English Sentence Loading...
英语句子加载中...
上一篇: 
下一篇: 
Checkpoint官方对于2070受小规模DOS攻击的回复
作者:大漠孤沙 日期:2010-07-01
背景:
上架调试一年多、终于通过验收、尚在付款阶段的一台Checkpoint UTM-1 2070 千兆防火墙,受到小规模的DOS流量攻击(高峰时七八十M/4.5W并发会话)时,无法承受,经常出现CPU达100%和数据包通过率0%的状况。
就此事向Checkpoint厂家咨询,得到如下回复:
引用内容
即便如此,再花钱买secureXL模块,有意义吗?
上架调试一年多、终于通过验收、尚在付款阶段的一台Checkpoint UTM-1 2070 千兆防火墙,受到小规模的DOS流量攻击(高峰时七八十M/4.5W并发会话)时,无法承受,经常出现CPU达100%和数据包通过率0%的状况。
就此事向Checkpoint厂家咨询,得到如下回复:
引用内容Hi Theron,
这种DOS流量攻击不是防火墙解决的范畴。用户不能够要求买一个安全设备就解决所有的问题。
关于于工提到的指标。需要说明的是:
Drop 垃圾流量和防火墙的并发连接数几乎没有关系。
Drop流量主要和端口转发速率有关,另外和防火墙新建连接数有一定的关系。
每个产品都有自己的定位和特点。你不能买了宝马非得要追求奔驰的舒适性,买了奔驰非得要追求宝马的驾驭能力一样。
当初在**总部的3070 ,运行三天就发现了内网的Foundry 交换机发送ICMP垃圾报文的问题。 Juniper ISG 1000运行了3年都没有发现。
在流量层面,UTM-1 2070的定位是处理混合包和应用层的深度检测;
另外,一些优化建议供参考。
1,关闭drop的log;
2,启用secureXL模块,启用drop template(secureXL需要额外购买license)
这种DOS流量攻击不是防火墙解决的范畴。用户不能够要求买一个安全设备就解决所有的问题。
关于于工提到的指标。需要说明的是:
Drop 垃圾流量和防火墙的并发连接数几乎没有关系。
Drop流量主要和端口转发速率有关,另外和防火墙新建连接数有一定的关系。
每个产品都有自己的定位和特点。你不能买了宝马非得要追求奔驰的舒适性,买了奔驰非得要追求宝马的驾驭能力一样。
当初在**总部的3070 ,运行三天就发现了内网的Foundry 交换机发送ICMP垃圾报文的问题。 Juniper ISG 1000运行了3年都没有发现。
在流量层面,UTM-1 2070的定位是处理混合包和应用层的深度检测;
另外,一些优化建议供参考。
1,关闭drop的log;
2,启用secureXL模块,启用drop template(secureXL需要额外购买license)
即便如此,再花钱买secureXL模块,有意义吗?
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 0 | 引用: 0 | 查看次数: 128
发表评论
