![background image](/i/zyxel/144707/zyxel-p-660ht-ee/h/zyxel-p-660ht-ee-174.png)
Руководство
пользователя
P–660HT/HTW EE
173
Глава
11
Настройка
межсетевого
экрана
Можно
использовать
значения
допустимых
порогов
по
умолчанию
или
установить
собственные
в
соответствиями
с
требованиями
безопасности
.
Настройка
порогов
—
см
11.12.1
Значения
допустимых
порогов
Если
что
-
то
не
работает
и
счетчики
сетевого
экрана
проверены
,
необходимо
настроить
данные
параметры
.
Значения
,
установленные
по
умолчанию
,
хорошо
подходят
для
небольших
офисов
.
Выбор
значений
допустимых
порогов
зависит
от
следующих
величин
:
•
Максимальное
количество
открытых
сессий
.
•
Минимальное
количество
возможных
незавершенных
заданий
на
сервере
локальной
сети
.
•
Возможности
центральных
процессоров
серверов
локальной
сети
.
•
Пропускная
способность
сети
.
•
Тип
трафика
для
отдельных
серверов
.
Если
по
причинам
,
зависящим
от
каких
-
то
из
вышеперечисленных
факторов
,
сеть
работает
медленнее
,
чем
обычно
(
особенно
если
имеются
медленные
серверы
или
серверы
,
обрабатывающие
большое
количество
задач
,
которые
часто
перегружены
),
значения
по
умолчанию
необходимо
уменьшить
.
Изменять
значения
допустимых
порогов
необходимо
до
продолжения
работы
по
настройке
параметров
межсетевого
экрана
.
11.12.2
Полуоткрытые
сеансы
связи
Слишком
большое
количество
полуоткрытых
сеансов
связи
(
выраженное
конкретным
числом
или
в
виде
частоты
поступлений
)
может
означать
наличие
атаки
Do S.
Применительно
к
TCP, "
полуоткрытые
"
сеансы
—
это
сеансы
связи
,
не
дошедшие
до
состояния
установленных
,
т
.
е
.
когда
не
завершено
трехстороннее
квитирование
по
TCP
(
см
.
).
Для
UDP, "
полуоткрытое
"
состояние
означает
,
что
межсетевой
экран
не
обнаружил
ответный
трафик
.
Интернет
-
центр
P–660HT/HTW EE
измеряет
как
общее
число
существующих
полуоткрытых
сеансов
связи
,
так
и
интенсивность
попыток
установления
сеанса
связи
.
Для
обоих
типов
соединений
, TCP
и
UDP,
считается
количество
полуоткрытых
соединений
и
интенсивность
поступлений
.
Подсчеты
производятся
поминутно
.
Когда
число
существующих
полуоткрытых
сеансов
связи
превышает
верхний
допустимый
порог
(
max-incomplete high
),
интернет
-
центр
начинает
удалять
полуоткрытые
сеансы
связи
для
осуществления
новых
запросов
на
соединение
.
Интернет
-
центр
продолжает
удалять
полуоткрытые
запросы
по
мере
необходимости
,
до
тех
пор
,
пока
число
существующих
полуоткрытых
сеансов
связи
не
упадет
ниже
другого
допустимого
порога
(
max-incomplete low
).