Nebula 防火牆連線數控制設定教學

選項
Zyxel小編 Corey
Zyxel小編 Corey 文章數: 146  Zyxel Employee
First Anniversary Friend Collector First Comment
已編輯 四月 2023 Nebula 常見問題

前言

當 A 用戶連接 B 用戶的某個服務,就會產生一條連線數。當流量通過防火牆時,防火牆透過 SNAT 或規則控制內部的用戶連線,進而產生多筆連線數。

下圖為連線數範例 :

每一台防火牆依照型號,會有不同的連線數上線。連線數控制預設值限制每個用戶的連線數量為 1000 筆,避免防火牆遭到異常裝置大量連線數耗盡上限,導致所有裝置連線異常。

連線數控制設定教學


前往 整個站點 > 設定 > Firewall > 安全性政策

連線數控制位於該頁面最下方

UDP 連線逾時:

設置防火牆允許 UDP 連線在關閉之前閒置(沒有流量)的秒數。

一般情況下保持預設值 60 秒即可,無需特別調整。

每一台主機的Session:

此處可以為每台用戶裝置限制連線數上限,當單一裝置連線數超過上線,後續的連線都將被防火牆丟棄。

如果該網路環境使用者連線超過預設值 1000 ,您可以提高此數字避免連線異常。

若數值設定為 0 ,表示防火牆不會對使用者連線數有任何限制,強烈建議不要設定為 0 ,不限制連線數將可能導致防火牆連線數遭到耗盡,導致全數網路用戶連線異常,這已有多起客戶案例。

測試結果

防火牆 > 監控 > 事件日誌

當單一主機達到連線數設定上限時,可以從日誌中查詢到阻擋紀錄。

下圖為測試範例,請勿將連線數控制設定為 20 。