網(wǎng)絡(luò)運(yùn)維|防火墻限流策略的典型應(yīng)用

2020-05-30 15:32 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，想要學(xué)習(xí)防火墻必須會配置限流策略。簡單網(wǎng)絡(luò)安全運(yùn)維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

  舉例：限制企業(yè)上網(wǎng)帶寬和服務(wù)器訪問流量

介紹通過限流策略功能限制內(nèi)網(wǎng)用戶的帶寬和外網(wǎng)訪問內(nèi)部服務(wù)器的連接數(shù)，避免網(wǎng)絡(luò)擁塞的舉例。

組網(wǎng)需求

如圖7-38所示，Trust區(qū)域中內(nèi)網(wǎng)用戶的是192.168.1.0/24網(wǎng)段，可以訪問Internet，同時外網(wǎng)用戶可以訪問DMZ區(qū)域的FTP服務(wù)器。
具體需求如下：
· 限制整個Trust區(qū)域內(nèi)的所有用戶的總體帶寬，到Internet的上傳/下載帶寬為：10Mbps/20Mbps。
· 限制從Untrust區(qū)域到DMZ區(qū)域FTP服務(wù)器的連接數(shù)為20個，防止過多外網(wǎng)用戶從內(nèi)網(wǎng)服務(wù)器下載文件，造成服務(wù)器的擁塞，浪費(fèi)設(shè)備的端口資源。
圖  限制企業(yè)上網(wǎng)帶寬和服務(wù)器訪問流量組網(wǎng)圖 

項(xiàng)目	數(shù)據(jù)	備注
(1)	接口號：GigabitEthernet 0/0/2 IP地址：192.168.1.1/24 安全區(qū)域：Trust	–
(2)	接口號：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全區(qū)域：DMZ	–
(3)	接口號：GigabitEthernet 0/0/4 IP地址：1.1.1.1/24 安全區(qū)域：Untrust	–
Trust區(qū)域中的PC	IP地址范圍：192.168.1.2/24～192.168.1.254/24。	–
FTP服務(wù)器	IP地址：10.1.1.2/24 公網(wǎng)地址：1.1.1.1/24	–
用戶帶寬限制	上傳/下載最大速率：1Mbps/2Mbps 服務(wù)器連接數(shù)上限：20個	–

配置思路

1. 配置各個接口的IP，并加入相應(yīng)的安全區(qū)域。
2. 配置域間包過濾和路由，保證網(wǎng)絡(luò)基本通信。
3. 配置NAT功能，使內(nèi)網(wǎng)用戶能訪問外網(wǎng)。
4. 啟用限流策略功能。
5. 配置整體限流功能，配置三個整體限流策略，分別限制內(nèi)網(wǎng)用戶的上傳、下載帶寬和外網(wǎng)訪問內(nèi)部服務(wù)器的連接數(shù)。

操作步驟

1. 配置各接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中，單擊GigabitEthernet 0/0/2對應(yīng)的，顯示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/2的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：trust
· 模式：路由
· 連接類型：靜態(tài)IP
· IP地址：192.168.1.1
· 子網(wǎng)掩碼：255.255.255.0
c. 單擊“應(yīng)用”。
d. 單擊GigabitEthernet 0/0/3對應(yīng)的，顯示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/3的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：dmz
· 模式：路由
· 連接類型：靜態(tài)IP
· IP地址：10.1.1.1
· 子網(wǎng)掩碼：255.255.255.0
e. 單擊GigabitEthernet 0/0/4對應(yīng)的，顯示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/4的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：untrust
· 模式：路由
· 連接類型：靜態(tài)IP
· IP地址：1.1.1.1
· 子網(wǎng)掩碼：255.255.255.0
f. 單擊“應(yīng)用”。
2. 對于USG系列，配置域間包過濾，以保證網(wǎng)絡(luò)基本通信正常。對于USG BSR/HSR系列，不需要執(zhí)行此步驟。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 在“轉(zhuǎn)發(fā)策略列表”中，單擊“untrust->trust”下“默認(rèn)”對應(yīng)的。
c. 在“修改轉(zhuǎn)發(fā)策略”界面中，修改“動作”為“permit”
d. 單擊“應(yīng)用”。
e. 重復(fù)上述類似操作，修改“dmz->untrust”的轉(zhuǎn)發(fā)策略動作為“permit”。
3. 配置NAT功能，使其內(nèi)網(wǎng)用戶可以通過公網(wǎng)地址訪問Internet，以及服務(wù)器能對外提供正常的服務(wù)。本例只給出與本特性相關(guān)的配置步驟，配置NAT的步驟略。
4. 啟用限流策略功能。
a. 選擇“防火墻 > 限流策略 > 基本配置”。
b. 選中“限流策略”對應(yīng)的“啟用”復(fù)選框。
c. 單擊“應(yīng)用”。
5. 整體限流策略1，引用整體限流class1，限制上傳帶寬為10M。
a. 選擇“防火墻 > 限流策略 > 整體限流”。
b. 選擇“整體限流Class”頁簽。
c. 單擊，新建整體限流class1，參數(shù)如圖7-39所示。
d. 單擊“應(yīng)用”。
圖7-39  新建整體限流class1  e. 選擇“整體限流”頁簽。
f. 單擊，新建整體限流策略1，引用class1，限制上傳帶寬為10M。參數(shù)如圖7-40所示。
g. 單擊“應(yīng)用”。
圖7-40  新建整體限流策略1  6. 配置整體限流策略2，引用整體限流class2，限制下載帶寬為20M。
a. 選擇“防火墻 > 限流策略 > 整體限流”。
b. 選擇“整體限流Class”頁簽。
c. 單擊，新建整體限流class2，參數(shù)如圖7-41所示。
d. 單擊“應(yīng)用”。
圖7-41  新建整體限流class2  e. 選擇“整體限流”頁簽。
f. 單擊，新建整體限流策略2，引用class2，限制下載帶寬為20M。參數(shù)如圖7-42所示。
g. 單擊“應(yīng)用”。
圖7-42  新建整體限流策略2  7. 配置整體限流策略3，引用整體限流class3，限制外網(wǎng)到服務(wù)器的最大連接數(shù)為20。
a. 選擇“防火墻 > 限流策略 > 整體限流”。
b. 選擇“整體限流Class”頁簽。
c. 單擊，新建整體限流class3，參數(shù)如圖7-43所示。
d. 單擊“應(yīng)用”。
圖7-43  新建整體限流class3  e. 選擇“整體限流”頁簽。
f. 單擊，新建整體限流策略3，引用class3，限制外網(wǎng)到服務(wù)器的最大連接數(shù)為20。參數(shù)如圖7-44所示。
g. 單擊“應(yīng)用”。
圖7-44  新建整體限流策略3 

結(jié)果驗(yàn)證

1. 配置完成后，Trust區(qū)域內(nèi)的所有用戶到Internet的上傳/下載帶寬限制在：10Mbps/20Mbps以下，說明配置成功。
2. 配置完成后，Untrust區(qū)域的PC訪問DMZ服務(wù)器，看連接數(shù)小于等于20個，說明配置成功。
以上文章由北京艾銻無限科技發(fā)展有限公司整理