中國(guó)專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁(yè) > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

網(wǎng)絡(luò)運(yùn)維|防火墻的限流策略

2020-05-29 17:21 作者：艾銻無(wú)限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，想要學(xué)習(xí)防火墻必須會(huì)配置轉(zhuǎn)發(fā)策略。簡(jiǎn)單網(wǎng)絡(luò)安全設(shè)備維護(hù)，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全設(shè)備維護(hù)大神。

網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維護(hù)信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維護(hù)信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+

北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

限流策略

通過(guò)配置限流策略，實(shí)現(xiàn)對(duì)域間或者域內(nèi)流量的控制和管理。

7.2.1 限流策略簡(jiǎn)介

簡(jiǎn)單介紹限流策略的概念及原理。

7.2.1.1 二級(jí)限流策略

介紹每IP限流（一級(jí)CAR）和整體限流（二級(jí)CAR）的基本概念。

背景信息

在域間應(yīng)用限流功能時(shí)，可以分為兩級(jí)對(duì)域間的流量進(jìn)行限制，第一級(jí)是每IP限流，第二級(jí)是整體限流。同時(shí)，流量限制包括連接數(shù)限制和帶寬限制。

域間流量限制的對(duì)象包括：

· 連接數(shù)限制：對(duì)指定IP地址或者網(wǎng)絡(luò)發(fā)起的連接數(shù)量或接收的連接數(shù)量進(jìn)行限制。

· 帶寬限制：對(duì)指定IP地址或者網(wǎng)絡(luò)的帶寬進(jìn)行限制。

每IP限流策略（一級(jí)CAR）

每IP限流策略，是針對(duì)每個(gè)IP（根據(jù)源IP、源真實(shí)MAC地址或者目的IP、目的真實(shí)MAC地址來(lái)識(shí)別）單獨(dú)進(jìn)行限制的，其中對(duì)于策略約束條件包括五元組、時(shí)間段、用戶身份以及應(yīng)用協(xié)議。

每IP限流策略通過(guò)每IP限流class來(lái)限制每個(gè)IP的連接數(shù)和帶寬。其中，每IP限流class包括最大帶寬、保證帶寬、最大連接數(shù)三個(gè)閾值。

· 最大帶寬：對(duì)單個(gè)IP的數(shù)據(jù)流進(jìn)行最大帶寬限制。

· 保證帶寬：對(duì)單個(gè)IP的數(shù)據(jù)流進(jìn)行帶寬保證。

· 最大連接數(shù)：對(duì)單個(gè)IP的數(shù)據(jù)流進(jìn)行最大連接數(shù)限制。

說(shuō)明：

保證帶寬是每個(gè)IP(用戶)最少能獲得的帶寬，然后整體網(wǎng)絡(luò)中的所有IP（用戶）再通過(guò)搶占的方式，分配整體剩下的帶寬。如果某個(gè)IP（用戶）的保證帶寬沒(méi)有完全使用，未使用的帶寬其他IP(用戶)也可以復(fù)用。

整體限流策略（二級(jí)CAR）

整體限流是針對(duì)一個(gè)域間關(guān)系上或者某個(gè)域內(nèi)所有數(shù)據(jù)流進(jìn)行整體管控，其中約束條件包括五元組，用戶身份，應(yīng)用協(xié)議。

整體限流策略通過(guò)整體限流class來(lái)限制整體的連接數(shù)和帶寬。其中，整體限流class包括最大帶寬、最大連接數(shù)兩個(gè)閾值。

· 最大帶寬：對(duì)整個(gè)域間的數(shù)據(jù)流進(jìn)行最大帶寬限制。

· 最大連接數(shù)：對(duì)整個(gè)域間的數(shù)據(jù)流進(jìn)行最大連接數(shù)限制。

引用方式

每IP限流class和整體限流class被限流策略引用后，帶寬和連接數(shù)就會(huì)在策略中起作用。其工作方式包括策略獨(dú)占和策略共享兩種。

· 獨(dú)占：當(dāng)多個(gè)限流策略同時(shí)引用一個(gè)獨(dú)占方式限流class時(shí)，每個(gè)限流策略都獨(dú)自受到該限流class中的帶寬和連接數(shù)限制。

· 共享：當(dāng)多個(gè)域間或同一個(gè)域間不同方向的限流策略同時(shí)引用一個(gè)共享方式限流class時(shí)，這些域間會(huì)共同受到該限流class中的帶寬和連接數(shù)限制。

