天融信防火墙培训课程.ppt

* * * * * * * * * * * * * * * * * * * 此部分对已经登陆的IM客户端无法进行控制； 对已经进行P2P下载的数据无法控制； 在进行P2P过滤时由于不同软件特征库差别较大可能在进行QOS显示和连接数限制时不准确； 另外由于P2P协议特征码也是在变化，不同软件实现可能也有差别，如发现无法限制的请及时反馈使用的客户端及版本号，以便我们更新； * URL是从头匹配。URL不影响性能 * DPI选项，源，目的，服务，时间有不同的时候才可以匹配第二条 越上面的策略应该越精确 * * 防火墙高级应用－服务器负载均衡 4、定义地址转换规则 选择 防火墙 地址转换 ，在右侧页面中点击“添加配置”按钮， 进入添加地址转换规则页面。 * 防火墙高级应用－服务器负载均衡 相关问题： 1、某个应用或主机不正常时，防火墙多长时间才能探测到？ 10s，FW每10s发送一次探测包。主机探测发ping包，服务探测发syn包 （所以只支持tcp服务）。探测频率是每10s一次，如果5s内没有回应， 就认为此服务器down掉了。ICMP请求每次发一个包，而syn探测交互一 次为6个包，基本可以保证5s内探测的冗余。 2、是否支持同一服务器的多个服务探测 TOS只支持探测一个端口，而且只支持对TCP服务的探测。 * QOS_实施案例 从FTP服务器下载速度限制为50K 从本地用户上传数据的上传速度限制为200K 防火墙高级应用－带宽管理 * * 1、在QOS规则中添加要实现QOS功能的接口eth0和eth1并提交 防火墙高级应用－带宽管理 * * 2、点击“下级”设置CLASS 从FTP服务器下载速度限制为50K要设置在出口(eth0)从本地用户上传数据的上传速度限制为200K要设置在出口eth1 点击“下级”设置一级CLASS 输入class名称 选择class类型 设置优先级,优先级越低级别越高 设置保证带宽,子类保证带宽和=根类保证带宽 设置限制带宽,在根类中设置此值无效 防火墙高级应用－带宽管理 * 3、设置二级类,设置方法同设置根类一样 * 防火墙高级应用－带宽管理 * 4、添加主机对象 防火墙高级应用－带宽管理 * * 5、点击‘CLASS规则’上的下级设置RULE(策略源：any，策略目的:any，表示内部主机下载都受控制,也可以细化策略的源和目的)； 选择rule类型 输入rule名称 设置优先级,优先级越低级别越高 防火墙高级应用－带宽管理 * QOS规则设置完成 * 防火墙高级应用－带宽管理 * CLI配置命令 //定义要应用QOS控制的接口 qos interface add dev eth0 qos interface add dev eth1 //定义一二级类,设置一级CLASS的保证带宽和限制带宽 //定义下载带宽控制限制为50K,保证带宽为20K qos class add name class1 parent eth0 priority 0 guarantee 200K limit 200K //一级类 qos class add name class2 parent class1 priority 0 guarantee 50K limit 50K //二级类 //定义上传带宽控制限制为500K,保证带宽为20K qos class add name class11 parent eth1 priority 0 guarantee 500K limit 500K //一级类 qos class add name class12 parent class2 priority 0 guarantee 200K limit 200K //二级类 //在相应的二级类下定义相应的规则 qos rule add name DOWN classname class2 priority 0 src FTP服务器 dst service FTP qos rule add name UP classname class12 priority 0 src dst FTP服务器 service FTP 防火墙高级应用－带宽管理 * 防火墙辅助功能 * 防火墙辅助功能－查看防火墙基本信息 * 防火墙辅助功能－查看/修改防火墙系统时间 * 防火墙辅助功能－查看防火墙运行状态 * 防火墙辅助功能－查看防火墙运行状态 * 防火墙辅助功能－查看系统参数 * 防火墙辅助功能－日志设置 防火墙本身不存储日志信息，如果要保留相关日志，请安装随机光盘 的日志服务器软件。然后设置日志服务器地址，防火墙就会把日志信息 发送到日志服务器上 * 防火墙辅助功能－报警设置 设置触发报警的安全事件