网络运维|防火墙的整体限流

| 2020-05-29 15:26:37    标签:


大家好,我是一枚从事IT外包网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,在web页面下做防火墙整体限流相关的配置。简单网络安全运维,从Web管理轻松学起,一步一步学成网络安全运维大神。


网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限


北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息


7.2.5  整体限流

当需要对某一网络范围的IP或者用户进行整体限流控制,可通过配置整个网络的最大带宽和最大连接数,以达到整体限流的目的。


新建整体限流策略

整体限流策略在匹配流量时,除了“源安全区域”、“目的安全区域”、“动作”和“整体限流Class”外,其他各种匹配条件均为可选配置。如果配置,则满足所配置的条件的流量才会匹配成功。如果不配置,相当于不对这个匹配条件进行要求。如果所有条件均不配置,相当于匹配所有流量。所有匹配条件中,源IP地址和源MAC地址属于同一类匹配条件,若同时配置,流量只要命中其中一个就能满足这类匹配条件。同理,目的IP地址和目的MAC地址也属于同一类匹配条件。


如果一个域间配置了多条整体限流策略,则按照整体限流策略的优先级按顺序进行匹配。只要匹配到一条整体限流策略就不再继续匹配剩下的整体限流策略。缺省情况下,越先配置的整体限流策略优先级越高,但是也可以通过配置手工调整整体限流策略之间的优先级,具体请参见移动整体限流策略。


