DDOS攻击的手段，一般都是居于TCP,UDP,ICMP三种方式，而TCP是我们使用最多的，而UDP方式，除了DNS查询等，一般用不到，ICMP一般为为了PING回显。所以我们很有必要禁用掉UDP,ICMP来防止DDOS攻击，但是为了不影响DNS查询以及部分IP可以正常PING显示，我们可以做两个本地安全策略的规则，一个是先设置好允许使用UDP的IP地址，比如180.76.76.76；223.5.5.5,223.6.6.6,114.114.114.114等等，然后设置允许PING的IP地址，比如你本地的IP地址段。最后再设置一个禁止通过的策略，把UDP,ICMP来源任何IP到我的IP地址，全部封杀即可。

在设置允许UDP和ICMP的时候，UDP那个，勾选 镜像；而ICMP那个，不用勾选 镜像。规则是 许可 方式。也就是允许通过策略。