中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

網(wǎng)絡(luò)運維|防火墻的限流策略

2020-05-29 17:21 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，想要學(xué)習(xí)防火墻必須會配置轉(zhuǎn)發(fā)策略。簡單網(wǎng)絡(luò)安全設(shè)備維護(hù)，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全設(shè)備維護(hù)大神。

網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計算機，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維護(hù)信息查詢，同時您可以免費資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維護(hù)信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+

北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

限流策略

通過配置限流策略，實現(xiàn)對域間或者域內(nèi)流量的控制和管理。

7.2.1 限流策略簡介

簡單介紹限流策略的概念及原理。

7.2.1.1 二級限流策略

介紹每IP限流（一級CAR）和整體限流（二級CAR）的基本概念。

背景信息

在域間應(yīng)用限流功能時，可以分為兩級對域間的流量進(jìn)行限制，第一級是每IP限流，第二級是整體限流。同時，流量限制包括連接數(shù)限制和帶寬限制。

域間流量限制的對象包括：

· 連接數(shù)限制：對指定IP地址或者網(wǎng)絡(luò)發(fā)起的連接數(shù)量或接收的連接數(shù)量進(jìn)行限制。

· 帶寬限制：對指定IP地址或者網(wǎng)絡(luò)的帶寬進(jìn)行限制。

每IP限流策略（一級CAR）

每IP限流策略，是針對每個IP（根據(jù)源IP、源真實MAC地址或者目的IP、目的真實MAC地址來識別）單獨進(jìn)行限制的，其中對于策略約束條件包括五元組、時間段、用戶身份以及應(yīng)用協(xié)議。

每IP限流策略通過每IP限流class來限制每個IP的連接數(shù)和帶寬。其中，每IP限流class包括最大帶寬、保證帶寬、最大連接數(shù)三個閾值。

· 最大帶寬：對單個IP的數(shù)據(jù)流進(jìn)行最大帶寬限制。

· 保證帶寬：對單個IP的數(shù)據(jù)流進(jìn)行帶寬保證。

· 最大連接數(shù)：對單個IP的數(shù)據(jù)流進(jìn)行最大連接數(shù)限制。

說明：

保證帶寬是每個IP(用戶)最少能獲得的帶寬，然后整體網(wǎng)絡(luò)中的所有IP（用戶）再通過搶占的方式，分配整體剩下的帶寬。如果某個IP（用戶）的保證帶寬沒有完全使用，未使用的帶寬其他IP(用戶)也可以復(fù)用。

整體限流策略（二級CAR）

整體限流是針對一個域間關(guān)系上或者某個域內(nèi)所有數(shù)據(jù)流進(jìn)行整體管控，其中約束條件包括五元組，用戶身份，應(yīng)用協(xié)議。

整體限流策略通過整體限流class來限制整體的連接數(shù)和帶寬。其中，整體限流class包括最大帶寬、最大連接數(shù)兩個閾值。

· 最大帶寬：對整個域間的數(shù)據(jù)流進(jìn)行最大帶寬限制。

· 最大連接數(shù)：對整個域間的數(shù)據(jù)流進(jìn)行最大連接數(shù)限制。

引用方式

每IP限流class和整體限流class被限流策略引用后，帶寬和連接數(shù)就會在策略中起作用。其工作方式包括策略獨占和策略共享兩種。

· 獨占：當(dāng)多個限流策略同時引用一個獨占方式限流class時，每個限流策略都獨自受到該限流class中的帶寬和連接數(shù)限制。

· 共享：當(dāng)多個域間或同一個域間不同方向的限流策略同時引用一個共享方式限流class時，這些域間會共同受到該限流class中的帶寬和連接數(shù)限制。

您可以在如下情況下，配置共享方式的限流class，并在限流策略中引用。

· 限制多個域間的總體帶寬和連接數(shù)時，可以使用同一個共享方式的限流class。

例如：安全域為Trust的內(nèi)網(wǎng)區(qū)域用戶通過安全域為Untrust1、Untrust2、Untrust3外網(wǎng)區(qū)域中的不同運營商訪問Internet。要限制內(nèi)網(wǎng)用戶上網(wǎng)的總帶寬和連接數(shù)，您可以從Trust到Untrust1、Trust到Untrust2、Trust到Untrust3三個域間引用同一個共享方式的限流整體限流class。
· 限制同一個域間上傳下載總帶寬和連接數(shù)時，可以使用同一個共享方式的限流class。

