企業(yè)流控實(shí)施指南—UTMWALL流控策略設(shè)置詳解

1、企業(yè)流控實(shí)施指南一UTMWALL流控策略設(shè)置詳解目錄第一部分標(biāo)準(zhǔn)流控策略錯(cuò)誤!未定義書簽1.1 流控目標(biāo)及策略1.2 實(shí)施步驟1.2.1 初始設(shè)置錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽1.2.2總控策略第二部分異常流量控制錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽2.1流控目標(biāo)及策略錯(cuò)誤!未定義書簽。2.2實(shí)施步驟第三部分QoS帶寬控制錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽3.1 流控目標(biāo)及策略3.2 實(shí)施步驟錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽臺(tái)UTMWALL設(shè)備安裝女?后，其 G2網(wǎng)卡IP為,管理員PC的IP設(shè)置為,在WEB瀏覽器中輸入：8443,回車

2、后忽略安全警告，在認(rèn)證窗口中輸入用戶名 adm, 口令adm12345, 一切正確即可登陸 WEBAdmin管理界面1、執(zhí)行期初始設(shè)置， 快速設(shè)置型網(wǎng)卡IP 及E標(biāo)準(zhǔn)流控策略圖1 UTMWALL流控策略設(shè)置流程圖第一部分標(biāo)準(zhǔn)流控策略1.1 流控目標(biāo)及策略確保各源IP的ping檢測(cè)（ICMP）、DNS查詢、WEB瀏覽、POP3收信、SMTP 發(fā)信、FTP下載等關(guān)鍵應(yīng)用的會(huì)話數(shù)充足，其余非關(guān)鍵應(yīng)用的會(huì)話數(shù)均受到限制， 使得帶寬、會(huì)話不會(huì)被非關(guān)鍵應(yīng)用的流量所占滿。1.2 實(shí)施步驟1.2.1 初始設(shè)置1）點(diǎn)擊左邊主菜單的“坐系統(tǒng)管理等系統(tǒng)管理,厚初始設(shè)置”菜單項(xiàng)，或者點(diǎn)擊右上角厚“設(shè)置”的快捷鏈接，出

3、現(xiàn) 厚“初始設(shè)置”界面，如下圖2所示圖2 “初始設(shè)置”界面2）根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境設(shè)置運(yùn)行方式、外網(wǎng)、內(nèi)網(wǎng)、上網(wǎng)管理等參數(shù)，確?！翱偪夭呗浴表?xiàng)為“標(biāo)準(zhǔn)流控策略”“網(wǎng)絡(luò)審計(jì)”項(xiàng)為“啟用”再點(diǎn)擊“確定”按鈕,進(jìn)一步查看并做修改。系統(tǒng)將自動(dòng)生成.也網(wǎng)卡、國(guó)總控策略等十幾種配置，可再將外網(wǎng)網(wǎng)線連接 G1網(wǎng)卡，內(nèi)網(wǎng)網(wǎng)線連接G2網(wǎng)卡，即可上線做轉(zhuǎn)發(fā)及流控,管理員還可通過(guò) G2網(wǎng)卡在內(nèi)網(wǎng)中繼續(xù)管理設(shè)備。1.2.2 總控策略在厚“初始設(shè)置”界面中點(diǎn)擊“規(guī)則數(shù)：xx”鏈接，或者點(diǎn)擊左邊主菜單 的“防火墻 總控策略”菜單項(xiàng)，出現(xiàn)“總控策略”界面，如下圖3所示為標(biāo)準(zhǔn)流控策略，可以以此基礎(chǔ)新建適合本單位關(guān)鍵應(yīng)用的總控策略

4、。f R-imf e#即/ 得Min4r|441 BA邂工安"ma二區(qū)' M 則黃-in 與 _h_f_Im-AbV-mB-ME .值M-. hBmiLdj_1 yRf-)Faj*'r-ihipv 同 HfjBidl二#ji.tl.融 +rF mPHH1 -F p-j|FIF XiVEEBLSMlrt-Lil_ *iL1*'& OIL, fcli工.', amii imi/qrfl-.ik_ WRH-n4F*J ei1J4 KW MUM-iPM T.qiKHjpJu._wbwtWT»4一3JrJM dT*_wwKTh J1 «

5、;HhM-Bt£F加bJH1由_fmh .<4 IT11*11nlM1 寓KT«UW 1r1*1(4HPBH *=IIwfl-14*-ajffiN.WFa.ii-jw* *Hjbmbb，hCA-> jTuIffl-l a *it WtaflFlL Ftemi.ItP-.WWI1U-iI1Hfe9(higkMi1V戶HKi= 'V_ uEMFBTWf| 才IM Mi *H Utt ±4 VHF Q * 圖3 “總控策略”界面標(biāo)準(zhǔn)流控策略說(shuō)明流量控制功能主要由三：蕓話”對(duì)象、里 流量”對(duì)象和，“Qo鑿寬對(duì)象構(gòu) 成，它們?cè)诶沓跏荚O(shè)置”后

