连接限制

ISA 服务器限制任意时间的连接数。您可以配置限制，以指定最大并发连接数。当达到连接的最大数量时，将拒绝该 Web 侦听器的任何新客户端请求。

您可以限制服务器发布或访问规则允许的每秒 UDP、ICMP 和其他原始 IP 连接建立的总数。这些限制不适用于 TCP 连接。超过指定的连接数之后，将不创建新连接。不会断开现有连接。默认情况下，每条规则每秒最多允许 1000 个新连接。超过指定的限制之后，将触发一个警报。将记录带有下列参数的日志项：

Action 是 Connection Denied
Result code 是 FWX_E_RULE_QUOTA_EXCEEDED_DROPPED

我们建议您限制连接数，因为这样可以防止溢出攻击。发生 UDP 或原始 IP 溢出攻击时，将从哄骗的源 IP 地址发送很多请求，最终导致拒绝服务。

发出警报之后，确定网络是否受到攻击或只是繁重的有效通讯负载。如果由于恶意通讯超过限制，则尝试执行下列操作：

如果恶意通讯显示为源自内部网络，则可能表明内部网络上存在病毒。请确定源 IP 地址，并立即将计算机与网络断开连接。
如果恶意通讯显示为源自外部网络上某个小范围的 IP 地址，则创建一条规则，以拒绝访问包含该源 IP 地址的计算机集。
如果通讯显示为源自大范围的 IP 地址，则评估网络的整体状态。可以选择设置一个较小的连接限制，以便 ISA 服务器可以为您的网络提供更佳的保护。

如果由于繁重的负载导致超过限制，则可以选择设置较高的每规则连接限制。

在防火墙链方案以及某些背靠背方案中，请为链接的服务器或后端防火墙的 IP 地址指定自定义连接限制。并且，如果系统向外部网络发布多个基于 UDP 或基于原始 IP 的服务，则应该配置较小的限制，以防止您的网络免遭溢出攻击。

限制客户端连接

同样，您可以限制每客户端允许的 UDP、ICMP 和其他原始 IP 连接的总数。您可以指定自定义限制，以应用于特定的 IP 地址。例如，当您想允许特定的服务器与其他客户端建立比允许的连接数多的连接时，这是非常有用的。

对于 TCP 连接，超过连接限制之后将不允许进行新连接。对于其他连接（原始 IP 和 UDP），当超过连接限制时将终止早期连接，以便可以创建新连接。

有关说明，请参阅限制连接数。

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。