您可以在如下情況下，配置共享方式的限流class，并在限流策略中引用。

· 限制多個(gè)域間的總體帶寬和連接數(shù)時(shí)，可以使用同一個(gè)共享方式的限流class。

例如：安全域?yàn)門rust的內(nèi)網(wǎng)區(qū)域用戶通過(guò)安全域?yàn)閁ntrust1、Untrust2、Untrust3外網(wǎng)區(qū)域中的不同運(yùn)營(yíng)商訪問(wèn)Internet。要限制內(nèi)網(wǎng)用戶上網(wǎng)的總帶寬和連接數(shù)，您可以從Trust到Untrust1、Trust到Untrust2、Trust到Untrust3三個(gè)域間引用同一個(gè)共享方式的限流整體限流class。
· 限制同一個(gè)域間上傳下載總帶寬和連接數(shù)時(shí)，可以使用同一個(gè)共享方式的限流class。

例如：安全域?yàn)門rust的內(nèi)網(wǎng)區(qū)域用戶通過(guò)安全域Untrust中運(yùn)營(yíng)商訪問(wèn)Internet。要限制內(nèi)網(wǎng)用戶上網(wǎng)的上傳下載總帶寬和連接數(shù)，您可以從Trust到Untrust的Inbound和Outbound方向分別引用同一個(gè)共享方式的限流class。

7.2.1.2 限流策略組成和匹配順序

介紹每IP和整體這兩種限流策略的匹配條件、動(dòng)作、方向的選擇，以及多個(gè)策略的匹配順序。同一個(gè)域間可以配置多條限流策略，并且有一定的匹配順序，配置前需要合理規(guī)劃，否則會(huì)達(dá)不到預(yù)期效果。

限流策略組成

限流策略用來(lái)控制域間的流量的大小。設(shè)備收到報(bào)文后首先提取報(bào)文的IP頭信息，包括源/目的IP地址、協(xié)議等，然后與域間限流策略的匹配條件進(jìn)行比較。如果所有匹配條件都滿足，就根據(jù)策略的控制動(dòng)作，限制（CAR）或不限制（NO-CAR）數(shù)據(jù)流量。所有匹配條件中，源IP地址和源MAC地址
屬于同一類匹配條件，若同時(shí)配置，流量只要命中其中一個(gè)就能滿足這類匹配條件。同理，目的IP地址和目的MAC地址也屬于同一類匹配條件。

每個(gè)域間的Inbound和Outbound方向上可以應(yīng)用多個(gè)限流策略。

· Inbound：入方向，低安全級(jí)別的安全區(qū)域向高安全級(jí)別的安全區(qū)域的方向。

· Outbound：出方向，高安全級(jí)別的安全區(qū)域向低安全級(jí)別的安全區(qū)域的方向。

由于虛擬防火墻的所有安全域的級(jí)別都比根防火墻的高，所以對(duì)于跨虛擬防火墻來(lái)說(shuō)，Inbound為根防火墻到虛擬防火墻的域間方向，Outbound為虛擬防火墻到根防火墻的域間方向。

匹配條件

限流策略的匹配條件包括：

· 源IP地址、源MAC地址/目的IP地址、目的MAC地址

· 服務(wù)類型（基于端口的協(xié)議）

· 時(shí)間段（限流策略生效的時(shí)間）

· 用戶/用戶組（已通過(guò)認(rèn)證）

· 應(yīng)用協(xié)議類型

匹配元素中的地址、服務(wù)、時(shí)間段都可以作為公共對(duì)象在各個(gè)限流策略中引用。對(duì)于地址和服務(wù)也可以直接在防火墻策略中指定，但是需要同時(shí)控制多個(gè)IP段或零散IP地址、零散MAC地址，或需要同時(shí)控制多種服務(wù)類型或自定義服務(wù)類型時(shí)，可以采用預(yù)先配置公共對(duì)象然后在防火墻策略中引用的
方式。這樣可以避免對(duì)同一個(gè)數(shù)據(jù)流配置多條策略的復(fù)雜性，還方便將多個(gè)匹配條件作為一個(gè)整體被多個(gè)策略復(fù)用。

防火墻策略與公共對(duì)象的關(guān)系如圖7-35所示。

· 一個(gè)公共對(duì)象可以被多個(gè)限流策略引用。

· 一個(gè)限流策略中可以引用多個(gè)公共對(duì)象，流量只要匹配其中一個(gè)對(duì)象就會(huì)命中限流策略。

圖限流策略與公共對(duì)象的關(guān)系

控制動(dòng)作

限流策略的控制動(dòng)作有兩種：

· CAR：對(duì)匹配策略的流量進(jìn)行限制。

· NO-CAR：對(duì)匹配策略的流量放行，不做任何限制。

策略的應(yīng)用方向

如圖7-36所示，在配置限流策略時(shí)，需要結(jié)合流量方向來(lái)對(duì)流量進(jìn)行限制和管理，配置哪個(gè)方向的限流策略，取決于流量的方向。例如：由于Trust安全域比Untrust安全域級(jí)別高，所以Trust區(qū)域的用戶訪問(wèn)Untrust區(qū)域的服務(wù)器、用戶上傳文件至服務(wù)器，都是屬于域間Outbound方向；用戶從服務(wù)器下載文件至本地PC，是屬于Intbound方向。

