外网专线网络拥堵处理（流量限流、安全加固）

目录

一．现象

1-1.发生时间

1-2.情况

二．分析

2-1.基础网络检查

2-2.出口防火墙流量检查

三．处理

3-1. IP流量限流(针对当前)

3-2. 内网流量限速（预防）

3-3. 安全加固（排查其他因素）

3-3-1.攻击IP加入黑名单

3-3-2.攻击防范-单包攻击限制

3-3-3.IP限速-IP 连接速率限制

四．总结

一．现象

1-1.发生时间

2026.3.2 9:00~9:10

1-2.情况

网页打开缓慢及高延时，甚至无法访问移动专线网络

二．分析

2-1.基础网络检查

在电信网关192.168.101.2 ping移动网关111.47.24.69丢包严重，本机切换到192.168.101.1移动网关，依然丢包严重，防火墙流量监控查看到，内部流量跑满。移动运营商也反应出口带宽流量跑满。

综上：在电信网关ping移动网关丢包严重，但电信访问其他公网正常，说明丢包非电信线路问题；移动运营商确认出口带宽跑满，说明问题聚焦在移动专线出口的流量占用上。

2-2.出口防火墙流量检查

防火墙流量监控显示，192.168.101.199服务器存在Https高流量（近50Mbps/s）下载，移动专线带宽为50M。

综上：带宽跑满，即移动专线50M带宽已被192.168.101.199的HTTPS下载流量“跑满”。

三．处理

3-1. IP流量限流(针对当前)

对 192.168.101.199 进行单IP限速，限制下载速度为 10Mbps，避免其独占带宽。

3-2. 内网流量限速（预防）

对内网段 192.168.101.0/24 通过移动专线访问外网的流量进行整体限速：

• 整体最大带宽：45 Mbps（留 10% 缓冲）
• 每IP最大带宽：10 Mbps

3-3.安全加固（排查其他因素）

3-3-1.攻击IP加入黑名单

查看防火墙会话，发现异常外网IP持续访问防火墙 80 端口：

• 185.240.102.39
• 103.181.165.0/24

已加入黑名单（目的地址类型），命中次数持续增长，有效阻断攻击。

display firewall session table destination inside 111.47.24.69

将以上两组IP地址加入黑名单

重置会话并查看黑名单阻截是否生效

reset firewall session table source inside 185.240.102.39

3-3-2.攻击防范-单包攻击限制

「IP 地址扫描 / 端口扫描」扫描速率超过 500 包 / 秒 → 触发防护 → 自动加入黑名单 → 阻断 60 分钟 ，能有效遏制持续攻击，避免防火墙会话表被占满。

3-3-3.IP限速-IP 连接速率限制

「IP 地址扫描 / 端口扫描」是包速率检测，对185.240.102.39这种高频会话攻击效果有限，必须配合IP 连接速率限制才能彻底拦截

四．总结

• 直接原因：192.168.101.199 的 HTTPS 下载流量占满 50M 移动专线
• 诱因：外网攻击IP（185.240.102.39 等）对防火墙的 80 端口发起大量连接，占用会话资源
• 根本解决：已通过黑名单阻断攻击IP，并通过带宽策略对内网整体限流。
• 此外，通过限制单包攻击、IP连接速率限制等方式进行网络安全加固。