![background image](/i/zyxel/148182/zyxel-p660hwp-ee-kit/h/zyxel-p660hwp-ee-kit-203.png)
Глава
11
Настройка
межсетевого
экрана
Руководство
пользователя
P660HWP-Dx
203
11.10
Допустимые
пороги
для
атак
«
Отказ
в обслуживании
» (DoS)
Для
атак
типа
DoS
интернет
-
центр
P660HWP
применяет
пороги
,
которые
определяют
,
когда
следует
сбросить
сеанс
связи
,
находящийся
в
процессе
установления
соединения
.
Данные
допустимые
пороги
относятся
в
целом
ко
всем
сессиям
.
Можно
использовать
значения
допустимых
порогов
по
умолчанию
или
установить
собственные
в
соответствиями
с
требованиями
безопасности
.
Настройка
порогов
–
см
11.10.1
Значения
допустимых
порогов
Если
что
-
то
не
работает
и
счетчики
сетевого
экрана
проверены
,
необходимо
настроить
данные
параметры
.
Значения
,
установленные
по
умолчанию
,
хорошо
подходят
для
небольших
офисов
.
Выбор
значений
допустимых
порогов
зависит
от
следующих
величин
:
•
Максимальное
количество
открытых
сессий
.
•
Минимальное
количество
возможных
незавершенных
заданий
на
сервере
локальной
сети
.
•
Возможности
центральных
процессоров
серверов
локальной
сети
.
•
Пропускная
способность
сети
.
•
Тип
трафика
для
отдельных
серверов
.
Если
по
причинам
,
зависящим
от
каких
-
то
из
вышеперечисленных
факторов
,
сеть
работает
медленнее
,
чем
обычно
(
особенно
если
имеются
медленные
серверы
или
серверы
,
обрабатывающие
большое
количество
задач
,
которые
часто
перегружены
),
значения
по
умолчанию
необходимо
уменьшить
.
Изменять
значения
допустимых
порогов
необходимо
до
продолжения
работы
по
настройке
параметров
межсетевого
экрана
.
11.10.2
Полуоткрытые
сеансы
связи
Слишком
большое
количество
полуоткрытых
сеансов
связи
(
выраженное
конкретным
числом
или
в
виде
частоты
поступлений
)
может
означать
наличие
атаки
DoS.
Применительно
к
TCP, «
полуоткрытые
»
сеансы
–
это
сеансы
связи
,
не
дошедшие
до
состояния
установленных
,
т
.
е
.
когда
не
завершено
трехстороннее
квитирование
по
TCP
(
см
.
Для
UDP «
полуоткрытое
»
состояние
означает
,
что
межсетевой
экран
не
обнаружил
ответный
трафик
.
P660HWP
измеряет
общее
количество
существующих
полуоткрытых
сеансов
и
интенсивность
попыток
установления
сеансов
.
Для
обоих
типов
соединений
, TCP
и
UDP,
считается
количество
полуоткрытых
соединений
и
интенсивность
поступлений
.
Подсчеты
производятся
поминутно
.