 |
b. 要求:正確配置防火墻防攻擊策略,使得外網(wǎng)區(qū)域中的server與radius_db服務器能夠抵御外部的DDOS等攻擊。實現(xiàn)方式如下:
c. 首先配置相應的訪問策略,允許lihua能夠正常訪問兩臺服務器(如有疑問請參看“防火墻4000 訪問策略配置”相關文檔或DEMO演示);
d. 然后在定義服務器節(jié)點對象的對話框中選擇服務器的“操作系統(tǒng)類型”以及最多接受的“連接數(shù)”和“半連接數(shù)”等,示例如下:
 |
e. 對于radius_db服務器定義同上。
f. 詳細配置請參看DEMO演示。
注 意:
在設置服務器的連接數(shù)與半連接數(shù)時,具體的數(shù)據(jù)可參考服務器提供服務的能力以及服務器自身的連接數(shù)限制,以確保防火墻此項功能能夠真正生效。
關鍵詞:
全連接與半連接:能夠完成三次完整TCP握手的一個連接稱為全連接;只完成前一次或兩次握手的連接稱為半連接。
知識點:
DDOS攻擊:DoS的英文全稱是Denial of Service,也就是“拒絕服務”的意思。它的目的就是拒絕服務訪問,破壞服務器的正常運行,最終使服務器提供的服務失效。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務。首先攻擊者向服務器發(fā)送眾多的帶有虛假地址的請求,服務器發(fā)送回復信息后等待回傳信息,由于地址是偽造的,所以服務器一直等不到回傳的消息,分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后,連接會因超時而被切斷,攻擊者會再度傳送新的一批請求,在這種反復發(fā)送偽地址請求的情況下,服務器資源最終會被耗盡。
DDoS(分布式拒絕服務),其英文全稱為Distributed Denial of Service,它是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要攻擊對象為比較大的站點,如商業(yè)公司,搜索引擎和政府部門的站點。
