泛洪保护有助于防御“拒绝服务”(Denial of Service, DDoS) 攻击。

DDoS 攻击的目的在于向服务器发送大量请求以消耗服务器的所有可用资源,进而使合法流量无法访问服务器。创建泛洪保护配置文件可对 ICMP、UDP 和半开放式 TCP 流量施加活动会话数量限制。分布式防火墙可以缓存处于 SYN_SENT 和 SYN_RECEIVED 状态的流量条目,并在从启动器收到 ACK 后将每个条目升级到 TCP 状态,从而完成三向握手。

过程

  1. 导航到安全 > 安全配置文件 > 泛洪保护
  2. 单击添加配置文件,然后选择添加 Edge 网关配置文件添加防火墙配置文件
  3. 填写泛洪保护配置文件参数:
    表 1. 防火墙配置文件和 Edge 网关配置文件的参数
    参数 最小值和最大值 默认
    TCP 半开连接限制 - 通过限制防火墙允许的处于活动状态但未完全建立的 TCP 流量数量来防止 TCP SYN 泛洪攻击。 1-1,000,000

    防火墙 - 无

    Edge 网关 - 1,000,000

    设置此文本框以限制活动的 TCP 半打开连接数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。
    UDP 活动流限制 - 通过限制防火墙允许的活动的 UDP 流量数量来防止 UDP 泛洪攻击。达到设置的 UDP 流限制后,则会丢弃后面的可建立新流量的 UDP 数据包。 1-1,000,000

    防火墙 - 无

    Edge 网关 - 1,000,000

    设置此文本框以限制活动的 UDP 连接数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。
    ICMP 活动流限制 - 通过限制防火墙允许的活动的 ICMP 流量数量来防止 ICMP 泛洪攻击。达到设置的流限制后,则会丢弃后面的可建立新流量的 ICMP 数据包。 1-1,000,000

    防火墙 - 无

    Edge 网关 - 10,000

    设置此文本框以限制活动的 ICMP 打开连接数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。
    其他活动连接限制 1-1,000,000

    防火墙 - 无

    Edge 网关 - 10,000

    设置此文本框以限制除 ICMP、TCP 和 UDP 半打开连接之外的其他活动连接的数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。
    SYN 缓存 - 在已同时配置 TCP 半开连接限制的情况下使用 SYN 缓存。可通过维护未完全建立的 TCP 会话的 SYN 缓存来强制限制活动的半打开连接数量。此缓存用于维护处于 SYN_SENT 和 SYN_RECEIVED 状态的流量条目。从启动器收到 ACK 后,会将每个 SYN 缓存条目升级为完整的 TCP 状态条目,从而完成三向握手。 仅适用于防火墙配置文件。 可打开和关闭。仅当配置了 TCP 半开连接限制时,启用 SYN 缓存才有效。默认情况下,将禁用该按钮。
    RST 欺骗 - 从 SYN 缓存清除半打开状态时,生成到服务器的欺骗性 RST。允许服务器清理与 SYN 泛洪相关联的状态(半打开状态)。 仅适用于防火墙配置文件。 可打开和关闭。必须启用“SYN 缓存”,此选项才可用
    NAT 活动连接限制 1-4294967295 仅适用于 Edge 网关配置文件。默认值为 4294967295。 设置该参数以限制可以在网关中生成的 NAT 连接数。
  4. 要将配置文件应用到 Edge 网关和防火墙组,请单击设置
  5. 单击保存

下一步做什么

保存后,单击管理组到配置文件的优先级,以管理组到配置文件的绑定优先级。