在同一策略中，不能實(shí)現(xiàn)同時(shí)對(duì)PC的收發(fā)流量進(jìn)行限制，此時(shí)需要配置Outbound和Inbound方向上的兩條策略。對(duì)于每IP限流的同一個(gè)方向，可以選擇針對(duì)源或者目的IP來(lái)進(jìn)行限流，例如：對(duì)于Outbound方向，有如下兩種限流形式：

· 基于源IP的限流，就是限制PC發(fā)出的流量帶寬。

· 基于目的IP的限流，就是限制Server收到的流量帶寬。

圖7-36 限流策略的應(yīng)用方向

策略的匹配順序

域間可以應(yīng)用多條限流策略，按照策略列表的順序從上到下匹配。只要匹配到一條策略就不再繼續(xù)匹配剩下的策略。缺省情況下，策略列表按策略的配置順序排列，越先配置的優(yōu)先級(jí)越高、越先匹配，但是也可以手工調(diào)整策略之間的優(yōu)先級(jí)。

7.2.1.3 注意事項(xiàng)

介紹限流策略功能的一些基本注意事項(xiàng)，以及與NAT等功能結(jié)合使用的特點(diǎn)。

保證帶寬

· 保證帶寬需要與整體限流結(jié)合起來(lái)使用，因?yàn)閷?duì)于單個(gè)IP而言，若不配置其所在網(wǎng)絡(luò)的整體限流，單個(gè)IP的最大帶寬就相當(dāng)于保證帶寬，此時(shí)配置保證帶寬沒(méi)有意義。所以，當(dāng)需要應(yīng)用保證帶寬功能時(shí)，必須同時(shí)配置每IP限流和整體限流。

· 配置保證帶寬功能時(shí)必須注意每IP保證帶寬、每IP最大帶寬、整體帶寬3個(gè)參數(shù)之間的關(guān)系：

§ 必須保證每IP的保證帶寬的總值要小于整體帶寬的值，這個(gè)需要先根據(jù)網(wǎng)絡(luò)規(guī)劃計(jì)算保證，保證帶寬的總和不超過(guò)接口的總帶寬，如果所有的流量加起來(lái)超過(guò)了運(yùn)營(yíng)商給的帶寬，就會(huì)在接口處隨機(jī)丟包了。

§ 一般情況下配置保證帶寬的時(shí)候只配置每IP保證帶寬、整體帶寬就行了，如果還需要限制每個(gè)IP的最大帶寬還可以配置每IP最大帶寬。此時(shí)所有IP的最大帶寬的和要大于整體帶寬，否則保證帶寬無(wú)意義。例如：某網(wǎng)段有10個(gè)IP，配置的整體帶寬為50M，則其保證帶寬可以配置為4M左右（小于
5M），最大帶寬可配置為10M左右（大于5M），這時(shí)可以滿足保證帶寬的場(chǎng)景需求。

§ 整體限流策略和每IP限流策略控制的IP范圍需一致，因?yàn)槿绻卟灰恢?，?dāng)整體帶寬較小時(shí)，沒(méi)有配置保證帶寬的IP會(huì)因?yàn)闊o(wú)法搶占配置了保證帶寬的IP的流量，而導(dǎo)致允許通過(guò)流量的很少。

例如：對(duì)192.168.1.1～192.168.1.100網(wǎng)段配置了100M的整體限流，對(duì)其中192.168.1.1–192.168.1.50網(wǎng)段配置了每IP限流，每個(gè)IP保證帶寬為2M，總計(jì)100M，則其他192.168.1.51–192.168.1.100分配不到流量。

限流共享

配置共享方式的限流class時(shí)，您需要注意：當(dāng)已經(jīng)在多個(gè)域間引用同一個(gè)限流class來(lái)限制總體帶寬和連接數(shù)。假設(shè)設(shè)備還要增加一個(gè)域或出接口，且該域或者出接口需要與當(dāng)前其他域共享帶寬或限流時(shí)，您需要新增限流策略，并引用當(dāng)前配置的限流class。

與其他特性結(jié)合

· 當(dāng)配置了NAT、SLB等涉及地址轉(zhuǎn)換的功能特性時(shí)，需要針對(duì)真實(shí)的IP地址進(jìn)行限流配置。

例如：配置了NAT Server功能，將服務(wù)器私網(wǎng)IP地址192.168.1.2/24轉(zhuǎn)換為公網(wǎng)IP地址10.1.1.1/24，這時(shí)又要對(duì)該服務(wù)器進(jìn)行限流時(shí)，這里需要對(duì)192.168.1.2/24進(jìn)行配置限流策略。

以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡(luò)運(yùn)維|防火墻基于服務(wù)的轉(zhuǎn)發(fā)策略

下一篇：網(wǎng)絡(luò)運(yùn)維|防火墻限流策略的基本配置

相關(guān)文章