在匹配流量时各种匹配条件如果需要引用相关其他资源,例如时间段、地址集、服务集、用户等,需要提前创建好才可在策略中引用。


如果要基于MAC地址对内网流量进行控制,且USG和内网PC之间通过三层交换机相连,那么需要首先配置跨三层MAC地址学习,再以MAC地址为匹配条件制定限流策略。

  1.选择“防火墙 > 限流策略 > 整体限流”。

  2.在“整体限流策略列表”中,单击“新建”。

  3.依次输入或选择各项参数,如表7-12所示。

  4.单击“应用”。

界面中显示新建的整体限流策略,则表明操作成功。


表7-12  新建整体限流策略参数说明


参数

说明

取值建议

源安全区域

整体限流策略的源安全区域。

此参数需要从系统中已存在的安全区域选择,包括系统缺省存在和用户自定义的安全区域。

目的安全区域

整体限流策略的目的安全区域。

此参数需要从系统中已存在的安全区域选择,包括系统缺省存在和用户自定义的安全区域。

整体限流策略对源安全区域和目的安全区域之间的流量进行控制。如果“源安全区域”与“目的安全区域相同”,则表示对安全区域内的流量进行控制。

源地址

整体限流策略的源地址。

此参数可以是手动输入的IP地址、MAC地址,或用户自定义的“地址”、“地址组”。不填写时使用默认值any,表示任意IP地址以及MAC地址。

目的地址

整体限流策略的目的地址。

此参数可以是手动输入的IP地址、MAC地址,或用户自定义的“地址”、“地址组”。不填写时使用默认值any,表示任意IP地址以及MAC地址。

用户

整体限流策略匹配的用户或者用户组。通过下拉列表能查看已存在的所有用户或者用户组,但此处配置生效的用户必须为已通过认证或者免认证的用户。

此参数可以通过下拉列表选择已存在的用户或者用户组,也可以新建,详细请参见用户。

应用协议

整体限流策略匹配的应用协议。

此参数可以通过下拉列表选择已存在的应用协议或者应用协议集,也可以新建。

配置应用协议时,需开启应用控制功能。

服务

整体限流策略的服务类型。服务可以定义UDP和TCP协议类型的服务的端口范围、ICMP报文的消息类型和消息码以及IP协议类型的服务的协议号。

此参数可以通过下拉列表选择已存在的服务或者服务组,也可以新建。

时间段

整体限流策略生效的时间范围。

-

动作

对匹配整体限流策略的流量进行的控制动作。

·限流:表示对符合条件的报文进行限流。

·不限流:表示对符合条件的报文不限流。

缺省情况下,对匹配的流量进行限流。

描述

整体限流策略的描述信息,用于区分于其他策略。

-

整体限流Class

整体限流策略引用的Class,指定具体的限流阈值。

整体限流策略只能引用整体类型的Class,不能引用每IP类型的Class。

可以选择已创建的整体类型的Class,也可以在此新建。



新建整体限流Class

新建整体限流Class,指定具体的限流阈值,以备被整体限流策略引用。

  1.选择“防火墙 > 限流策略 > 整体限流”。

  2.选择“整体限流Class”页签。

  3.在“整体限流Class列表”中,单击“新建”。

  4.依次输入或选择各项参数,如表7-13所示。

  5.单击“应用”。

界面中显示新建的整体限流Class,则表明操作成功。


表7-13  新建整体限流Class参数说明


参数

说明

取值建议

名称

整体限流Class的名称。

-

引用方式

整体限流Class的引用方式。

·         独占:每一个引用独占方式限流class的限流策略都独自收到该限流class中的带宽和连接数限制,即符合该限流策略匹配条件的流量,独享最大带宽、保证带宽和最大连接数。

·         共享:不同域间或同一个域间不同方向的限流策略同时引用限流class时,这些域间都共同收到该限流class中的带宽和连接数限制,即符合这些域间限流策略匹配条件的流量,共享最大带宽、保证带宽和最大连接数。

缺省情况下,每IP限流Class的为独占的引用方式。

最大带宽

表示域间方向上的最大可用带宽。

-

最大连接数

表示域间方向上的最大连接数。

-



启用整体限流策略

新建整体限流策略后,策略处于启用状态。关闭整体限流策略后,策略将不起作用。

   1.选择“防火墙 > 限流策略 > 整体限流”。

  2.在“整体限流策略列表”中,选中需要启用的整体限流策略所在行的“启用”复选框。


取消选中“启用”复选框,禁用该整体限流策略。


复制整体限流策略

复制整体限流策略时,用户可以对原有策略进行微调,从而形成新的整体限流策略。新的整体限流策略编号在现有策略最大编号的基础上递增。

当需要配置多条相似的整体限流策略时,可以反复执行以下操作。

   1.选择“防火墙 > 限流策略 > 整体限流”。

   2.在“整体限流策略列表”中,单击需要复制的整体限流策略所在行的

   3.重新输入或选择各项参数,如表7-12所示。其中“源安全区域”和“目的安全区域”不可修改。

   4.单击“应用”。


移动整体限流策略

移动整体限流策略可以在安全区域间调整整体限流策略的位置,从而改变整体限流策略的匹配顺序。位置越高的整体限流策略优先级越高,越优先进行匹配。

   1.选择“防火墙 > 限流策略 > 整体限流”。

   2.在“整体限流策略列表”中,单击需要移动的整体限流策略所在行的

   3.依次输入或选择各项参数,如表7-14所示。

   4.单击“确定”。


整体限流策略移动到相应位置,则表明操作成功。


表7-14  移动整体限流策略参数说明


参数

说明

取值建议

目标ID

当前整体限流策略会移动到“目标ID”的整体限流策略的上方或下方。

-

位置

·之前:将当前整体限流策略移动到“目标ID”的整体限流策略的上方。

·之后:将当前整体限流策略移动到“目标ID”的整体限流策略的下方。

-



插入整体限流策略

  1.选择“防火墙 > 限流策略 > 整体限流”。

  2.在“整体限流策略列表”中,单击已创建整体限流策略所在行的,为当前策略对应的安全域间增加一条策略,新增策略插入到当前策略之前。

  3.重新输入或选择各项参数,如表7-12所示。其中“源安全区域”和“目的安全区域”不可修改。

  4.单击“应用”。


查询整体限流策略

  1.选择“防火墙 > 限流策略 > 整体限流”。

  2.使用以下两种方式的一种来查询整体限流策略:

    ·普通查询

      在“整体限流策略列表”表头的下拉框中选择安全区域,单击“查询”。

    ·高级查询

      a.在“整体限流策略列表”表头的下拉框中选择安全区域,单击“高级查询”。

      b.输入查询条件,如表7-12所示。

      c.单击“确定”。


以上文章由北京艾锑无限科技发展有限公司整理