1、系统启用流量统计

由于不同的攻击类型采用的攻击报文不同，因此FW需要开启流量统计功能，对经过自身的各种流量进行统计。以区分攻击流量以及正常流量。另外，开启了流量统计功能便于系统根据统计结果来判断攻击流量是否超过预先设定的阈值。FW使用绑定接口的方式去开启流量的统计功能，并对来自绑定接口的流量按照目的地址的方式进行统计。FW主要用户来沪内网服务器或主机不受外网主机的攻击，因此被绑定的接口应为FW连接外网的接口。

2、流量超过设定的阈值

FW需要为不同的攻击类型设置不同的防范阈值，当某一类型的流量超过预先设定的阈值的时候，FW就认为存在攻击行为，从而根据不同的攻击类型采用不同的攻击防范奇数。也就是说，触发FW执行防范动作的条件是某一类型的攻击流量超过实现设定的阈值。因此DDos攻击防范的实际防范效果和阈值有着很大的关系，因为如果阈值设置不合理的话，可能会导致误报或者漏报。

3、系统启动攻击防范

当流量统计功能检测到去往某一目的地址的某种类型的流量超过预先设定的阈值的时候，系统就会启动攻击防范。FW有多种防范奇数。不同的防范技术用来防范不同的攻击。

总结：

可以看到DDOS的攻击防范主要的防御方式是依靠阈值的设定，在交错纵横的流量中识别出DDOS攻击的流量是一个十分困难的问题，而且现在的DDOS还搞出新的花样，比如LDOS，也就是低频率DDOS，通过周期性制造峰值流量来防止防火墙使用阈值去对DDOS流量进行防范。

原文档链接：

HUAWEI USG6000E 产品文档