洪泛保護有助於防範拒絕服務 (DDoS) 攻擊。

DDoS 攻擊的目的是藉由耗用掉所有可用的伺服器資源,而導致伺服器無法篩選出合法的流量 - 也就是會有大量要求湧入伺服器。建立洪泛保護設定檔,可對 ICMP、UDP 和半開 TCP 流量施加作用中工作階段限制。分散式防火牆可快取處於 SYN_SENT 和 SYN_RECEIVED 狀態的流量項目,並在收到來自啟動器的 ACK 後將每個項目升階為 TCP 狀態,而完成三向信號交換。

程序

  1. 導覽至安全性 > 一般設定 > 防火牆 > 洪泛保護
  2. 導覽至安全性 > 一般設定 > 洪泛保護
  3. 按一下新增設定檔,然後選取新增 Edge 閘道設定檔新增防火牆設定檔
  4. 填入洪泛保護設定檔參數:
    表 1. 防火牆和 Edge 閘道設定檔的參數
    參數 最小值和最大值 預設值
    TCP 半開連線限制 - 藉由限制防火牆所允許作用中且未完整建立的 TCP 流量數目,以防止 TCP SYN 洪泛攻擊。 1-1,000,000

    防火牆 - 無

    Edge 閘道 - 1,000,000

    設定此文字方塊可限制作用中的 TCP 半開連線數目。如果此文字方塊空白,則會在 ESX 節點上停用此限制,並設定為 Edge 閘道的預設值。
    UDP 作用中流量限制 - 藉由限制防火牆所允許作用中 UDP 流量的數目,以防止 UDP 洪泛攻擊。在達到設定的 UDP 流量限制後,系統就會捨棄後續可能建立新流量的 UDP 封包。 1-1,000,000

    防火牆 - 無

    Edge 閘道 - 1,000,000

    設定此文字方塊可限制作用中的 UDP 連線數目。如果此文字方塊空白,則會在 ESX 節點上停用此限制,並設定為 Edge 閘道的預設值。
    ICMP 作用中流量限制 - 藉由限制防火牆所允許作用中 ICMP 流量的數目,防止 ICMP 洪泛攻擊。在達到設定的流量限制後,系統就會捨棄後續可能建立新流量的 ICMP 封包。 1-1,000,000

    防火牆 - 無

    Edge 閘道 - 10,000

    設定此文字方塊可限制作用中的 ICMP 開放連線數目。如果此文字方塊空白,則會在 ESX 節點上停用此限制,並設定為 Edge 閘道的預設值。
    其他作用中連線限制 1-1,000,000

    防火牆 - 無

    Edge 閘道 - 10,000

    設定此文字方塊,可限制 ICMP、TCP 和 UDP 半開連線以外的作用中連線數目。如果此文字方塊空白,則會在 ESX 節點上停用此限制,並設定為 Edge 閘道的預設值。
    SYN 快取 - 同時設定了 TCP 半開連線限制時,系統會使用 SYN 快取。系統會維護未完整建立之 TCP 工作階段的 SYN 快取,以強制執行作用中的半開連線數目。此快取會保留處於 SYN_SENT 和 SYN_RECEIVED 狀態的流量項目。收到來自啟動器的 ACK 之後,每個 SYN 快取項目都會升階為完整 TCP 狀態項目,而完成三向信號交換。 僅適用於防火牆設定檔。 切換為開啟和關閉。只有在設定了 TCP 半開連線限制時,啟用 SYN 快取才有效用。依預設為停用狀態。
    RST 詐騙 - 從 SYN 快取清除半開狀態時,對伺服器產生詐騙的 RST。允許伺服器清理與 SYN 洪泛 (半開) 相關聯的狀態。 僅適用於防火牆設定檔。 切換為開啟和關閉。必須啟用 SYN 快取才能使用此選項
    NAT 作用中連線限制 1 - 4294967295 僅適用於 Edge 閘道設定檔。預設值為 4294967295。 設定此參數以限制可在閘道上產生的 NAT 連線數目。
  5. 若要將設定檔套用至 Edge 閘道和防火牆群組,請按一下設定
  6. 按一下儲存

下一步

儲存後,按一下管理群組與設定檔的優先順序以管理群組與設定檔的繫結優先順序。