Grenzwert für halboffene TCP-Verbindung – TCP SYN-Flood-Angriffe werden verhindert, indem die Anzahl der aktiven, nicht vollständig eingerichteten TCP-Flows begrenzt wird, die von der Firewall zugelassen werden. |
1–1.000.000 |
Firewall – keine Edge-Gateway – 1.000.000 |
Legen Sie dieses Textfeld fest, um die Anzahl der aktiven halboffenen TCP-Verbindungen zu begrenzen. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt. |
Grenzwert für aktiven UDP-Flow – UDP-Flood-Angriffe werden verhindert, indem die Anzahl der aktiven UDP-Flows begrenzt wird, die von der Firewall zugelassen werden. Sobald der festgelegte UDP-Flow-Grenzwert erreicht ist, werden nachfolgende UDP-Pakete, die einen neuen Flow generieren können, verworfen. |
1–1.000.000 |
Firewall – keine Edge-Gateway – 1.000.000 |
Legen Sie dieses Textfeld fest, um die Anzahl der aktiven UDP-Verbindungen zu begrenzen. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt. |
Grenzwert für aktiven ICMP-Flow – ICMP-Flood-Angriffe werden verhindert, indem die Anzahl der aktiven ICMP-Flows begrenzt wird, die von der Firewall zugelassen werden. Nachdem der festgelegte Flow-Grenzwert erreicht wurde, werden nachfolgende ICMP-Pakete, die einen neuen Flow generieren können, verworfen. |
1–1.000.000 |
Firewall – keine Edge-Gateway – 10.000 |
Legen Sie dieses Textfeld fest, um die Anzahl der aktiven offenen ICMP-Verbindungen zu begrenzen. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt. |
Grenzwert für andere aktive Verbindung |
1–1.000.000 |
Firewall – keine Edge-Gateway – 10.000 |
Legen Sie dieses Textfeld fest, um die Anzahl der aktiven Verbindungen zu begrenzen, bei denen es sich nicht um halboffene ICMP-, TCP- und UDP-Verbindungen handelt. Wenn dieses Textfeld leer ist, wird dieser Grenzwert auf ESX-Knoten deaktiviert und auf den Standardwert für Edge-Gateways festgelegt. |
SYN-Cache – SYN-Cache wird verwendet, wenn auch ein Grenzwert für halboffene TCP-Verbindungen konfiguriert wurde. Die Anzahl der aktiven halboffenen Verbindungen wird durch die syncache-Beibehaltung der nicht vollständig eingerichteten TCP-Sitzungen erzwungen. Dieser Cache verwaltet die Flow-Einträge, die sich im SYN_SENT- und SYN_RECEIVED-Status befinden. Jeder syncache-Eintrag wird auf einen vollständigen TCP-Statuseintrag heraufgestuft, nachdem eine Bestätigung vom Initiator empfangen wurde, um den Dreiwege-Handshake abzuschließen. |
|
Nur für Firewall-Profile verfügbar. |
Aktivieren und deaktivieren. Das Aktivieren des SYN-Caches ist nur wirksam, wenn ein Grenzwert für halboffene TCP-Verbindungen konfiguriert ist. Standardmäßig deaktiviert. |
RST-Spoofing – Generiert manipuliertes RST auf dem Server, wenn halboffene Zustände aus dem SYN-Cache gelöscht werden. Ermöglicht dem Server, Zustände in Verbindung mit einer SYN-Flood zu bereinigen (halboffen). |
|
Nur für Firewall-Profile verfügbar. |
Aktivieren und deaktivieren. SYN-Cache muss aktiviert werden, damit diese Option verfügbar ist |
Grenzwert für aktive NAT-Verbindung |
1 - 4294967295 |
Nur für Edge-Gateway-Profile verfügbar. Die Standardeinstellung ist 4294967295. |
Legen Sie diesen Parameter, um die Anzahl der mit dem Gateway generierten NAT-Verbindungen zu beschränken. |