網絡運維|防火墻的限流策略
2020-05-29 17:21 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網絡安全運維工程師,今天和大家分享的是網絡安全設備維護相關的內容,想要學習防火墻必須會配置轉發策略。簡單網絡安全設備維護,從防火墻學起,一步一步學成網絡安全設備維護大神。
網絡維護是一種日常維護,包括網絡設備管理(如計算機,服務器)、操作系統維護(系統打補丁,系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務,北京網絡維護信息查詢,同時您可以免費資訊北京網絡維護,北京網絡維護服務,北京網絡維護信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
限流策略
通過配置限流策略,實現對域間或者域內流量的控制和管理。7.2.1 限流策略簡介
簡單介紹限流策略的概念及原理。7.2.1.1 二級限流策略
介紹每IP限流(一級CAR)和整體限流(二級CAR)的基本概念。背景信息
在域間應用限流功能時,可以分為兩級對域間的流量進行限制,第一級是每IP限流,第二級是整體限流。同時,流量限制包括連接數限制和帶寬限制。域間流量限制的對象包括:
· 連接數限制:對指定IP地址或者網絡發起的連接數量或接收的連接數量進行限制。
· 帶寬限制:對指定IP地址或者網絡的帶寬進行限制。
每IP限流策略(一級CAR)
每IP限流策略,是針對每個IP(根據源IP、源真實MAC地址或者目的IP、目的真實MAC地址來識別)單獨進行限制的,其中對于策略約束條件包括五元組、時間段、用戶身份以及應用協議。
每IP限流策略通過每IP限流class來限制每個IP的連接數和帶寬。其中,每IP限流class包括最大帶寬、保證帶寬、最大連接數三個閾值。
· 最大帶寬:對單個IP的數據流進行最大帶寬限制。
· 保證帶寬:對單個IP的數據流進行帶寬保證。
· 最大連接數:對單個IP的數據流進行最大連接數限制。
說明:
保證帶寬是每個IP(用戶)最少能獲得的帶寬,然后整體網絡中的所有IP(用戶)再通過搶占的方式,分配整體剩下的帶寬。如果某個IP(用戶)的保證帶寬沒有完全使用,未使用的帶寬其他IP(用戶)也可以復用。
整體限流策略(二級CAR)
整體限流是針對一個域間關系上或者某個域內所有數據流進行整體管控,其中約束條件包括五元組,用戶身份,應用協議。整體限流策略通過整體限流class來限制整體的連接數和帶寬。其中,整體限流class包括最大帶寬、最大連接數兩個閾值。
· 最大帶寬:對整個域間的數據流進行最大帶寬限制。
· 最大連接數:對整個域間的數據流進行最大連接數限制。
引用方式
每IP限流class和整體限流class被限流策略引用后,帶寬和連接數就會在策略中起作用。其工作方式包括策略獨占和策略共享兩種。· 獨占:當多個限流策略同時引用一個獨占方式限流class時,每個限流策略都獨自受到該限流class中的帶寬和連接數限制。
· 共享:當多個域間或同一個域間不同方向的限流策略同時引用一個共享方式限流class時,這些域間會共同受到該限流class中的帶寬和連接數限制。
您可以在如下情況下,配置共享方式的限流class,并在限流策略中引用。
· 限制多個域間的總體帶寬和連接數時,可以使用同一個共享方式的限流class。
例如:安全域為Trust的內網區域用戶通過安全域為Untrust1、Untrust2、Untrust3外網區域中的不同運營商訪問Internet。要限制內網用戶上網的總帶寬和連接數,您可以從Trust到Untrust1、Trust到Untrust2、Trust到Untrust3三個域間引用同一個共享方式的限流整體限流class。
· 限制同一個域間上傳下載總帶寬和連接數時,可以使用同一個共享方式的限流class。
例如:安全域為Trust的內網區域用戶通過安全域Untrust中運營商訪問Internet。要限制內網用戶上網的上傳下載總帶寬和連接數,您可以從Trust到Untrust的Inbound和Outbound方向分別引用同一個共享方式的限流class。
7.2.1.2 限流策略組成和匹配順序
介紹每IP和整體這兩種限流策略的匹配條件、動作、方向的選擇,以及多個策略的匹配順序。同一個域間可以配置多條限流策略,并且有一定的匹配順序,配置前需要合理規劃,否則會達不到預期效果。限流策略組成
限流策略用來控制域間的流量的大小。設備收到報文后首先提取報文的IP頭信息,包括源/目的IP地址、協議等,然后與域間限流策略的匹配條件進行比較。如果所有匹配條件都滿足,就根據策略的控制動作,限制(CAR)或不限制(NO-CAR)數據流量。所有匹配條件中,源IP地址和源MAC地址屬于同一類匹配條件,若同時配置,流量只要命中其中一個就能滿足這類匹配條件。同理,目的IP地址和目的MAC地址也屬于同一類匹配條件。
每個域間的Inbound和Outbound方向上可以應用多個限流策略。
