网络运维|防火墙限流策略的基本配置
2020-05-29 17:32 作者:艾锑无限 浏览量:
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须会配置转发策略。简单网络安全设备维护,从防火墙学起,一步一步学成网络安全设备维护大神。网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维护信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维护信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
7.2.2 配置流程
介绍限流策略的基本配置流程。限流策略的配置流程如图7-37所示,可根据实际场景配置(一级CAR、二级CAR),或者二者都配置,来对流量进行控制。
图 限流策略的配置流程
表7-8 限流策略的配置
7.2.3 基本配置
在配置每IP限流和整体限流功能前,需要先启用限流策略功能。启用限流策略功能
1. 选择“防火墙 > 限流策略 > 基本配置”。2. 选中“限流策略”后面对应的“启用”复选框。
3. 单击“应用”。
7.2.4 每IP限流
当需要基于IP进行流量控制时,可采用每IP限流策略,通过对源或者目的IP地址进行带宽和连接数的限制,以达到每IP限流的目的。新建每IP限流策略
每IP限流策略在匹配流量时,除了“源安全区域”、“目的安全区域”、“动作”和“每IP限流Class”外,其他各种匹配条件均为可选配置。如果配置,则满足所配置的条件的流量才会匹配成功。如果不配置,相当于不对这个匹配条件进行要求。如果所有条件均不配置,相当于匹配所有流量。所有匹配条件中,源IP地址和源MAC地址属于同一类匹配条件,若同时配置,流量只要命中其中一个就能满足这类匹配条件。同理,目的IP地址和目的MAC地址也属于同一类匹配条件。如果一个域间配置了多条每IP限流策略,则按照每IP限流策略的优先级按顺序进行匹配。只要匹配到一条每IP限流策略就不再继续匹配剩下的每IP限流策略。缺省情况下,越先配置的每IP限流策略优先级越高,但是也可以通过配置手工调整每IP限流策略之间的优先级,具体请参见移动每IP限流策略。
在匹配流量时各种匹配条件如果需要引用相关其他资源,例如时间段、地址集、服务集、用户等,需要提前创建好才可在策略中引用。
如果要基于MAC地址对内网流量进行控制,且USG和内网PC之间通过三层交换机相连,那么需要首先配置跨三层MAC地址学习,再以MAC地址为匹配条件制定限流策略。
1. 选择“防火墙 > 限流策略 > 每IP限流”。
2. 在“每IP限流策略列表”中,单击“新建”。
3. 依次输入或选择各项参数,如表7-9所示。
4. 单击“应用”。
界面中显示新建的每IP限流策略,则表明操作成功。
表 新建每IP限流策略参数说明
新建每IP限流Class
新建每IP限流Class,指定具体的限流阈值,以备被每IP限流策略引用。1. 选择“防火墙 > 限流策略 > 每IP限流”。
2. 选择“每IP限流Class”页签。
3. 在“每IP限流Class列表”中,单击“新建”。
4. 依次输入或选择各项参数,如表7-10所示。
5. 单击“应用”。
界面中显示新建的每IP限流Class,则表明操作成功。
表7-10 新建每IP限流Class参数说明
启用每IP限流策略
新建每IP限流策略后,策略处于启用状态。关闭每IP限流策略后,策略将不起作用。1. 选择“防火墙 > 限流策略 > 每IP限流”。
2. 在“每IP限流策略列表”中,选中需要启用的每IP限流策略所在行的“启用”复选框。
取消选中“启用”复选框,禁用该每IP限流策略。
复制每IP限流策略
复制每IP限流策略时,用户可以对原有策略进行微调,从而形成新的每IP限流策略。新的每IP限流策略编号在现有策略最大编号的基础上递增。当需要配置多条相似的每IP限流策略时,可以反复执行以下操作。
1. 选择“防火墙 > 限流策略 > 每IP限流”。
2. 在“每IP限流策略列表”中,单击需要复制的每IP限流策略所在行的。
3. 重新输入或选择各项参数,如表7-9所示。其中“源安全区域”和“目的安全区域”不可修改。
4. 单击“应用”。
移动每IP限流策略
移动每IP限流策略可以在安全区域间调整每IP限流策略的位置,从而改变每IP限流策略的匹配顺序。位置越高的每IP限流策略优先级越高,越优先进行匹配。1. 选择“防火墙 > 限流策略 > 每IP限流”。
2. 在“每IP限流策略列表”中,单击需要移动的每IP限流策略所在行的。
3. 依次输入或选择各项参数,如表7-11所示。
4. 单击“确定”。
每IP限流策略移动到相应位置,则表明操作成功。
表7-11 移动每IP限流策略参
插入每IP限流策略
1. 选择“防火墙 > 限流策略 > 每IP限流”。2. 在“每IP限流策略列表”中,单击已创建每IP限流策略所在行的,为当前策略对应的安全域间增加一条策略,新增策略插入到当前策略之前。
3. 重新输入或选择各项参数,如表7-9所示。其中“源安全区域”和“目的安全区域”不可修改。
4. 单击“应用”。
查询每IP限流策略
1. 选择“防火墙 > 限流策略 > 每IP限流”。2. 使用以下两种方式的一种来查询每IP限流策略:
· 普通查询
在“每IP限流策略列表”表头的下拉框中选择安全区域,单击“查询”。
· 高级查询
a. 在“每IP限流策略列表”表头的下拉框中选择安全区域,单击“高级查询”。
b. 输入查询条件,如表7-9所示。
c. 单击“确定”。
以上文章由北京艾锑无限科技发展有限公司整理
相关文章
IT电脑维护外包
关闭