1 ）定义一个acl，目的是要保护的机器：

　　 access-list 101 per tcp any host 202.106.0.20
　　由于没必要匹配源地址，一般的 dos 都伴随着地址欺骗，所以这里的 source 都是 any.
　　 2 ）全局下开启 tcp intercept.
　　 ip tcp intercept list 101
　　 3 ）设置 tcp 拦截的模式， tcp 拦截有两种模式一种是拦截，一种是监视。默认为拦截模式，拦截模式像是一个找茬的流氓，看谁都不爽，见谁都打。监视模式是一个稍微理性一点的流氓，仅仅当别人在他家门口那片空地赌着不走的时候才大打出手（默认是 30 秒）。见谁都打，肯定累啊。我们要理性一点。

　　 ip tcp intercept mode watch
　　 ip tcp intercept watch-timeout 20
　　 4 ）另外 tcp 连接你也不能一辈子都让他连着。设置一个 tcp 超时时间，默认 24 小时，一般网中特殊服务的需要长连接的应用时候 30 分钟足已

　　 ip tcp intercept connection-timeout 1800
　　 5 ）对于最大半开连接的门限也是可以更改的。默认 low 900 ， high 1100.
　　 ip tcp intercept max-incomplete low 800
　　 ip tcp intercept max-incomplete high 1000
　　 6 ）状态查看

　　 show tcp intercept connecitons

　　show tcp intercept statistics

本文转自zcm8483 51CTO博客，原文链接:http://blog.51cto.com/haolun/991733