Tihon_one Нет, это не так. Дропается только то, что в группах правил, имеющих в названии файла _drop. rules. Файлы с приставкой алерт или логируются, или игнорируются вне зависимости от степени т.н. серьезности угроз в соответствии с установленным в консоли флагом для данной группы. Т.е. - указывая группе высокой опасности параметр - дроп и лог, тем самым говорим керио: правила из группы high_drop - drop and log, правила из группы high_alert - log. Ну и далее по аналогии. Огульного дропанья нет.
К тому же, в контексте вопроса о ДОС, совершенно не важно что именно используется для дропанья - отдельное правило (вообще не существующее для ДОС) или группа правил, например - правила из родного файла emerging-dos.rules. При желании совсем несложно перетасовать правила по группам, оставив, для примера, правила для дос emerging-dos.rules в файле kerio_high_drop.rules и включить блокировку для высшей группы опасности, потом выкидывать из этого файла по одному правилу вплоть до самого конца - суть процесса не изменится.
Ну и в отношении использования параметра количество подключений как средства защиты от ДОС - ИМХО, лажа полная. Как-то оно еще можно использовать на хттп\фтп протоколах, но любые веб-сервера и так имеют такую защиту и все знают про ее полную неэффективность (для примера - попробуйте телепортом сдуть главную страницу Яндекса, сунуть ее на свой сервачок и проанализировать генерируемый трафик при обращении клиента - форменный ДОС, а если еще кросс-ссылки указывают на ваш же сервачок - атас
). Трафик любых скульных сетей - самый настоящий ДОС, про пиринговые сети уже и не говорю. Так что для отдельных протоколов какие-то антидос-правила могут быть созданы, универсального правила по параметру количество соединений нет и смысла в нем не будет никогда.