网络运维|防火墙基于用户的限制上网流量
2020-05-30 15:35 作者:admin 浏览量:
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容。简单
网络安全运维,从防火墙学起,一步一步学成
网络安全运维大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维修信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维修信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
基于用户的限制上网流量
介绍通过针对用户名称来限制其上网流量,避免网络拥塞的举例。
组网需求
如图7-45所示,Trust区域中内网用户的是192.168.1.0/24网段,可以访问Internet,需要限制具体用户组group1内每个用户的上传最大带宽为1Mbps,P2P下载流量为2Mbps。
图 基于用户的限制上网流量的组网图
项目 |
数据 |
备注 |
(1) |
接口号:GigabitEthernet 0/0/2
IP地址:192.168.1.1/24
安全区域:Trust |
– |
(2) |
接口号:GigabitEthernet 0/0/3
IP地址:10.1.1.1/24
安全区域:DMZ |
– |
PC |
IP地址:192.168.1.2/24
用户名/密码为:user1/Admin@123
所属用户组:group1 |
– |
用户带宽限制 |
上传/下载最大带宽:1Mbps/2Mbps |
– |
配置思路
1. 配置各接口基本参数。
2. 配置域间包过滤和路由,保证网络基本通信。
3. 配置NAT功能,使内网用户能访问外网。
4. 创建用户组,配置用户名及密码,并配置本地认证策略。
5. 启用限流策略功能和应用控制功能。
6. 配置每IP限流功能,限制内网用户的上传和下载带宽。
操作步骤
1. 配置各接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中,单击GigabitEthernet 0/0/2对应的
,显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/2的相关参数如下,其他参数使用默认值:
· 安全区域:trust
· 模式:路由
· 连接类型:静态IP
· IP地址:192.168.1.1
· 子网掩码:255.255.255.0
c. 单击“应用”。
d. 单击GigabitEthernet 0/0/3对应的
,显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/3的相关参数如下,其他参数使用默认值:
· 安全区域:untrust
· 模式:路由
· 连接类型:静态IP
· IP地址:10.1.1.1
· 子网掩码:255.255.255.0
e. 单击“应用”。
2. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 在“转发策略列表”中,单击“untrust->trust”下“默认”对应的
。
c. 在“修改转发策略”界面中,修改“动作”为“permit”
d. 单击“应用”。
3. 配置NAT功能,使其内网用户可以通过公网地址访问Internet。本例只给出与本特性相关的配置步骤,配置NAT的步骤略。
4. 创建用户,用户名/密码为:user1/Admin@123,并加入用户组group1。本举例以单个本地认证用户为例。
a. 选择“用户 > 上网用户 > 组/用户”。
b. 单击
,选择“新建组”,创建用户组group1,如图7-46所示。
c. 单击“应用”。
图7-46 新建用户组group1
d. 单击
,选择“新建单个用户”,创建用户user1,如图7-47所示。
e. 单击“应用”。
图7-47 新建用户user1
5. 创建网段192.168.1.0/24对应的用户认证策略test。
a. 选择“用户 > 上网用户 > 认证策略”。
b. 单击“新建”。
c. 依次输入名称、IP地址范围、认证方式,其他均采用默认配置,如图7-48所示。
d. 单击“应用”。
图7-48 新建用户认证策略test
6. 启用应用控制功能,实现对应用协议的限流。
a. 选择“UTM > 应用控制 > 策略”。
b. 选择“应用控制功能”后的“启用”复选框。
c. 单击“应用”。
7. 启用限流策略功能。
a. 选择“防火墙 > 限流策略 > 基本配置”。
b. 选中“限流策略”对应的“启用”复选框。
c. 单击“应用”。
8. 配置每IP限流策略1,引用class1,限制用户访问或者上载最大带宽为1M。
a. 选择“防火墙 > 限流策略 > 每IP限流”。
b. 选择“每IP限流Class”页签。
c. 单击
,新建每IP限流class1,参数如图7-49所示。
d. 单击“应用”。
图7-49 新建每IP限流class1
e. 选择“每IP限流”页签。
f. 单击
,新建每IP限流策略1,引用class1,限制上传带宽为1M。参数如图7-50所示。
g. 单击“应用”。
图7-50 新建每IP限流策略1
9. 配置每IP限流策略2,引用class2,限制用户P2P下载最大带宽为2M。
a. 选择“防火墙 > 限流策略 > 每IP限流”。
b. 选择“每IP限流Class”页签。
c. 单击
,新建每IP限流class2,参数如图7-51所示。
d. 单击“应用”。
图7-51 新建每IP限流class2
e. 选择“每IP限流”页签。
f. 单击
,新建每IP限流策略2,引用class2,限制P2P下载最大带宽为2M。参数如图7-52所示。
g. 单击“应用”。
图7-52 新建每IP限流策略2
结果验证
配置完成后,用户组group1内的用户user1的上传最大带宽为1Mbps,P2P下载流量为2Mbps以下,说明配置成功。
以上文章由北京艾锑无限科技发展有限公司整理