应用阈值规则，扛住网络攻击

某高校服务器防火墙CPU突然升至99%。

判断1、内部攻击，检查内网是否对服务器区有大量攻击，断开内网交换机，CPU没变化，排除内网攻击。

判断2、外部攻击，应用阈值规则，自动加黑名单，CPU正常。

外到内访问，基于主机，超过20连接/秒的源IP自动加入黑名单30秒。