海蜘蛛防火墙的常见问题

风一样的男孩

01.关于单IP连接数限制的问题
     本人在防火墙处，“最大允许的 TCP 单机并发连接数”为100；“最大允许的 UDP 单机 并发连接数”为100，
     但是在“IP NAT连接数”那里却不是在200以内，有的IP有上200以 上的，严重占用资源。我想限制如何设置？

    TCP／UDP连接数清理并非实时的，因为其消耗资源比较大，所以您看到有的IP为200以上  ，
    但是过一会它会自动削减为100，但是削减后，此IP的连接还可会继续增加，只要连接数超过设定的，
    系统就会下次再清理。


02.限制外部IP通过路由：
    我的想法是周边网吧不允许访问到我的路由。
    操作：防火抢-IP/域名过滤-启用IP域名过滤
    但是规则要求  域名/IP地址/子网地址
    我只想限制一个ip或多个ip 那没有域名，也不知道子网
    请问怎么设置？

    请参照ACL的功能设置：http://docs.hi-spider.com/chapter01/dc-firewall.html#dc-firewall-acl


03.为什么我的防火墙日志中总出现tcp_syn_flood attack的攻击日志？

      通常出现这种日志都是因为你限制了单机的连接数，而当用户的实际连接数超出了你的限制就会出现如上日志，
      因此建议用户将单机的连接数设置一个合适的值，用海蜘蛛的建议值即可。
      出现上述日志提示，你可以先查看信息检测中的NAT信息，查看该IP的连接数，查看该用户是否在大流量下载。

04.关于防火墙基本安全高级模式中的MSS与MTU的差别

     mtu是网络传输最大报文包。
     mss是网络传输数据最大值。
     mss加包头数据就等于mtu.
     简单说拿TCP包做例子。
     报文传输1400字节的数据的话，那么mss就是1400，再加上20字节IP包头，20字节tcp包头，那么mtu就是1440
     当然传输的时候其他的协议还要加些包头在前面，总之mtu就是总的最后发出去的报文大小。mss就是你需要发出去的  数据大小