设置timeout值可以通过丢弃超过时限的会话来有效阻止DoS攻击释放系统资源，设置threshold值可以通过限制half-open会话的数量来阻止DoS攻击。CBAC提供三种threshold值来抵御DOS攻击：1、最大half-open 的TCP或UDP会话的数量。2、基于时间的half-open会话数量。3、每个host可以打开的TCP half-open会话的数量。对于超过threshold值的连接，CBAC会初始化旧的half-open连接，释放资源接受新的要求同步的数据包。

第二步：配置access list

access-list 101 permit icmp any any echo

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any unreachable

access-list 101 permit icmp any any time-exceeded

access-list 101 permit icmp any any packet-too-big

access-list 101 permit icmp any any traceroute(以上命令允许ping包通过，主要用来排错，如果没有必要上述命令可以不做)

access-list 101 permit any any eq smtp（允许在邮件服务器上的安全验证）

access-list 101 deny ip any any log（CBAC要求禁止其他所有进入的ip包）

第三步：根据实际环境定义一个检查规则。

ip inspect name CBAC fragment maximum 256 timeout 1 (此命令12.1以后的

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页