DDoS攻击防范阈值合理设置

小乔

防范阈值
DDoS攻击防范配置的关键在于阈值合理设置。

作用
在配置DDoS攻击防范时，需要为各种攻击配置防范阈值。该阈值可以看做是网络中正常流量的上限，当网络中的实际流量大小超过设置的阈值时，则认为流量发生异常，从而触发FW执行相应的攻击防范动作。因此，阈值是触发系统执行防范动作的条件，阈值的设置是否合理将直接影响攻击防范的效果。

然而，阈值的设置通常没有统一的经验值可循，不同的网络和带宽下需要设置不同的阈值。

如果防范阈值设置过低则在没有发生攻击时，系统就启动攻击防范功能，影响设备性能或者造成正常流量被丢弃。

如果防范阈值设置过高则即使发生了攻击，系统也无法感知，不能及时启动防范功能。

因此用户在配置攻击防范前，应该先了解正常网络中的流量，然后根据正常网络中的流量来设置各攻击类型对应的阈值。

在不了解网络正常流量大小时，为了避免阈值设置过低影响正常业务建议首先开启阈值学习功能，再根据阈值学习结果或者网络实际情况开启攻击防范功能并设置合理的阈值。通常情况下，阈值为正常流量时的2～4倍。


以上部署思路是业务优先的思路，但是在阈值学习过程中可能发生DDoS攻击，存在网络拥塞、服务器无法提供服务等风险，请提前知晓。如果您希望安全优先，则可以选择设备上线时即手动开启攻击防御功能并自行配置阈值。此种部署思路的风险在于如果配置的阈值不符合您的流量情况，可能出现没有发生攻击时，系统就启动攻击防范功能，影响设备性能或者造成正常流量被丢弃，请您谨慎选择。

阈值学习功能
FW支持阈值学习功能，为DDoS攻击防范阈值的设置提供参考。其实现原理是：系统对正常网络环境下的各种流量基于目的IP地址并按时间进行统计，得出此段时间内各种流量的最高值，从而以此为依据计算出各种攻击类型对应的防范阈值。

阈值学习有单次学习和周期学习两种学习模式。

单次学习：只进行一次阈值学习。

周期学习：按周期学习间隔进行多次阈值学习。

其中，周期学习间隔是指从上次学习的结束时间到下次学习开始时间的间隔时间。

您可以多次进行阈值学习功能，以应对网络流量模型发生变化的场景。

mawr1985

thamky