连接数限制规则一个连接数限制策略中可定义多条连接数限制规则,每条连接数限制规则中指定一个连接数限制的用户范围,属于该范围的用户可建立的连接数及新建连接速率将受到该规则中指定参数的限制。具体如下:
连接数限制:对某类型的连接数进行限制,达到触发限制阈值时,设备将根据用户配置的动作允许、拒绝新建连接请求或将源IP地址加入黑名单。若动作配置为拒绝新建连接,则需要等到设备上已有连接因老化而删除,使得当前该类型的连接数低于解除限制阈值后,才允许新建连接;若动作配置为IP加入黑名单,则需要等到黑名单老化后,该源IP地址才允许新建连接。连接数达到触发限制阈值时,设备将记录日志;连接数下降到解除限制阈值时,只有动作配置为拒绝新建连接时才会记录日志。
新建速率限制:对新建连接的速率进行限制,每秒新建的连接数达到限制值时,设备将根据用户配置的动作允许、拒绝新建连接请求并记录日志或将源IP地址加入黑名单。
对于未匹配连接数限制规则的用户所建立的连接,设备不对其进行限制。
目前,连接数限制支持根据ACL来限定用户范围,对匹配ACL规则的用户连接数进行统计和限制。
设备对于某一范围内的用户连接,可根据不同的控制粒度,按照如下各类型进行连接数限制:
按源IP地址进行统计和限制,即同一个源IP地址发起的连接数目将受到指定阈值的限制。
按目的IP地址进行统计和限制,即到同一个目的IP地址的连接数目将受到指定阈值的限制。
按服务端口进行统计和限制,即同一种服务(具有相同传输层协议和服务端口)的连接数目将受到指定阈值的限制。
如果在一条规则中同时指定以上三种类型中的多个,则多种统计和限制类型同时生效。例如,同时指定“按目的IP地址进行统计和限制”和“按服务端口进行统计和限制”,则表示对到同一个目的地址的同一种服务的连接数进行统计和限制。若一条规则中不指定以上任何一种限制类型,则表示指定范围内的所有用户连接将整体受到指定的阈值限制。
对设备上建立的连接与某连接数限制策略进行匹配时,将按照规则编号从小到大的顺序依次遍历该策略中的所有规则,因此在配置连接数限制规则时,需要从整体策略考虑,根据各规则的内容来合理安排规则的编号顺序,推荐按照限制粒度和范围由小到大的顺序来设置规则序号。