例如：安全域為Trust的內(nèi)網(wǎng)區(qū)域用戶通過安全域Untrust中運營商訪問Internet。要限制內(nèi)網(wǎng)用戶上網(wǎng)的上傳下載總帶寬和連接數(shù)，您可以從Trust到Untrust的Inbound和Outbound方向分別引用同一個共享方式的限流class。

7.2.1.2 限流策略組成和匹配順序

介紹每IP和整體這兩種限流策略的匹配條件、動作、方向的選擇，以及多個策略的匹配順序。同一個域間可以配置多條限流策略，并且有一定的匹配順序，配置前需要合理規(guī)劃，否則會達(dá)不到預(yù)期效果。

限流策略組成

限流策略用來控制域間的流量的大小。設(shè)備收到報文后首先提取報文的IP頭信息，包括源/目的IP地址、協(xié)議等，然后與域間限流策略的匹配條件進(jìn)行比較。如果所有匹配條件都滿足，就根據(jù)策略的控制動作，限制（CAR）或不限制（NO-CAR）數(shù)據(jù)流量。所有匹配條件中，源IP地址和源MAC地址
屬于同一類匹配條件，若同時配置，流量只要命中其中一個就能滿足這類匹配條件。同理，目的IP地址和目的MAC地址也屬于同一類匹配條件。

每個域間的Inbound和Outbound方向上可以應(yīng)用多個限流策略。

· Inbound：入方向，低安全級別的安全區(qū)域向高安全級別的安全區(qū)域的方向。

· Outbound：出方向，高安全級別的安全區(qū)域向低安全級別的安全區(qū)域的方向。

由于虛擬防火墻的所有安全域的級別都比根防火墻的高，所以對于跨虛擬防火墻來說，Inbound為根防火墻到虛擬防火墻的域間方向，Outbound為虛擬防火墻到根防火墻的域間方向。

匹配條件

限流策略的匹配條件包括：

· 源IP地址、源MAC地址/目的IP地址、目的MAC地址

· 服務(wù)類型（基于端口的協(xié)議）

· 時間段（限流策略生效的時間）

· 用戶/用戶組（已通過認(rèn)證）

· 應(yīng)用協(xié)議類型

匹配元素中的地址、服務(wù)、時間段都可以作為公共對象在各個限流策略中引用。對于地址和服務(wù)也可以直接在防火墻策略中指定，但是需要同時控制多個IP段或零散IP地址、零散MAC地址，或需要同時控制多種服務(wù)類型或自定義服務(wù)類型時，可以采用預(yù)先配置公共對象然后在防火墻策略中引用的
方式。這樣可以避免對同一個數(shù)據(jù)流配置多條策略的復(fù)雜性，還方便將多個匹配條件作為一個整體被多個策略復(fù)用。

防火墻策略與公共對象的關(guān)系如圖7-35所示。

· 一個公共對象可以被多個限流策略引用。

· 一個限流策略中可以引用多個公共對象，流量只要匹配其中一個對象就會命中限流策略。

圖限流策略與公共對象的關(guān)系

控制動作

限流策略的控制動作有兩種：

· CAR：對匹配策略的流量進(jìn)行限制。

· NO-CAR：對匹配策略的流量放行，不做任何限制。

策略的應(yīng)用方向

如圖7-36所示，在配置限流策略時，需要結(jié)合流量方向來對流量進(jìn)行限制和管理，配置哪個方向的限流策略，取決于流量的方向。例如：由于Trust安全域比Untrust安全域級別高，所以Trust區(qū)域的用戶訪問Untrust區(qū)域的服務(wù)器、用戶上傳文件至服務(wù)器，都是屬于域間Outbound方向；用戶從服務(wù)器下載文件至本地PC，是屬于Intbound方向。

