网络运维|防火墙的限流策略

| 2020-05-29 15:09:33    标签:

大家好,我是一枚从事IT外包网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须会配置限流策略。简单网络安全运维,从防火墙学起,一步一步学成网络安全运维大神。


网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限

北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息


限流策略

   通过配置限流策略,实现对域间或者域内流量的控制和管理。


7.2.1  限流策略简介

  简单介绍限流策略的概念及原理。


7.2.1.1  二级限流策略

  介绍每IP限流(一级CAR)和整体限流(二级CAR)的基本概念。


背景信息

  在域间应用限流功能时,可以分为两级对域间的流量进行限制,第一级是每IP限流,第二级是整体限流。同时,流量限制包括连接数限制和带宽限制。


  域间流量限制的对象包括:

    ·连接数限制:对指定IP地址或者网络发起的连接数量或接收的连接数量进行限制。

    ·带宽限制:对指定IP地址或者网络的带宽进行限制。


每IP限流策略(一级CAR)

  每IP限流策略,是针对每个IP(根据源IP、源真实MAC地址或者目的IP、目的真实MAC地址来识别)单独进行限制的,其中对于策略约束条件包括五元组、时间段、用户身份以及应用协议。


  每IP限流策略通过每IP限流class来限制每个IP的连接数和带宽。其中,每IP限流class包括最大带宽、保证带宽、最大连接数三个阈值。

    ·最大带宽:对单个IP的数据流进行最大带宽限制。

    ·保证带宽:对单个IP的数据流进行带宽保证。

    ·最大连接数:对单个IP的数据流进行最大连接数限制。


说明:

   保证带宽是每个IP(用户)最少能获得的带宽,然后整体网络中的所有IP(用户)再通过抢占的方式,分配整体剩下的带宽。如果某个IP(用户)的保证带宽没有完全使用,未使用的带宽其他IP(用户)也可以复用。


整体限流策略(二级CAR)

  整体限流是针对一个域间关系上或者某个域内所有数据流进行整体管控,其中约束条件包括五元组,用户身份,应用协议。


  整体限流策略通过整体限流class来限制整体的连接数和带宽。其中,整体限流class包括最大带宽、最大连接数两个阈值。

    ·最大带宽:对整个域间的数据流进行最大带宽限制。

    ·最大连接数:对整个域间的数据流进行最大连接数限制。


引用方式

  每IP限流class和整体限流class被限流策略引用后,带宽和连接数就会在策略中起作用。其工作方式包括策略独占和策略共享两种。

    ·独占:当多个限流策略同时引用一个独占方式限流class时,每个限流策略都独自受到该限流class中的带宽和连接数限制。

    ·共享:当多个域间或同一个域间不同方向的限流策略同时引用一个共享方式限流class时,这些域间会共同受到该限流class中的带宽和连接数限制。


  您可以在如下情况下,配置共享方式的限流class,并在限流策略中引用。

    ·限制多个域间的总体带宽和连接数时,可以使用同一个共享方式的限流class。


  例如:安全域为Trust的内网区域用户通过安全域为Untrust1、Untrust2、Untrust3外网区域中的不同运营商访问Internet。要限制内网用户上网的总带宽和连接数,您可以从Trust到Untrust1、Trust到Untrust2、Trust到Untrust3三个域间引用同一个共享方式的限流整体限流class。

    ·限制同一个域间上传下载总带宽和连接数时,可以使用同一个共享方式的限流class。


  例如:安全域为Trust的内网区域用户通过安全域Untrust中运营商访问Internet。要限制内网用户上网的上传下载总带宽和连接数,您可以从Trust到Untrust的Inbound和Outbound方向分别引用同一个共享方式的限流class。


7.2.1.2  限流策略组成和匹配顺序

  介绍每IP和整体这两种限流策略的匹配条件、动作、方向的选择,以及多个策略的匹配顺序。同一个域间可以配置多条限流策略,并且有一定的匹配顺序,配置前需要合理规划,否则会达不到预期效果。


限流策略组成

  限流策略用来控制域间的流量的大小。设备收到报文后首先提取报文的IP头信息,包括源/目的IP地址、协议等,然后与域间限流策略的匹配条件进行比较。如果所有匹配条件都满足,就根据策略的控制动作,限制(CAR)或不限制(NO-CAR)数据流量。所有匹配条件中,源IP地址和源MAC地址属于同一类匹配条件,若同时配置,流量只要命中其中一个就能满足这类匹配条件。同理,目的IP地址和目的MAC地址也属于同一类匹配条件。

  每个域间的Inbound和Outbound方向上可以应用多个限流策略。

    ·Inbound:入方向,低安全级别的安全区域向高安全级别的安全区域的方向。

  ·Outbound:出方向,高安全级别的安全区域向低安全级别的安全区域的方向。


  由于虚拟防火墙的所有安全域的级别都比根防火墙的高,所以对于跨虚拟防火墙来说,Inbound为根防火墙到虚拟防火墙的域间方向,Outbound为虚拟防火墙到根防火墙的域间方向。


