Шлюз Microsoft Forefront Threat Management предоставляет механизм предотвращения Flood-атак, использующий следующее.

Дополнительные сведения о предотвращении Flood-атак см. в разделе Обзор предотвращения Flood-атак.

Настройка предотвращения Flood-атак

  1. В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

  2. На вкладке Задачи щелкните Настройка предотвращения Flood-атаки.

  3. На вкладке Предотвращение Flood-атаки выберите следующие параметры.

    • Чтобы включить функцию предотвращения Flood-атаки, выберите Включить предотвращение Flood-атак и распространения вирусов-червей. Этот параметр выбран по умолчанию.

    • Для каждого ограничения числа подключений можно нажать кнопку Изменить и настроить параметры. В приведенной ниже таблице перечислены значения по умолчанию.

      Параметр ограничения числа подключений Значения по умолчанию

      Максимальное количество запросов TCP-соединения в минуту на один IP-адрес

      600 (настраиваемые: 6,000)

      Максимальное количество одновременных TCP-соединений на один IP-адрес

      160 (настраиваемые: 400)

      Максимальное количество полуоткрытых TCP-соединений (ненастраиваемые)

      80

      Максимальное количество HTTP-запросов в минуту на один IP-адрес

      600 (настраиваемые: 6,000)

      Максимальное количество новых не TCP-сеансов в минуту на одно правило

      1,000

      Максимальное количество одновременных сеансов UDP на один IP-адрес

      160 (настраиваемые: 400)

      Укажите количество отклоненных пакетов для инициирования оповещения

      600

    • Чтобы зарегистрировать в журнале заблокированный трафик, выберите параметр Регистрировать в журнале трафик, заблокированный согласно параметрам предотвращения Flood-атаки. Этот параметр выбран по умолчанию.

  4. На вкладке Исключения IP-адресов нажмите кнопку Добавить, чтобы добавить сетевые объекты, к которым нужно применить настраиваемые ограничения.

Оптимизация ведения журнала в случае атаки

При каждом превышении ограничения числа подключений Forefront TMG создает оповещение, указывающее IP-адрес проблемного клиента. Составив список подозрительных IP-адресов, выполните следующие действия для отказа от регистрации ненужных записей в журнале. Таким образом можно повысить производительность Forefront TMG во время Flood-атаки.

Повышение производительности во время Flood-атаки

  1. Отключите ведение журнала для конкретного правила, соответствующего Flood-атаке, или до момента полного останова Flood-атаки.

  2. Перенастройте оповещения «Превышен предел подключений» и «Превышен предел подключений для правила» (или другие оповещения, которые могут постоянно инициироваться в результате определенной атаки) так, чтобы предотвратить их постоянную инициацию. Для этого выберите параметр Только если оповещение было сброшено вручную.