| TCP 半开连接限制 - 通过限制防火墙允许的处于活动状态但未完全建立的 TCP 流量数量来防止 TCP SYN 泛洪攻击。 |
1-1,000,000 |
防火墙 - 无 Edge 网关 - 1,000,000 |
设置此文本框以限制活动的 TCP 半打开连接数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。 |
| UDP 活动流限制 - 通过限制防火墙允许的活动的 UDP 流量数量来防止 UDP 泛洪攻击。达到设置的 UDP 流限制后,则会丢弃后面的可建立新流量的 UDP 数据包。 |
1-1,000,000 |
防火墙 - 无 Edge 网关 - 1,000,000 |
设置此文本框以限制活动的 UDP 连接数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。 |
| ICMP 活动流限制 - 通过限制防火墙允许的活动的 ICMP 流量数量来防止 ICMP 泛洪攻击。达到设置的流限制后,则会丢弃后面的可建立新流量的 ICMP 数据包。 |
1-1,000,000 |
防火墙 - 无 Edge 网关 - 10,000 |
设置此文本框以限制活动的 ICMP 打开连接数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。 |
| 其他活动连接限制 |
1-1,000,000 |
防火墙 - 无 Edge 网关 - 10,000 |
设置此文本框以限制除 ICMP、TCP 和 UDP 半打开连接之外的其他活动连接的数量。如果此文本框为空,则将在 ESX 节点上禁用此限制,并将其设置为 Edge 网关的默认值。 |
| SYN 缓存 - 在已同时配置 TCP 半开连接限制的情况下使用 SYN 缓存。可通过维护未完全建立的 TCP 会话的 SYN 缓存来强制限制活动的半打开连接数量。此缓存用于维护处于 SYN_SENT 和 SYN_RECEIVED 状态的流量条目。从启动器收到 ACK 后,会将每个 SYN 缓存条目升级为完整的 TCP 状态条目,从而完成三向握手。 |
|
仅适用于防火墙配置文件。 |
可打开和关闭。仅当配置了 TCP 半开连接限制时,启用 SYN 缓存才有效。默认情况下,将禁用该按钮。 |
| RST 欺骗 - 从 SYN 缓存清除半打开状态时,生成到服务器的欺骗性 RST。允许服务器清理与 SYN 泛洪相关联的状态(半打开状态)。 |
|
仅适用于防火墙配置文件。 |
可打开和关闭。必须启用“SYN 缓存”,此选项才可用 |
| NAT 活动连接限制 |
1-4294967295 |
仅适用于 Edge 网关配置文件。默认值为 4294967295。 |
设置该参数以限制可以在网关中生成的 NAT 连接数。 |
