一、组网需求

1、防DOS(Denial of Service)攻击设计的目标就是要使设备能够阻止外部的恶意攻击，同时还能使内网正常地与外界通信。不仅保护设备，更要保护内网。当遭受到攻击时，向用户进行报警提示。

2、常见的DOS攻击主要包括PING of death、 teardrop attack、 jolt2 attack、 syn flood、 icmp flood、udp flood、arp flood、syn fragment、land-base、winnuke等。

3、扫描也是网络攻击的一种，攻击者在发起网络攻击之前，通常会试图确定目标上开放的TCP/UDP端口，而一个开放的端口通常意味着某种应用。

4、NGFW设备可以有效防范以上几类扫描，从而阻止外部的恶意攻击，保护设备和内网,当检测到此类扫描探测时，向用户进行报警提示。

二、组网拓扑

三、配置要点

1、配置防攻击、防扫描；

2、配置智能TCP flood防御；

在防攻击功能里的TCP flood防御功能，必须慎重使用，它有自己特定的使用场景：防火墙放在内网，专用用来保护内网的服务器。如果不是此场景，请不要使用。（TCP Flood原理：TCP Flood即SYN Flood攻击，是众多DOS攻击形式的一种方式。SYN Flood利用TCP协议的缺陷，向服务器端发送大量伪造的TCP连接请求之后，自身不再做出应答，使得服务器端的资源迅速耗尽，从而无法及时处理其它正常的服务请求，严重的时候甚至会导致服务器系统的崩溃。）

NGFW的防SYN Flood攻击采用了业界最新的syncookie技术，在很少占用系统资源的情况下，可以有效地抵御SYN Flood对受保护服务器的攻击。

识别阈值：配置TCP半连接的阈值，超过阈值则丢弃，缺省配置为300。

金宏达网络是锐捷河南独家代理商，专业供应锐捷网络各系列网络产品和网络安全产品：RG-WALL 1600S-V，RG-WALL 1600E，RG-WALL 1600T等，我们在IT网络方面已经拥有17年实战经验，技术工程师可免费提供上门调试服务，为您打造属于自己的网络家园。想了解更多锐捷网络产品产品参数或价格信息欢迎致电免费热线：400-0377-771.

相关推荐：RG-WALL 1600S-V，RG-WALL 1600E，RG-WALL 1600T