6、的標(biāo)準(zhǔn)流控策略中的具體內(nèi)容為：型流量對(duì)象：只是記錄持續(xù)和上傳流量，沒(méi)有阻攔動(dòng)作?？飼?huì)話對(duì)象：限制各源IP各應(yīng)用的會(huì)話數(shù)，具體數(shù)值如圖3中黑字所示QO QoS對(duì)象：非關(guān)鍵應(yīng)用的子策略中有，但需要啟用 QoS功能才能生效,總控策卜面詳細(xì)講解圖3中標(biāo)準(zhǔn)流控策略中的各個(gè)子策略的作用，由于 略是按最后匹配的子策略優(yōu)先執(zhí)行的順序，因此需要從下往上講解。1）阻攔子策略第一行沒(méi)有序號(hào)的策略為系統(tǒng)內(nèi)置的缺省阻攔策略序號(hào)15的子策略用于阻攔某些服務(wù)器IP序號(hào)14的子策略用于阻攔某些來(lái)源IP策略說(shuō)明：如果沒(méi)有任何總控策略，則除了 8443、6443端口的管理流量，所有 流量均被阻攔，因此一開始只需新建通過(guò)策略；當(dāng)已

7、有通過(guò)策略，又想再阻攔 某些源IP或目的IP,則可以通過(guò)在最后的、序號(hào)14和15的子策略來(lái)實(shí)現(xiàn)。操作提示：點(diǎn)擊/右擊受來(lái)源”列“Blocked_Clien或比 目的”列Blocked_Server對(duì)沏接，再輸入需要阻攔的IP并確定即可自定義需要阻攔的IP。X « *1 - CMEF«u_ftw-» |1 *| 必IFM1JF4才圖4阻攔子策略2）關(guān)鍵應(yīng)用子策略序號(hào)13的子策略為FTP文件傳輸應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為30。序號(hào)12的子策略為SMTP發(fā)信應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為30。序號(hào)11的子策略為POP3收信應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為30。序號(hào)10的子策

8、略為HTTPSfe密瀏覽應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為150。序號(hào)8的子策略為WEB瀏覽應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為300。序號(hào)7的子策略為DNS域名查詢應(yīng)用,單個(gè)源IP最大會(huì)話數(shù)為300。序號(hào)6的子策略為ping檢測(cè)應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為200策略說(shuō)明：在此列出的關(guān)鍵應(yīng)用是互聯(lián)網(wǎng)的基礎(chǔ)應(yīng)用，用戶可以修改或新建自 己的關(guān)鍵應(yīng)用。如果 圜“特殊應(yīng)用”項(xiàng)設(shè)置為通過(guò)，則該應(yīng)用也是關(guān)鍵應(yīng)用。操作提示：點(diǎn)擊/右擊亙 蕓話”列“xx_sessiong'接，再輸入新值并確定即可自定義會(huì)話對(duì)象irwh4HBl1 JRNr F他HK40/*jl|i>bflMSjpWWTFML_>wmac

9、11Kli3rnnMBjp*J*»*TIF,l>U>WJfljpnMWho/不W.心Nh.11。rnnA-GEmjiii.ratavkTCF<LJfewNwMi_h-3rU UI皿脖rnMUNT必旭*4jrwtari:gJL皿jtaw'FTTmIiMJ圖5關(guān)鍵應(yīng)用子策略3）非關(guān)鍵應(yīng)用子策略序號(hào)9的子策略為偽80端口應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為200序號(hào)5的子策略為其它UDP協(xié)議應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為200序號(hào)4的子策略為其它TCPB議應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為60。策略說(shuō)明：系統(tǒng)通過(guò)京網(wǎng)絡(luò)審計(jì)功能對(duì) WEB瀏覽應(yīng)用的80等端口進(jìn)行七層內(nèi) 容分析，將不

10、符合HTTP協(xié)議的目的IP地址自動(dòng)放到要FAKE80_ip IP寸象中，這 樣可以在總控策略中對(duì)其進(jìn)行流量控制。操作提示：點(diǎn)擊/右擊亙 蕓話”列“xx_sessiong'接，再輸入新值并確定即可自定義會(huì)話對(duì)象4）例外冗余子策略序號(hào)3的子策略為其它IP協(xié)議應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為20。序號(hào)2的子策略為超級(jí)用戶的應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為500。序號(hào)1的子策略為其它IP協(xié)議應(yīng)用，單個(gè)源IP最大會(huì)話數(shù)為500。策略說(shuō)明：IP協(xié)議包括TCP UDR ICMP協(xié)議，系統(tǒng)將匹配后續(xù)的 TCP UDR ICMP協(xié)議子策略執(zhí)行，故序號(hào)1、3的子策略一般沒(méi)有對(duì)應(yīng)的流量。操作提示：點(diǎn)擊/右擊受“來(lái)源