在同一策略中，不能實現(xiàn)同時對PC的收發(fā)流量進(jìn)行限制，此時需要配置Outbound和Inbound方向上的兩條策略。對于每IP限流的同一個方向，可以選擇針對源或者目的IP來進(jìn)行限流，例如：對于Outbound方向，有如下兩種限流形式：

· 基于源IP的限流，就是限制PC發(fā)出的流量帶寬。

· 基于目的IP的限流，就是限制Server收到的流量帶寬。

圖7-36 限流策略的應(yīng)用方向

策略的匹配順序

域間可以應(yīng)用多條限流策略，按照策略列表的順序從上到下匹配。只要匹配到一條策略就不再繼續(xù)匹配剩下的策略。缺省情況下，策略列表按策略的配置順序排列，越先配置的優(yōu)先級越高、越先匹配，但是也可以手工調(diào)整策略之間的優(yōu)先級。

7.2.1.3 注意事項

介紹限流策略功能的一些基本注意事項，以及與NAT等功能結(jié)合使用的特點。

保證帶寬

· 保證帶寬需要與整體限流結(jié)合起來使用，因為對于單個IP而言，若不配置其所在網(wǎng)絡(luò)的整體限流，單個IP的最大帶寬就相當(dāng)于保證帶寬，此時配置保證帶寬沒有意義。所以，當(dāng)需要應(yīng)用保證帶寬功能時，必須同時配置每IP限流和整體限流。

· 配置保證帶寬功能時必須注意每IP保證帶寬、每IP最大帶寬、整體帶寬3個參數(shù)之間的關(guān)系：

§ 必須保證每IP的保證帶寬的總值要小于整體帶寬的值，這個需要先根據(jù)網(wǎng)絡(luò)規(guī)劃計算保證，保證帶寬的總和不超過接口的總帶寬，如果所有的流量加起來超過了運營商給的帶寬，就會在接口處隨機丟包了。

§ 一般情況下配置保證帶寬的時候只配置每IP保證帶寬、整體帶寬就行了，如果還需要限制每個IP的最大帶寬還可以配置每IP最大帶寬。此時所有IP的最大帶寬的和要大于整體帶寬，否則保證帶寬無意義。例如：某網(wǎng)段有10個IP，配置的整體帶寬為50M，則其保證帶寬可以配置為4M左右（小于
5M），最大帶寬可配置為10M左右（大于5M），這時可以滿足保證帶寬的場景需求。

§ 整體限流策略和每IP限流策略控制的IP范圍需一致，因為如果二者不一致，當(dāng)整體帶寬較小時，沒有配置保證帶寬的IP會因為無法搶占配置了保證帶寬的IP的流量，而導(dǎo)致允許通過流量的很少。

例如：對192.168.1.1～192.168.1.100網(wǎng)段配置了100M的整體限流，對其中192.168.1.1–192.168.1.50網(wǎng)段配置了每IP限流，每個IP保證帶寬為2M，總計100M，則其他192.168.1.51–192.168.1.100分配不到流量。

限流共享

配置共享方式的限流class時，您需要注意：當(dāng)已經(jīng)在多個域間引用同一個限流class來限制總體帶寬和連接數(shù)。假設(shè)設(shè)備還要增加一個域或出接口，且該域或者出接口需要與當(dāng)前其他域共享帶寬或限流時，您需要新增限流策略，并引用當(dāng)前配置的限流class。

與其他特性結(jié)合

· 當(dāng)配置了NAT、SLB等涉及地址轉(zhuǎn)換的功能特性時，需要針對真實的IP地址進(jìn)行限流配置。

例如：配置了NAT Server功能，將服務(wù)器私網(wǎng)IP地址192.168.1.2/24轉(zhuǎn)換為公網(wǎng)IP地址10.1.1.1/24，這時又要對該服務(wù)器進(jìn)行限流時，這里需要對192.168.1.2/24進(jìn)行配置限流策略。

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡(luò)運維|防火墻基于服務(wù)的轉(zhuǎn)發(fā)策略

下一篇：網(wǎng)絡(luò)運維|防火墻限流策略的基本配置

相關(guān)文章