· Inbound:入方向,低安全級別的安全區域向高安全級別的安全區域的方向。
· Outbound:出方向,高安全級別的安全區域向低安全級別的安全區域的方向。
由于虛擬防火墻的所有安全域的級別都比根防火墻的高,所以對于跨虛擬防火墻來說,Inbound為根防火墻到虛擬防火墻的域間方向,Outbound為虛擬防火墻到根防火墻的域間方向。
匹配條件
限流策略的匹配條件包括:
· 源IP地址、源MAC地址/目的IP地址、目的MAC地址
· 服務類型(基于端口的協議)
· 時間段(限流策略生效的時間)
· 用戶/用戶組(已通過認證)
· 應用協議類型
匹配元素中的地址、服務、時間段都可以作為公共對象在各個限流策略中引用。對于地址和服務也可以直接在防火墻策略中指定,但是需要同時控制多個IP段或零散IP地址、零散MAC地址,或需要同時控制多種服務類型或自定義服務類型時,可以采用預先配置公共對象然后在防火墻策略中引用的
方式。這樣可以避免對同一個數據流配置多條策略的復雜性,還方便將多個匹配條件作為一個整體被多個策略復用。
防火墻策略與公共對象的關系如圖7-35所示。
· 一個公共對象可以被多個限流策略引用。
· 一個限流策略中可以引用多個公共對象,流量只要匹配其中一個對象就會命中限流策略。
圖 限流策略與公共對象的關系
限流策略的控制動作有兩種:
· CAR:對匹配策略的流量進行限制。
· NO-CAR:對匹配策略的流量放行,不做任何限制。
策略的應用方向
如圖7-36所示,在配置限流策略時,需要結合流量方向來對流量進行限制和管理,配置哪個方向的限流策略,取決于流量的方向。例如:由于Trust安全域比Untrust安全域級別高,所以Trust區域的用戶訪問Untrust區域的服務器、用戶上傳文件至服務器,都是屬于域間Outbound方向;用戶從服務器下載文件至本地PC,是屬于Intbound方向。在同一策略中,不能實現同時對PC的收發流量進行限制,此時需要配置Outbound和Inbound方向上的兩條策略。對于每IP限流的同一個方向,可以選擇針對源或者目的IP來進行限流,例如:對于Outbound方向,有如下兩種限流形式:
· 基于源IP的限流,就是限制PC發出的流量帶寬。
· 基于目的IP的限流,就是限制Server收到的流量帶寬。
圖7-36 限流策略的應用方向
策略的匹配順序
域間可以應用多條限流策略,按照策略列表的順序從上到下匹配。只要匹配到一條策略就不再繼續匹配剩下的策略。缺省情況下,策略列表按策略的配置順序排列,越先配置的優先級越高、越先匹配,但是也可以手工調整策略之間的優先級。7.2.1.3 注意事項
介紹限流策略功能的一些基本注意事項,以及與NAT等功能結合使用的特點。保證帶寬
· 保證帶寬需要與整體限流結合起來使用,因為對于單個IP而言,若不配置其所在網絡的整體限流,單個IP的最大帶寬就相當于保證帶寬,此時配置保證帶寬沒有意義。所以,當需要應用保證帶寬功能時,必須同時配置每IP限流和整體限流。· 配置保證帶寬功能時必須注意每IP保證帶寬、每IP最大帶寬、整體帶寬3個參數之間的關系:
§ 必須保證每IP的保證帶寬的總值要小于整體帶寬的值,這個需要先根據網絡規劃計算保證,保證帶寬的總和不超過接口的總帶寬,如果所有的流量加起來超過了運營商給的帶寬,就會在接口處隨機丟包了。
§ 一般情況下配置保證帶寬的時候只配置每IP保證帶寬、整體帶寬就行了,如果還需要限制每個IP的最大帶寬還可以配置每IP最大帶寬。此時所有IP的最大帶寬的和要大于整體帶寬,否則保證帶寬無意義。例如:某網段有10個IP,配置的整體帶寬為50M,則其保證帶寬可以配置為4M左右(小于
5M),最大帶寬可配置為10M左右(大于5M),這時可以滿足保證帶寬的場景需求。
§ 整體限流策略和每IP限流策略控制的IP范圍需一致,因為如果二者不一致,當整體帶寬較小時,沒有配置保證帶寬的IP會因為無法搶占配置了保證帶寬的IP的流量,而導致允許通過流量的很少。
例如:對192.168.1.1~192.168.1.100網段配置了100M的整體限流,對其中192.168.1.1–192.168.1.50網段配置了每IP限流,每個IP保證帶寬為2M,總計100M,則其他192.168.1.51–192.168.1.100分配不到流量。
限流共享
配置共享方式的限流class時,您需要注意:當已經在多個域間引用同一個限流class來限制總體帶寬和連接數。假設設備還要增加一個域或出接口,且該域或者出接口需要與當前其他域共享帶寬或限流時,您需要新增限流策略,并引用當前配置的限流class。與其他特性結合
· 當配置了NAT、SLB等涉及地址轉換的功能特性時,需要針對真實的IP地址進行限流配置。例如:配置了NAT Server功能,將服務器私網IP地址192.168.1.2/24轉換為公網IP地址10.1.1.1/24,這時又要對該服務器進行限流時,這里需要對192.168.1.2/24進行配置限流策略。
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