11、”歹1“SUPERUSER;ipP象鏈接，再輸入IP并 確定即可自定義超級(jí)用戶的IP,超級(jí)用戶的流量將立即生效，而不會(huì)繼續(xù)匹配 下面的子策略。圖7例外冗余子策略總控策略使用說(shuō)明1）總控策略匹配順序由源IP、源端口、協(xié)、議、目的IP、目的端口 5元組及“規(guī) 則匹配”選項(xiàng)決定，系統(tǒng)按從上到下的順序進(jìn)行匹配，在數(shù)據(jù)流的5元組與總控策略匹配的前提下，如果是“馬上生效”，則按此策略實(shí)行，并會(huì)在列表界面 的“動(dòng)作”列中顯示“允許T” ，如果是“繼續(xù)檢查”則即使當(dāng)前策略匹配仍往 下查找，并按最后一條匹配的總控策略實(shí)行。2）總控策略內(nèi)置的第一條策略是“拒絕所有”的策略，管理員一般只要在其后 定義

12、通過(guò)的關(guān)鍵應(yīng)用的策略即可，即遵循“除非允許，否則拒絕”的原則。3） “方向” 一般選擇“流入網(wǎng)卡”，此時(shí)的“網(wǎng)卡”是最靠近來(lái)源IP對(duì)象的網(wǎng) 卡。4）由于新建、修改總控策略會(huì)導(dǎo)致其序號(hào)發(fā)生變化，所以要在完成全部編輯操 作后終止現(xiàn)有的會(huì)話。5) “日志”選項(xiàng)是“簡(jiǎn)單”則只記錄通過(guò)數(shù)據(jù)流的第一個(gè)數(shù)據(jù)包， “詳細(xì)”則記錄全部數(shù)據(jù)包，這些記錄的數(shù)據(jù)包可以在“實(shí)時(shí)監(jiān)控”、“網(wǎng)絡(luò)審計(jì)”、“IDP規(guī) 則”功能中實(shí)時(shí)顯示、記錄、檢查。第二部分異常流量控制2.1 流控目標(biāo)及策略對(duì)非關(guān)鍵應(yīng)用的受 流量對(duì)象”進(jìn)行設(shè)置，當(dāng)其 持續(xù)流量”和上傳流量”超 出設(shè)定的閾值時(shí)，系統(tǒng)刪除會(huì)話并封堵服務(wù)器 IP一段時(shí)間，這樣可以確保

13、帶寬 不會(huì)被非關(guān)鍵應(yīng)用的流量所占滿?？梢酝ㄟ^(guò)點(diǎn)擊右上角 狀態(tài)”快捷鏈接，顯示當(dāng)前 屋在線主機(jī)的流量明細(xì)，其 中綠色背景的為持續(xù)流量”，紅色背景的是上傳流量一禹星看匾1.1 h MNrik|R HL Is If *1M”"p»Hthfl«*-IM<4K 用 HflM w <BrM電&*U.JMHLULLhferA力3：l ”電»iVIII EIk IHVHt_3ZHWl*«SW>7靜1nl青JfTE J FlJ»'a“MD上ITMMMJ kAMfrM-WfH 修 Jt|giQi* 拒i?mJ v*m a

14、|-4M-1時(shí)部If* 帖Mt7*11 W iMB國(guó)14 ifa4ffi.*3始配工4 tftfiflE01gW h濁 Wh JI'M3IKLIdfijaji+AL Hi4U-UIHl-d-M«'kSM U*5AIHi|*« PfiFT'liBf-mIt Ml* 5L>叫金片 N Hl TfRM 14LUprf vjf*圖8在線主機(jī)”界面2.2 實(shí)施步驟1）點(diǎn)擊左邊主菜單的“國(guó)防火墻 連對(duì)象設(shè)置 風(fēng)流量對(duì)象”菜單項(xiàng)，出現(xiàn)空流 量對(duì)象”界面，如下圖9所示。P «>« fjpa 中口 ！»學(xué) wBKiMTFiTH