匹配条件

限流策略的匹配条件包括:

  ·源IP地址、源MAC地址/目的IP地址、目的MAC地址

  ·服务类型(基于端口的协议)

  ·时间段(限流策略生效的时间)

  ·用户/用户组(已通过认证)

  ·应用协议类型

匹配元素中的地址、服务、时间段都可以作为公共对象在各个限流策略中引用。对于地址和服务也可以直接在防火墙策略中指定,但是需要同时控制多个IP段或零散IP地址、零散MAC地址,或需要同时控制多种服务类型或自定义服务类型时,可以采用预先配置公共对象然后在防火墙策略中引用的方式。这样可以避免对同一个数据流配置多条策略的复杂性,还方便将多个匹配条件作为一个整体被多个策略复用。


防火墙策略与公共对象的关系如图7-35所示。

  ·一个公共对象可以被多个限流策略引用。

  ·一个限流策略中可以引用多个公共对象,流量只要匹配其中一个对象就会命中限流策略。


图7-35  限流策略与公共对象的关系 


控制动作

限流策略的控制动作有两种:

  ·CAR:对匹配策略的流量进行限制。

  ·NO-CAR:对匹配策略的流量放行,不做任何限制。


策略的应用方向

 如图7-36所示,在配置限流策略时,需要结合流量方向来对流量进行限制和管理,配置哪个方向的限流策略,取决于流量的方向。例如:由于Trust安全域比Untrust安全域级别高,所以Trust区域的用户访问Untrust区域的服务器、用户上传文件至服务器,都是属于域间Outbound方向;用户从服务器下载文件至本地PC,是属于Intbound方向。


 在同一策略中,不能实现同时对PC的收发流量进行限制,此时需要配置Outbound和Inbound方向上的两条策略。对于每IP限流的同一个方向,可以选择针对源或者目的IP来进行限流,例如:对于Outbound方向,有如下两种限流形式:

  ·基于源IP的限流,就是限制PC发出的流量带宽。

  ·基于目的IP的限流,就是限制Server收到的流量带宽。


图7-36  限流策略的应用方向 


策略的匹配顺序

域间可以应用多条限流策略,按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。缺省情况下,策略列表按策略的配置顺序排列,越先配置的优先级越高、越先匹配,但是也可以手工调整策略之间的优先级。


7.2.1.3  注意事项

  介绍限流策略功能的一些基本注意事项,以及与NAT等功能结合使用的特点。


保证带宽

  ·保证带宽需要与整体限流结合起来使用,因为对于单个IP而言,若不配置其所在网络的整体限流,单个IP的最大带宽就相当于保证带宽,此时配置保证带宽没有意义。所以,当需要应用保证带宽功能时,必须同时配置每IP限流和整体限流。

  ·配置保证带宽功能时必须注意每IP保证带宽、每IP最大带宽、整体带宽3个参数之间的关系:


§必须保证每IP的保证带宽的总值要小于整体带宽的值,这个需要先根据网络规划计算保证,保证带宽的总和不超过接口的总带宽,如果所有的流量加起来超过了运营商给的带宽,就会在接口处随机丢包了。


§一般情况下配置保证带宽的时候只配置每IP保证带宽、整体带宽就行了,如果还需要限制每个IP的最大带宽还可以配置每IP最大带宽。此时所有IP的最大带宽的和要大于整体带宽,否则保证带宽无意义。例如:某网段有10个IP,配置的整体带宽为50M,则其保证带宽可以配置为4M左右(小于5M),最大带宽可配置为10M左右(大于5M),这时可以满足保证带宽的场景需求。


§整体限流策略和每IP限流策略控制的IP范围需一致,因为如果二者不一致,当整体带宽较小时,没有配置保证带宽的IP会因为无法抢占配置了保证带宽的IP的流量,而导致允许通过流量的很少。


例如:对192.168.1.1~192.168.1.100网段配置了100M的整体限流,对其中192.168.1.1–192.168.1.50网段配置了每IP限流,每个IP保证带宽为2M,总计100M,则其他192.168.1.51–192.168.1.100分配不到流量。


限流共享

配置共享方式的限流class时,您需要注意:当已经在多个域间引用同一个限流class来限制总体带宽和连接数。假设设备还要增加一个域或出接口,且该域或者出接口需要与当前其他域共享带宽或限流时,您需要新增限流策略,并引用当前配置的限流class。


与其他特性结合

  ·当配置了NAT、SLB等涉及地址转换的功能特性时,需要针对真实的IP地址进行限流配置。

  例如:配置了NAT Server功能,将服务器私网IP地址192.168.1.2/24转换为公网IP地址10.1.1.1/24,这时又要对该服务器进行限流时,这里需要对192.168.1.2/24进行配置限流策略。


以上文章由北京艾锑无限科技发展有限公司整理