攻击报警首先要防御的就是dos 攻击。随后您会见到一个threshold 界面，您可以用来选择在监测到攻击的时候生成报警信息。对于dos 攻击，zywall 会使用门限值来决定什么时候将还没有完全建立的会话断掉。这些门限值的设置对全局都有效。

    您可以使用缺省的门限值，或者您也可以将这些值修改为更符合您的安全需求。

    10.10.1 门限值

    如果经过查看，防火墙有不工作的情况发生时，您可以调整这些参数。对于使用adsl

    上网的中小企业来说，这些参数值应该可以满足您的网络需求。影响门限值选择的主要因素有：

    1. 开放会话的最大数量。

    2. lan 中服务器任务积压的最小能力。

    3. lan 中服务器cpu 的能力。

    4. 网络带宽

    5. 某些服务器处理的数据包类型。

    如果您的网络由于这些因素(特别是有一些服务器慢一些或者处理的任务太多，工作繁忙)比通常情况下要慢一些，那么您可以修改缺省的数值。

    10．10．2半开放会话

    如果出现了特别高的半开放会话数量(到达速率既可以是绝对值，也可以是估计值)，可能就说明当前存在dos攻击。对于tcp来说，“半开放”就是说tcp三方握手还没有完成(请参考图70)，对于udp来说，“半开放”就是说防火墙没有检测到返回的数据包。

    zywall会计算已存在的半开放会话的总数和尝试建立会话的速率。tcp和udp半开放会话的总数和建立速率都会被计算。这种测量会每分钟计算一次。

    当已存在的半开放会话数量超过了门限值(max-incompletehigh)的时候，zywall会删除半开放会话，以便可以接收新的连接请求。zywall会不断地删除半开放的会话，直到已存在的半开放会话的数量降到另一个门限值(max-incompletelow)以下。

    当新连接的请求速率超过门限值(one-minutehigh)的时候，zywall会删除半开放会话。zywall会不断地删除半开放的会话，直到新连接请求的速率降到另一个门限值(one-minutelow)以下。速率就是在上一个一分钟时间段内检测到的新尝试连接的数量。

    10．10．2．1tcp最大未完成数和阻塞时间

    如果出现了特别高的半开放会话数量，并且都具有相同的目标主机地址，可能就说明当前存在对该主机的dos攻击。

    当具有相同目标主机地址的半开放会话数量超过了一个门限值(tcp maximumlncomplete)的时候，zywall便开始按照以下面的其中一种方式宋删除半开放的会话：

    1．如果blockingtime的值为0(缺省值)，zywall会删除已存在的半开放会话，接收新的主机连接请求。这样可以确保到一个给定主机的半开放会话数量不会超过门限值。

    2．如果blocking time的值大于0，zywall会在给定的时间段中内阻塞掉所有的新建连接请求，而只处理当前的连接。zywall会持续阻塞所有的新建连接请求，直到blockingtime时间溢出为止。

    当超过tcpmaximumlncomplete数值的时候，zywall也会同时发送报警信息。所有的tcp连接都会适用这些参数规定。您可先点击firewall链接，然后点击threshold标签见到如下界面。

    图87 防火墙门限

   

    以下为界面相关描述。

    表65 防火墙门限

    标识描述

    denial of service thresholds

    one minute low 这是一个新建半开放会话的建立速率，它会触发防火墙停止删除半开放会话。除非新建连接的速率降到此值以下，否则zywall 会持续删除半开放会话。

    one minute high 这是一个新建半开放会话的建立速率，它会触发防火墙开始删除半开放会话。当新建连接的速率高于此值的时候，zywall 会删除半开放会话 ，以便可以接收新的连接请求。

    maximum incomplete low 这是一个现存的半开放会话的数量， 它会触发防火墙停止删除半开放会话。除非现存半开放会话的数量降到此值以下，否则zywall会持续删除半开放会话。

    maximum incomplete high 这是一个现存的半开放会话的数量，它会触发防火墙开始删除半开放会话。当现存半开放会话的数量高于此值的时候， zywall 会删除半开放会话，以便可以接收新的连接请求。

    tcp maximum incomplete 这是具有同一个目标主机ip 地址的现存半开放tcp 会话数量，它会触发火墙开始丢弃到同一个目标主机ip 地址的半开放会话。输入一个范围在1 到256 之间的数值。对于一个小型网络，慢速系统或带宽受限的网络请输入一个较小的数值，

    action taken when the tcp maximum incomplete threshold is reached.

    delete the oldest half open session when new connection request comes 选择此项，当新建连接请求过来的时候zywall 会删除老的半开放会话。

    deny new connection request for 选择此项，您可以设置一个时间段，当符合tcp maximum incomplete 规定的时候，zywall 会阻塞新建连接的请求。

    以分钟为单位输入一个阻塞时间（1 到256）。

    apply 点击apply 可以保存设置。

    cancel 点击reset 可以重新设置该界面。