![background image](/i/zyxel/148182/zyxel-p660hwp-ee-kit/h/zyxel-p660hwp-ee-kit-204.png)
Глава
11
Настройка
межсетевого
экрана
Руководство
пользователя
P660HWP-Dx
204
Когда
число
существующих
полуоткрытых
сеансов
связи
превышает
порог
max-
incomplete high (
верхний
предел
полуоткрытых
сеансов
)
,
интернет
-
центр
P660HWP
начинает
удалять
полуоткрытые
сеансы
связи
для
выполнения
новых
запросов
на
установление
соединение
. P660HWP
удаляет
полуоткрытые
сеансы
до
тех
пор
,
пока
их
количество
не
станет
меньше
,
чем
значение
порога
max-incomplete low (
нижний
предел
полуоткрытых
сеансов
)
.
Когда
интенсивность
новых
попыток
установления
соединения
превышает
порог
one-
minute high (
верхний
порог
интенсивности
)
, P660HWP
начинает
удалять
полуоткрытые
сеансы
связи
для
выполнения
новых
запросов
на
установление
соединение
. The P660HWP
удаляет
полуоткрытые
сеансы
до
тех
пор
,
пока
значение
интенсивности
новых
попыток
установления
соединения
не
станет
меньше
,
чем
значение
порога
one-minute low (
нижний
порог
интенсивности
)
.
Частота
соединений
–
это
количество
новых
попыток
,
обнаруженное
за
последний
установленный
период
выборки
длительностью
в
одну
минуту
.
11.10.2.1
Максимум
неполных
TCP-
соединений
и
время
блокирования
Слишком
большое
количество
полуоткрытых
соединений
с
одним
и
тем
же
адресом
узла
получателя
может
означать
атаку
DoS,
направленную
на
данный
компьютер
-
узел
.
Пока
количество
полуоткрытых
соединений
с
одним
и
тем
же
адресом
назначения
превышает
допустимый
порог
TCP Maximum Incomplete (
Максимум
неполных
TCP)
P660HWP
удаляет
полуоткрытые
соединения
одним
из
следующих
способов
:
•
Если
значение
Blocking Time (
Время
блокирования
)
установлено
на
0 (
по
умолчанию
), P660HWP
удаляет
самый
старый
из
существующих
полуоткрытых
сеансов
для
данного
узла
при
каждом
новом
запросе
на
установление
соединения
.
В
этом
случае
количество
полуоткрытых
соединений
для
данного
узла
не
может
превысить
допустимый
порог
.
•
Если
значение
Blocking Time (
Время
блокирования
)
больше
0, P660HWP
блокирует
все
вновь
поступающие
на
данный
узел
запросы
на
установление
соединения
,
оставляя
серверу
время
обработать
текущие
запросы
.
Интернет
-
центр
P660HWP
блокирует
все
новые
запросы
на
установление
соединения
до
тех
пор
,
пока
не
истечет
время
,
установленное
в
поле
Blocking Time (
Время
блокирования
)
.
11.10.3
Настройка
порогов
межсетевого
экрана
Интернет
-
центр
P660HWP
также
посылает
извещения
,
каждый
раз
,
когда
превышается
значение
TCP Maximum Incomplete (
Максимум
неполных
TCP)
.
Глобальные
значения
допустимого
порога
и
времени
ожидания
действительны
для
всех
TCP-
соединений
.
Нажмите
кнопку
Firewall (
Межсетевой
экран
)
,
а
затем
Threshold (
Пороги
)
,
чтобы
открыть
следующее
окно
.