制支持根据ACL来限定用户范围，对匹配ACL规则的用户连接数进行统计和限制。

设备对于某一范围内的用户连接，可根据不同的控制粒度，按照如下各类型进行并发连接限制：

• 按源IP地址进行统计和限制，即同一个源IP地址发起的连接数目将受到指定阈值的限制。

• 按目的IP地址进行统计和限制，即到同一个目的IP地址的连接数目将受到指定阈值的限制。

• 按服务端口进行统计和限制，即同一种服务（具有相同传输层协议和服务端口）的连接数目将受到指定阈值的限制。

如果在一条规则中同时指定以上三种类型中的多个，则多种统计和限制类型同时生效。例如，同时指定“按目的IP地址进行统计和限制”和“按服务端口进行统计和限制”，则表示对到同一个目的地址的同一种服务的连接数进行统计和限制。若一条规则中不指定以上任何一种限制类型，则表示指定范围内的所有用户连接将整体受到指定的阈值限制。

对设备上建立的连接与某并发连接限制策略进行匹配时，将按照规则编号从小到大的顺序依次遍历该策略中的所有规则，因此在配置并发连接限制规则时，需要从整体策略考虑，根据各规则的内容来合理安排规则的编号顺序，推荐按照限制粒度和范围由小到大的顺序来设置规则序号。

vSystem相关说明

非缺省VSystem对于本特性的支持情况，请以页面的实际显示为准。

使用限制和注意事项

• 对于支持多安全业务板的设备，以安全业务板为单元按照配置的连接数阈值进行限制。

• 应用并发连接限制策略后，仅对新创建的连接生效，已经创建的连接不受此限制。

• 在双机热备组网环境中，从主设备切换到备份设备的会话，不受备份设备上并发连接限制策略的限制。

• 一条ACL规则在同一个并发连接限制策略中仅能应用一次，在不同策略中可多次应用。

• 并发连接限制策略不支持应用于LoopBack接口。

• 仅限制方式为“按源ＩＰ地址进行统计和限制”时才可以配置“IP加入黑名单”动作，且配置该动作必须开启IP黑名单才能生效。

• 配置并发连接限制规则时，触发限制阈值需要大于设备CPU核数，建议该阈值大于32。

配置指南

配置思路

并发连接限制功能的配置思路如下图所示：

图-1 并发连接限制配置思路图

配置准备

在配置本特性之前，需要完成以下任务：

• 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

• 配置路由，保证路由可达。路由在“网络 > 路由”页面配置。

• 创建安全域。安全域在“网络 > 安全域”页面配置。

• 配置接口加入安全域。可在安全域页面添加接口，也可在接口页面选择接口所属的安全域。

• 配置安全策略，放行业务流量。安全策略在“策略 > 安全策略”页面配置。

配置基于接口的连接数限制

基于接口的连接数限制的具体步骤如下：

1. 单击“策略 > 主动防护 > 并发连接限制”。

2. 在“并发连接限制”页面单击<新建>按钮，进入“新建并发连接限制策略”页面，配置并发连接限制策略参数，"应用于"选择指定接口，具体的配置参数如下表所示。启用<开始新建规则>按钮，在单击<确认>按钮后会进入新建IPv4/IPv6并发连接限制规则配置页面。

   图-2 新建并发连接限制策略

   

   图-3 新建并发连接限制规则

   

   表-1 并发连接限制策略参数

   参数	说明
   策略编号	并发连接限制策略编号（IPv4、IPv6并发连接限制策略的编号空间各自独立）
   IP地址类型	IPv4 IPv6
   应用于	接口上应用的并发连接限制策略仅对本接口上处理的指定连接生效 整机应用的并发连接限制策略对本设备处理的所有指定的连接生效
   描述	配置连接数限制策略的描述信息
   开始新建规则	启用此功能，则新建并发连接限制策略配置完成点击确认后进入新建IPv4/IPv6并发连接限制规则配置页面
   规则编号	IPv4/IPv6并发连接限制规则编号
   ACL	配置ACL（支持下拉选择已有的ACL或新建ACL）
   新建速率限制	配置最大用户新建连接速率
   并发连接限制	触发限制阈值：触发并发连接限制的阈值，即连接数值超过此数值时，将不能建立新的连接 解除限制阈值：解除并发连接限制的阈值，即连接数降到此数值时允许建立新的连接
   限制方式	按源IP地址进行统计和限制，即同一个源IP地址发起的连接数目将受到指定阈值的限制 按目的IP地址进行统计和限制，即到同一个目的IP地址的连接数目将受到指定阈值的限制 按服务端口进行统计和限制，即具有相同服务端口的连接数目将受到指定阈值的限制
   达到上限时的动作	允许建立连接 拒绝新建连接 IP加入黑名单（仅限制方式勾选按源IP地址进行统计和限制时支持此动作。若黑名单功能未开启时，IP加入黑名单不生效，请进入策略 > 主动防护 > 黑名单页面开启全部应用）
   继续新建下一条规则	启用此功能，则继续进入新建IPv4/IPv6并发连接限制规则配置页面

3. 单击<确定>按钮，新建并发连接限制策略成功，且会在“并发连接限制”页面中显示。

   图-4 并发连接限制策略列表

   

配置基于整机的连接数限制

具体配置步骤如下：

1. 单击“策略 > 主动防护 > 并发连接限制”。

2. 在“并发连接限制”页面单击<新建>按钮，进入“新建并发连接限制策略”页面，配置并发连接限制策略参数，"应用于"选择"整机"，具体的配置参数请参见表-1。

   图-5 新建并发连接限制策略

   

   图-6 新建并发连接限制规则

   

3. 单击<确定>按钮，新建并发连接限制策略成功，且会在“并发连接限制”页面中显示。

   图-7 并发连接限制策略列表