企业流控实施指南—UTMWALL流控策略设置详解
目录
第一部分 标准流控策略.............................................................. 错误!未定义书签。
1.1流控目标及策略 .............................................................. 错误!未定义书签。 1.2 实施步骤 ......................................................................... 错误!未定义书签。
1.2.1初始设置 ................................................................ 错误!未定义书签。 1.2.2总控策略 ................................................................ 错误!未定义书签。
第二部分 异常流量控制.............................................................. 错误!未定义书签。
2.1流控目标及策略 .............................................................. 错误!未定义书签。 2.2 实施步骤 ......................................................................... 错误!未定义书签。 第三部分 QoS带宽控制 .............................................................. 错误!未定义书签。
3.1流控目标及策略 .............................................................. 错误!未定义书签。 3.2 实施步骤 ......................................................................... 错误!未定义书签。
一台UTMWALL设备安装好后,其G2网卡IP为192.168.10.1,管理员PC的IP设置为192.168.10.2,在WEB浏览器中输入:8443,回车后忽略安全警告,在认证窗口中输入用户名adm,口令adm@12345,一切正确即可登陆WEBAdmin管理界面。
1、执行初始设置,快速设置网卡IP及标准流控策略 2、根据本单位关键应用的实际情况,新建、修改总控策略 3、调整总控策略中各会话对象的会话数等阈值 3、启用非关键应用流量对象的阻拦动作,调整各阈值 3、针对非关键应用,启用QoS功能,调整QoS对象的带宽值 4、查看QoS状态及网络状态,确认流控效果是否有效 图1 UTMWALL流控策略设置流程图
第一部分 标准流控策略
1.1流控目标及策略
确保各源IP的ping检测(ICMP)、DNS查询、WEB浏览、POP3收信、SMTP发信、FTP下载等关键应用的会话数充足,其余非关键应用的会话数均受到限制,使得带宽、会话不会被非关键应用的流量所占满。
1.2 实施步骤 1.2.1初始设置
1)点击左边主菜单的“
系统管理>
系统管理>
初始设置”菜单项,或者点
击右上角 “设置”的快捷链接,出现 “初始设置”界面,如下图2所示。
图2 “初始设置”界面
2)根据实际网络环境设置运行方式、外网、内网、上网管理等参数,确保
“总控策略”项为“标准流控策略” “网络审计”项为“启用” 再点击“确定”按钮,系统将自动生成
网卡、
总控策略等十几种配置,可
进一步查看并做修改。再将外网网线连接G1网卡,内网网线连接G2网卡,即可上线做转发及流控,管理员还可通过G2网卡在内网中继续管理设备。
1.2.2总控策略
在
“初始设置”界面中点击“规则数:xx”链接,或者点击左边主菜单
的“防火墙>总控策略”菜单项,出现“总控策略”界面,如下图3所示为标准流控策略,可以以此基础新建适合本单位关键应用的总控策略。
图3 “总控策略”界面
1.2.2.1 标准流控策略说明
流量控制功能主要由成,它们在
“会话”对象、
“流量”对象和
“QoS”带宽对象构
“初始设置”后的标准流控策略中的具体内容为:
流量对象:只是记录持续和上传流量,没有阻拦动作。
会话对象:限制各源IP各应用的会话数,具体数值如图3中黑字所示。 QoS对象:非关键应用的子策略中有,但需要启用QoS功能才能生效。
下面详细讲解图3中标准流控策略中的各个子策略的作用,由于
总控策
略是按最后匹配的子策略优先执行的顺序,因此需要从下往上讲解。 1)阻拦子策略
? 第一行没有序号的策略为系统内置的缺省阻拦策略 ? 序号15的子策略用于阻拦某些服务器IP ? 序号14的子策略用于阻拦某些来源IP
策略说明:如果没有任何总控策略,则除了8443、6443端口的管理流量,所有流量均被阻拦,因此一开始只需新建通过策略;当已有通过策略,又想再阻拦某些源IP或目的IP,则可以通过在最后的、序号14和15的子策略来实现。
操作提示:点击/右击“来源”列“Blocked_Client”或 “目的”列
“Blocked_Server” IP对象链接,再输入需要阻拦的IP并确定即可自定义需要阻拦的IP。
图4 阻拦子策略
2)关键应用子策略
? 序号13的子策略为FTP文件传输应用,单个源IP最大会话数为30。 ? 序号12的子策略为SMTP发信应用,单个源IP最大会话数为30。 ? 序号11的子策略为POP3收信应用,单个源IP最大会话数为30。 ? 序号10的子策略为HTTPS加密浏览应用,单个源IP最大会话数为150。 ? 序号8的子策略为WEB浏览应用,单个源IP最大会话数为300。 ? 序号7的子策略为DNS域名查询应用,单个源IP最大会话数为300。 ? 序号6的子策略为ping检测应用,单个源IP最大会话数为20。
策略说明:在此列出的关键应用是互联网的基础应用,用户可以修改或新建自己的关键应用。如果
“特殊应用”项设置为通过,则该应用也是关键应用。
操作提示:点击/右击 “会话”列“xx_session”链接,再输入新值并确定即可自定义会话对象。
图5 关键应用子策略
3)非关键应用子策略
? 序号9的子策略为伪80端口应用,单个源IP最大会话数为20。 ? 序号5的子策略为其它UDP协议应用,单个源IP最大会话数为20。 ? 序号4的子策略为其它TCP协议应用,单个源IP最大会话数为60。 策略说明:系统通过网络审计功能对WEB浏览应用的80等端口进行七层内容分析,将不符合HTTP协议的目的IP地址自动放到样可以在总控策略中对其进行流量控制。
操作提示:点击/右击 “会话”列“xx_session”链接,再输入新值并确定即可自
FAKE80_ip IP对象中,这
定义会话对象。
图6 非关键应用子策略
4)例外冗余子策略
? 序号3的子策略为其它IP协议应用,单个源IP最大会话数为20。 ? 序号2的子策略为超级用户的应用,单个源IP最大会话数为500。 ? 序号1的子策略为其它IP协议应用,单个源IP最大会话数为500。 策略说明:IP协议包括TCP、UDP、ICMP协议,系统将匹配后续的TCP、UDP、ICMP协议子策略执行,故序号1、3的子策略一般没有对应的流量。 操作提示:点击/右击“来源”列“SUPERUSER_ip” IP对象链接,再输入IP并确定即可自定义超级用户的IP,超级用户的流量将立即生效,而不会继续匹配下面的子策略。
图7 例外冗余子策略
1.2.2.2 总控策略使用说明
1)总控策略匹配顺序由源IP、源端口、协议、目的IP、目的端口5元组及“规则匹配”选项决定,系统按从上到下的顺序进行匹配,在数据流的5元组与总控策略匹配的前提下,如果是“马上生效”,则按此策略实行,并会在列表界面的“动作”列中显示“允许↑”,如果是“继续检查”则即使当前策略匹配仍往下查找,并按最后一条匹配的总控策略实行。
2)总控策略内置的第一条策略是“拒绝所有”的策略,管理员一般只要在其后定义通过的关键应用的策略即可,即遵循“除非允许,否则拒绝”的原则。 3)“方向”一般选择“流入网卡”,此时的“网卡”是最靠近来源IP对象的网卡。
4)由于新建、修改总控策略会导致其序号发生变化,所以要在完成全部编辑操作后终止现有的会话。
企业流控实施指南—UTMWALL流控策略设置详解
