中國專業(yè)IT外包服務

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當前位置：主頁 > IT服務 > 網(wǎng)絡服務 >

網(wǎng)絡運維|防火墻限流策略的基本配置

2020-05-29 17:32 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡安全運維工程師，今天和大家分享的是網(wǎng)絡安全設備維護相關的內(nèi)容，想要學習防火墻必須會配置轉(zhuǎn)發(fā)策略。簡單網(wǎng)絡安全設備維護，從防火墻學起,一步一步學成網(wǎng)絡安全設備維護大神。

網(wǎng)絡維護是一種日常維護，包括網(wǎng)絡設備管理(如計算機，服務器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡安全(病毒防范)等。+

北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡維護服務，北京網(wǎng)絡維護信息查詢，同時您可以免費資訊北京網(wǎng)絡維護，北京網(wǎng)絡維護服務，北京網(wǎng)絡維護信息。專業(yè)的北京網(wǎng)絡維護信息就在北京艾銻無限+
+

北京網(wǎng)絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡維護信息

7.2.2 配置流程

介紹限流策略的基本配置流程。

限流策略的配置流程如圖7-37所示，可根據(jù)實際場景配置（一級CAR、二級CAR），或者二者都配置，來對流量進行控制。

圖限流策略的配置流程

表7-8 限流策略的配置

7.2.3 基本配置

在配置每IP限流和整體限流功能前，需要先啟用限流策略功能。

啟用限流策略功能

1. 選擇“防火墻 > 限流策略 > 基本配置”。

2. 選中“限流策略”后面對應的“啟用”復選框。

3. 單擊“應用”。

7.2.4 每IP限流

當需要基于IP進行流量控制時，可采用每IP限流策略，通過對源或者目的IP地址進行帶寬和連接數(shù)的限制，以達到每IP限流的目的。

新建每IP限流策略

每IP限流策略在匹配流量時，除了“源安全區(qū)域”、“目的安全區(qū)域”、“動作”和“每IP限流Class”外，其他各種匹配條件均為可選配置。如果配置，則滿足所配置的條件的流量才會匹配成功。如果不配置，相當于不對這個匹配條件進行要求。如果所有條件均不配置，相當于匹配所有流量。所有匹配條件中，源IP地址和源MAC地址屬于同一類匹配條件，若同時配置，流量只要命中其中一個就能滿足這類匹配條件。同理，目的IP地址和目的MAC地址也屬于同一類匹配條件。

如果一個域間配置了多條每IP限流策略，則按照每IP限流策略的優(yōu)先級按順序進行匹配。只要匹配到一條每IP限流策略就不再繼續(xù)匹配剩下的每IP限流策略。缺省情況下，越先配置的每IP限流策略優(yōu)先級越高，但是也可以通過配置手工調(diào)整每IP限流策略之間的優(yōu)先級，具體請參見移動每IP限流策略。

在匹配流量時各種匹配條件如果需要引用相關其他資源，例如時間段、地址集、服務集、用戶等，需要提前創(chuàng)建好才可在策略中引用。

如果要基于MAC地址對內(nèi)網(wǎng)流量進行控制，且USG和內(nèi)網(wǎng)PC之間通過三層交換機相連，那么需要首先配置跨三層MAC地址學習，再以MAC地址為匹配條件制定限流策略。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊“新建”。

3. 依次輸入或選擇各項參數(shù)，如表7-9所示。

4. 單擊“應用”。

界面中顯示新建的每IP限流策略，則表明操作成功。

表新建每IP限流策略參數(shù)說明

新建每IP限流Class

新建每IP限流Class，指定具體的限流閾值，以備被每IP限流策略引用。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 選擇“每IP限流Class”頁簽。

3. 在“每IP限流Class列表”中，單擊“新建”。

4. 依次輸入或選擇各項參數(shù)，如表7-10所示。

5. 單擊“應用”。

界面中顯示新建的每IP限流Class，則表明操作成功。

表7-10 新建每IP限流Class參數(shù)說明

啟用每IP限流策略

新建每IP限流策略后，策略處于啟用狀態(tài)。關閉每IP限流策略后，策略將不起作用。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，選中需要啟用的每IP限流策略所在行的“啟用”復選框。

取消選中“啟用”復選框，禁用該每IP限流策略。

復制每IP限流策略

復制每IP限流策略時，用戶可以對原有策略進行微調(diào)，從而形成新的每IP限流策略。新的每IP限流策略編號在現(xiàn)有策略最大編號的基礎上遞增。

當需要配置多條相似的每IP限流策略時，可以反復執(zhí)行以下操作。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊需要復制的每IP限流策略所在行的。

3. 重新輸入或選擇各項參數(shù)，如表7-9所示。其中“源安全區(qū)域”和“目的安全區(qū)域”不可修改。

4. 單擊“應用”。

移動每IP限流策略

移動每IP限流策略可以在安全區(qū)域間調(diào)整每IP限流策略的位置，從而改變每IP限流策略的匹配順序。位置越高的每IP限流策略優(yōu)先級越高，越優(yōu)先進行匹配。

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊需要移動的每IP限流策略所在行的。

3. 依次輸入或選擇各項參數(shù)，如表7-11所示。

4. 單擊“確定”。

每IP限流策略移動到相應位置，則表明操作成功。

表7-11 移動每IP限流策略參

插入每IP限流策略

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 在“每IP限流策略列表”中，單擊已創(chuàng)建每IP限流策略所在行的，為當前策略對應的安全域間增加一條策略，新增策略插入到當前策略之前。

3. 重新輸入或選擇各項參數(shù)，如表7-9所示。其中“源安全區(qū)域”和“目的安全區(qū)域”不可修改。

4. 單擊“應用”。

查詢每IP限流策略

1. 選擇“防火墻 > 限流策略 > 每IP限流”。

2. 使用以下兩種方式的一種來查詢每IP限流策略：

· 普通查詢

在“每IP限流策略列表”表頭的下拉框中選擇安全區(qū)域，單擊“查詢”。

· 高級查詢

a. 在“每IP限流策略列表”表頭的下拉框中選擇安全區(qū)域，單擊“高級查詢”。

b. 輸入查詢條件，如表7-9所示。

c. 單擊“確定”。

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡運維|防火墻的限流策略

下一篇：網(wǎng)絡運維|防火墻的整體限流