网络运维|防火墙限流策略的典型应用
2020-05-30 15:32 作者:admin
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容,想要学习
防火墙必须会配置限流策略。简单
网络安全运维,从防火墙学起,一步一步学成
网络安全运维大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维修信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维修信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
举例:限制企业上网带宽和服务器访问流量
介绍通过限流策略功能限制内网用户的带宽和外网访问内部服务器的连接数,避免网络拥塞的举例。
组网需求
如图7-38所示,Trust区域中内网用户的是192.168.1.0/24网段,可以访问Internet,同时外网用户可以访问DMZ区域的FTP服务器。
具体需求如下:
· 限制整个Trust区域内的所有用户的总体带宽,到Internet的上传/下载带宽为:10Mbps/20Mbps。
· 限制从Untrust区域到DMZ区域FTP服务器的连接数为20个,防止过多外网用户从内网服务器下载文件,造成服务器的拥塞,浪费设备的端口资源。
图 限制企业上网带宽和服务器访问流量组网图
项目 |
数据 |
备注 |
(1) |
接口号:GigabitEthernet 0/0/2
IP地址:192.168.1.1/24
安全区域:Trust |
– |
(2) |
接口号:GigabitEthernet 0/0/3
IP地址:10.1.1.1/24
安全区域:DMZ |
– |
(3) |
接口号:GigabitEthernet 0/0/4
IP地址:1.1.1.1/24
安全区域:Untrust |
– |
Trust区域中的PC |
IP地址范围:192.168.1.2/24~192.168.1.254/24。 |
– |
FTP服务器 |
IP地址:10.1.1.2/24
公网地址:1.1.1.1/24 |
– |
用户带宽限制 |
上传/下载最大速率:1Mbps/2Mbps
服务器连接数上限:20个 |
– |
配置思路
1. 配置各个接口的IP,并加入相应的安全区域。
2. 配置域间包过滤和路由,保证网络基本通信。
3. 配置NAT功能,使内网用户能访问外网。
4. 启用限流策略功能。
5. 配置整体限流功能,配置三个整体限流策略,分别限制内网用户的上传、下载带宽和外网访问内部服务器的连接数。
操作步骤
1. 配置各接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中,单击GigabitEthernet 0/0/2对应的
,显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/2的相关参数如下,其他参数使用默认值:
· 安全区域:trust
· 模式:路由
· 连接类型:静态IP
· IP地址:192.168.1.1
· 子网掩码:255.255.255.0
c. 单击“应用”。
d. 单击GigabitEthernet 0/0/3对应的
,显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/3的相关参数如下,其他参数使用默认值:
· 安全区域:dmz
· 模式:路由
· 连接类型:静态IP
· IP地址:10.1.1.1
· 子网掩码:255.255.255.0
e. 单击GigabitEthernet 0/0/4对应的
,显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/4的相关参数如下,其他参数使用默认值:
· 安全区域:untrust
· 模式:路由
· 连接类型:静态IP
· IP地址:1.1.1.1
· 子网掩码:255.255.255.0
f. 单击“应用”。
2. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 在“转发策略列表”中,单击“untrust->trust”下“默认”对应的
。
c. 在“修改转发策略”界面中,修改“动作”为“permit”
d. 单击“应用”。
e. 重复上述类似操作,修改“dmz->untrust”的转发策略动作为“permit”。
3. 配置NAT功能,使其内网用户可以通过公网地址访问Internet,以及服务器能对外提供正常的服务。本例只给出与本特性相关的配置步骤,配置NAT的步骤略。
4. 启用限流策略功能。
a. 选择“防火墙 > 限流策略 > 基本配置”。
b. 选中“限流策略”对应的“启用”复选框。
c. 单击“应用”。
5. 整体限流策略1,引用整体限流class1,限制上传带宽为10M。
a. 选择“防火墙 > 限流策略 > 整体限流”。
b. 选择“整体限流Class”页签。
c. 单击
,新建整体限流class1,参数如图7-39所示。
d. 单击“应用”。
图7-39 新建整体限流class1
e. 选择“整体限流”页签。
f. 单击
,新建整体限流策略1,引用class1,限制上传带宽为10M。参数如图7-40所示。
g. 单击“应用”。
图7-40 新建整体限流策略1
6. 配置整体限流策略2,引用整体限流class2,限制下载带宽为20M。
a. 选择“防火墙 > 限流策略 > 整体限流”。
b. 选择“整体限流Class”页签。
c. 单击
,新建整体限流class2,参数如图7-41所示。
d. 单击“应用”。
图7-41 新建整体限流class2
e. 选择“整体限流”页签。
f. 单击
,新建整体限流策略2,引用class2,限制下载带宽为20M。参数如图7-42所示。
g. 单击“应用”。
图7-42 新建整体限流策略2
7. 配置整体限流策略3,引用整体限流class3,限制外网到服务器的最大连接数为20。
a. 选择“防火墙 > 限流策略 > 整体限流”。
b. 选择“整体限流Class”页签。
c. 单击
,新建整体限流class3,参数如图7-43所示。
d. 单击“应用”。
图7-43 新建整体限流class3
e. 选择“整体限流”页签。
f. 单击
,新建整体限流策略3,引用class3,限制外网到服务器的最大连接数为20。参数如图7-44所示。
g. 单击“应用”。
图7-44 新建整体限流策略3
结果验证
1. 配置完成后,Trust区域内的所有用户到Internet的上传/下载带宽限制在:10Mbps/20Mbps以下,说明配置成功。
2. 配置完成后,Untrust区域的PC访问DMZ服务器,看连接数小于等于20个,说明配置成功。
以上文章由北京艾锑无限科技发展有限公司整理