防火墙会话管理实验

【实验目的】

管理员可以通过配置防火墙的会话限制功能，限制P2P流量的并发连接数以及来自外网或限制内网的高新建、高并发的攻击行为，以保护连接表不被DDoS攻击填满。

【知识点】

IP并发连接、IP新建连接、会话。

【场景描述】

A公司搭建了一项新的服务，由于经费不足，暂时用一台性能比较低的服务器运行了这项新服务。运行一段时间后，安全运维工程师发现，这台服务器老是停止服务，检查发现内网有一台PC中了病毒，不停地和这台服务器建立会话连接，导致服务器资源耗尽。请思考应如何通过配置防火墙解决这个问题。

【实验原理】

会话限制规则基于安全域，主要针对安全域中的IP地址进行连接数的限制。会话限制规则支持单个IP地址设置并发和新建限制，也可以对网段内的所有IP设置总计的并发和新建限制。

实验拓扑：

【实验思路】

(1) 配置防火墙ge3接口处于untrust安全域。

(2) 配置防火墙ge2接口处于trust安全域。