中國專業IT外包服務

加入收藏??

公司微博

網站地圖??

IT外包價格計算器

您當前位置：主頁 > IT服務 > 網絡服務 >

網絡運維|防火墻限流策略的基本配置

2020-05-29 17:32 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，想要學習防火墻必須會配置轉發策略。簡單網絡安全設備維護，從防火墻學起,一步一步學成網絡安全設備維護大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維護信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維護信息。專業的北京網絡維護信息就在北京艾銻無限+
+

北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

7.2.2 配置流程

介紹限流策略的基本配置流程。

限流策略的配置流程如圖7-37所示，可根據實際場景配置（一級CAR、二級CAR），或者二者都配置，來對流量進行控制。

圖限流策略的配置流程

表7-8 限流策略的配置

7.2.3 基本配置

在配置每IP限流和整體限流功能前，需要先啟用限流策略功能。

啟用限流策略功能

1. 選擇“防火墻 > 限流策略 > 基本配置”。

2. 選中“限流策略”后面對應的“啟用”復選框。

3. 單擊“應用”。

7.2.4 每IP限流

當需要基于IP進行流量控制時，可采用每IP限流策略，通過對源或者目的IP地址進行帶寬和連接數的限制，以達到每IP限流的目的。

新建每IP限流策略

每IP限流策略在匹配流量時，除了“源安全區域”、“目的安全區域”、“動作”和“每IP限流Class”外，其他各種匹配條件均為可選配置。如果配置，則滿足所配置的條件的流量才會匹配成功。如果不配置，相當于不對這個匹配條件進行要求。如果所有條件均不配置，相當于匹配所有流量。所有匹配條件中，源IP地址和源MAC地址屬于同一類匹配條件，若同時配置，流量只要命中其中一個就能滿足這類匹配條件。同理，目的IP地址和目的MAC地址也屬于同一類匹配條件。

如果一個域間配置了多條每IP限流策略，則按照每IP限流策略的優先級按順序進行匹配。只要匹配到一條每IP限流策略就不再繼續匹配剩下的每IP限流策略。缺省情況下，越先配置的每IP限流策略優先級越高，但是也可以通過配置手工調整每IP限流策略之間的優先級，具體請參見移動每IP限流策略。

在匹配流量時各種匹配條件如果需要引用相關其他資源，例如時間段、地址集、服務集、用戶等，需要提前創建好才可在策略中引用。

如果要基于MAC地址對內網流量進行控制，且USG和內網PC之間通過三層交換機相連，那么需要首先配置跨三層MAC地址學習，再以MAC地址為匹配條件制定限流策略。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊“新建”。

3. 依次輸入或選擇各項參數，如表7-9所示。

4. 單擊“應用”。

界面中顯示新建的每IP限流策略，則表明操作成功。

表新建每IP限流策略參數說明

新建每IP限流Class

新建每IP限流Class，指定具體的限流閾值，以備被每IP限流策略引用。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 選擇“每IP限流Class”頁簽。

3. 在“每IP限流Class列表”中，單擊“新建”。

4. 依次輸入或選擇各項參數，如表7-10所示。

5. 單擊“應用”。

界面中顯示新建的每IP限流Class，則表明操作成功。

表7-10 新建每IP限流Class參數說明

啟用每IP限流策略

新建每IP限流策略后，策略處于啟用狀態。關閉每IP限流策略后，策略將不起作用。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，選中需要啟用的每IP限流策略所在行的“啟用”復選框。

取消選中“啟用”復選框，禁用該每IP限流策略。

復制每IP限流策略

復制每IP限流策略時，用戶可以對原有策略進行微調，從而形成新的每IP限流策略。新的每IP限流策略編號在現有策略最大編號的基礎上遞增。

當需要配置多條相似的每IP限流策略時，可以反復執行以下操作。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊需要復制的每IP限流策略所在行的。

3. 重新輸入或選擇各項參數，如表7-9所示。其中“源安全區域”和“目的安全區域”不可修改。

4. 單擊“應用”。

移動每IP限流策略

移動每IP限流策略可以在安全區域間調整每IP限流策略的位置，從而改變每IP限流策略的匹配順序。位置越高的每IP限流策略優先級越高，越優先進行匹配。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊需要移動的每IP限流策略所在行的。

3. 依次輸入或選擇各項參數，如表7-11所示。

4. 單擊“確定”。

每IP限流策略移動到相應位置，則表明操作成功。

表7-11 移動每IP限流策略參

插入每IP限流策略

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊已創建每IP限流策略所在行的，為當前策略對應的安全域間增加一條策略，新增策略插入到當前策略之前。

3. 重新輸入或選擇各項參數，如表7-9所示。其中“源安全區域”和“目的安全區域”不可修改。

4. 單擊“應用”。

查詢每IP限流策略

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 使用以下兩種方式的一種來查詢每IP限流策略：

· 普通查詢

在“每IP限流策略列表”表頭的下拉框中選擇安全區域，單擊“查詢”。

· 高級查詢

a. 在“每IP限流策略列表”表頭的下拉框中選擇安全區域，單擊“高級查詢”。

b. 輸入查詢條件，如表7-9所示。

c. 單擊“確定”。

以上文章由北京艾銻無限科技發展有限公司整理

分享到:

上一篇：網絡運維|防火墻的限流策略

下一篇：網絡運維|防火墻的整體限流