《防火墙技术项目化教程》课件_局域网带宽及应用访问控制与实现.ppt

信息安全与管理专业教学资源库防火墙技术信息安全与管理专业教学资源库防火墙技术什么是IP-QoS？IPQoS是指IP的服务质量，也是指IP数据流通过网络时的性能。它的目的就是向用户提供端到端的服务质量保证。它有一套质量指标，包括业务可用性、延迟、抖动、吞吐量和丢包率。通常IPQoS只对网络中的IP流量进行控制。什么是应用QoS?应用QoS目的是限制某些应用的上行和下行带宽，保证上网速度。配置需求案例及分析某企业内网默认网段/24，外网网关为，要求限制内网用户的带宽，并保证HTTP、SMTP的使用。企业内网环境如下：出口带宽50Mbps，外网为ethernet0/2接口。为实现不同部门用户带宽需求，将内网网段划分为两个网段：/24和/24，其中/24网段为默认网段。要求：（1）-00需限制其上行带宽为500Kbps/IP，下载带宽为5Mbps/IP，允许出口带宽空闲时允许突破500Kbps/IP。/24网段中每IP下载300Kbps，上传整个网段共享10Mbps。（2）P2P应用需限制其下行带宽为10Mbps，上传最大5Mbps。HTTP和SMTP应用下载保障20Mbps，上传保障10Mbps。配置步骤——划分接口在QoS选项卡中选择接口带宽进行配置，默认带宽为物理上承载的最高支持带宽。用户可以根据实际带宽值指定接口的上行带宽、下行带宽，指定接口出口ISP承诺带宽值。如果需要使用弹性QoS功能，只需要点击开启弹性QoS全局配置即可。。?配置步骤——配置IPQoS策略1)在防火墙QoS选项卡选择IPQoS菜单选项进行IPQoS策略配置。为达到限定-00每个IP的上行带宽限定为500Kbps，下载带宽为5Mbps/IP，在出口带宽空闲时允许突破500Kbps/IP的要求，需要在接口绑定中选择外网口ethernet0/2，在IP地址中输入IP范围-00，由于系统默认的带宽单位为Kbps，因此上行中最大带宽输入500，下行中最大带宽输入5000即可。由于允许出口带宽空闲时允许突破500Kbps/IP，因此在弹性QoS中选中下行复选框，输入500即可。?*配置步骤——配置IPQoS策略2)在防火墙QoS选项卡中选择IPQoS菜单选项，设置IPQoS策略。为新制定的策略制定规则名称IPQ2，接口绑定为外网接口ethernet0/2，要实现下载带宽限定/24网段则IP范围设定为-55。每IP下载带宽最大300Kbps，可以设置下行每个IP最大带宽300Kbps；为实现上传整个网段最大占用10Mbps带宽要求，设置上行每个IP最大带宽10000Kbps?在防火墙上自动扫描地址范围在防火墙选项卡中选择二层防护选项，选择其中的静态绑定子菜单，输入要扫描的地址范围，起始IP地址为，终止IP地址为54，点击确认，开始扫描。**添加后策略会在IPQoS列表显示，如多条策略的IP地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。如需修改策略，可点击策略右侧编辑图标编辑。配置步骤——显示已配置控制策略对内网配置应用QoS策略*配置步骤——开启应用识别

防火墙默认不对带*号服务做应用层识别，因此如果需要对BT、迅雷等应用做基于应用的QoS控制，需要开启外网安全域的应用识别功能。进入防火墙，打开网络选项卡，选择“安全域”选项，针对外网口所属安全域untrust启用应用识别、WAN安全域两个应用层识别功能。配置步骤——配置应用QoS策略-限制P2P

在防火墙QoS选项卡中选择“应用QoS”选项进行应用QoS策略配置。在基本配置中，对新建的应用策略可以进行规则名称的命名，可名称“app_p2p”，对应的接口绑定为ethernet0/2，在应用中选择P2P相关的所有服务，具体有“P2P下载”应用和“P2P视频”应用两个应用；在控制策略部分，对P2P应用上行/下行带宽进行限制设置，设置上行最大带宽为5000Kbps（即要求中的上传最大5Mbps），下行最大带宽设置为10000kbps（即限制下行带宽为10Mbps），最后点击“添加”按钮即可。*配置步骤——配置应用QoS策略-保障正常应用1)在防火墙QoS选项卡中选择应用QoS选项，设置应用QoS策略。为ethernet0/2接口设置应用QoS策略策略，新建规则名称app_ensure1，接口绑定为ethernet0/2，应用中选择“HTTP”应用和“SMTP”应用，在带宽设置中上行带宽选择最小带宽10000Kbps。细粒度控制中选择IP