FAQ-业务板某个CPU会话表数量超过4000万该如何处理

发布时间:  2014-09-19 浏览次数:  66 下载次数:  0
问题描述
业务板某个CPU会话表数量超过4000万该如何处理?
解决方案
1. 如果是攻击导致,则临时调整部分会话老化时间(DNS——15s,UDP——30s),然后确认攻击源,通过安全策略或者黑名单功能屏蔽攻击源。判断是否是攻击的方法:
a. 首先,通过连续的多次查看会话统计信息来确认每个CPU的会话并发连接数,查看会话新建速率是否变化很大,如果变化很大,则很有可能是攻击导致。
命令:
[USG9000] display firewall session statistics
b. 然后,通过命令采集防火墙的会话表信息,根据采集的会话信息来确认这些会话是否有共性(如源IP、目的IP、协议类型、目的端口等),根据这些信息就可以大概了解是什么攻击。
命令:
[USG9000] display firewall session table
2. 如果是正常业务导致,则需要扩容(如增加业务板)。

END