15、*，r上號(hào);JI +».七M(jìn)BE 金力 lltiiL-«*MMwMfl附 plWw H ®dj 1 lv V Ik鼻金， *-f,|Ji MPTH*pj«4H.hn Mf it 4B1itr -iH一 M 1融才1JjSi*jrN.f曄it»七,tva*> M<ta匕甘Mf國(guó).if* *SM H BBKIK-Mi' 9 rWiu /基刖 Ji 3 r-Pf>11 -W EJ09 kww & a iKJjy(m 科P 1fdltri 一書鼻，- F*Hi*is H1jr*Hua jiu h «nf fe

16、+/ 11鏟工U! / M必 ZRpUHW vn.| ，f jj-Hi -UMt4M * 3 U . AftLit 41M* *1* piU圖9流量對(duì)象”列表界面2）點(diǎn)擊UDP_tC行修改按鈕，或者直接在總控策略”的界面中，點(diǎn)擊UDP_tcf鏈接，出現(xiàn)UDP_怔流量對(duì)象的編輯界面，如下圖10所示。圖10流量對(duì)象”編輯界面策略說(shuō)明：謖初始設(shè)置”后的標(biāo)準(zhǔn)流控策略中的UDPtC流量對(duì)象其持續(xù)流量 和上傳流量”項(xiàng)的動(dòng)作均為 記錄”。系統(tǒng)每隔1分鐘做一次流量統(tǒng)計(jì)，并根據(jù) 對(duì)應(yīng)的設(shè)置，對(duì)超出閾值的流量進(jìn)行記錄或阻攔。操作提示：修改動(dòng)作項(xiàng)為 阻攔服務(wù)器”，同時(shí)調(diào)整各閾值，即可對(duì)非關(guān)鍵應(yīng)用 中的UDP流量進(jìn)行

17、異常流量控制，之后再對(duì) TCP_tC和FAKE80_tC流量對(duì)象做 類似的調(diào)整。被阻攔的IP可以在&IPS狀態(tài)”中查看并手工刪除。第三部分QoS帶寬控制3.1流控目標(biāo)及策略對(duì)非關(guān)鍵應(yīng)用的W “QoSt象”進(jìn)行設(shè)置，作用對(duì)象是更總控策略”慳 來(lái) 源" I時(shí)象整體，通過(guò)限制其非關(guān)鍵應(yīng)用的帶寬，可以確保帶寬不會(huì)被非關(guān)鍵應(yīng) 用的流量所占滿。3.2實(shí)施步驟1）點(diǎn)擊左邊主菜單的“國(guó)防火墻生對(duì)象設(shè)置,QoS對(duì)象”菜單項(xiàng)，出現(xiàn),“QoS對(duì)象”界面，如下圖11所示圖11 “QoS象”列表界面2）系統(tǒng)缺省沒(méi)有啟用QoS功能，如果“QoS能狀態(tài)"為 無(wú)效”，則點(diǎn)擊該鏈 接，進(jìn)入路由流控功

18、能界面，如下圖12所示，再點(diǎn)擊手QoS策略行最右邊的 啟用”鏈接，并確定，使其QoS功能生效。"人> *Mt>wwtno -a a.h N*HIMa+W口 2a 3m*倒w9.w”IMWlJ.SMM.Y* tM叵V*41$_I1»UIMiMI： Mftri!MM中'txTH!1IMm -M je>hMMHl|im91&網(wǎng)VHut-iegi ULM11Wi”曲仁Mt*1«NEd EftH，不立 «£*圖12路由流控功能”界面3）返回, "QoS象”界面，點(diǎn)擊“UDP_qo的修改按鈕，或者直接在國(guó)總控 策

19、略”的界面中，點(diǎn)擊“UDP_qo筵接，出現(xiàn)“UDP_qoS寸象的編輯界面，如下圖 13所示。4 - 44中z片一, 血.RtwqitJIu，事.G1a n «m 用立用，*1fh W* W*»圖13 “QoSt象”編輯界面策略說(shuō)明：QoS對(duì)象的設(shè)置內(nèi)容主要是帶寬值，其作用的對(duì)象是引用其的 M總 控策略”中型來(lái)源IP對(duì)象整體，當(dāng)后者對(duì)應(yīng)的流量的帶寬超出設(shè)定值時(shí)，系統(tǒng) 丟棄后續(xù)的封包以確保帶寬不被突破。操作提示：修改 帶寬”項(xiàng)的數(shù)值和計(jì)量單位，1Mb(its)=1/8MB(ytes);再觀察 QoS狀態(tài)及網(wǎng)絡(luò)吞吐量暨帶寬趨勢(shì)圖，并繼續(xù)調(diào)整優(yōu)化。4)在QoS列表界面之下，點(diǎn)擊“QoS態(tài)”按鈕，可以查看當(dāng)前 QoS策略實(shí)施的