防火墙策略OS4.0防火墙策略使用“Any”接口支持“Any”接口•Any相当于所有接口的集合两种查看方式——Section或者Global•使用了Any作为接口只能支持Globalview•“any”接口不能用于VIP或IP-pool防火墙策略使用“Any”接口•源或目的接口都可以设置为“any”•如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略全局视图•“any”接口不能用于VIP或IP-pool支持“Any”接口•Any相当于所有接口的集合两种查看方式——Section或者Global•使用了Any作为接口只能支持Globalview基于用户认证的子策略•启用基于用户的子策略•可以针对不同的用户组使用不同的时间表服务保护内容表流量控制流量日志基于用户认证的子策略——例•说明根据不同的用户组部署不同的保护内容表和流量控制基于接口的DoS策略特点:•基于接口部署•可以指定服务流量控制增强TrafficShaperFWPolicyAPPControl–P2P流量控制的方向•如果只设置流量控制,而没有设置ReverseDirectionTrafficShapping,则该流量控制是针对上下行同时起作用的•如果设置了ReverseDirectionTrafficShapping,则上行的速度有流量控制来起作用,而ReverseDirectionTrafficShapping则控制下行速度虚拟IP的间隔式ARP广播•通过配置发送ARP广播的方式让路由器自动地更新ARP表。通过命令行可以设置发送ARP广播的频率。间隔时间设置为0时,则关闭ARP广播configfirewallvipeditnew_vip(configurethevirtualIP)setgratuitous-arp-intervalend虚拟IP的ARP广播服务器负载均衡——新建虚拟服务器虚拟服务器支持的多种分配方式•Static根据发起请求的源IP来分配流量,对于某一源IP来说,在没有达到目的IP的会话限制前,不会轮询到下一个目的IP•RoundRobin根据发起的会话来分配,根据会话来轮换目标IP•Weighted按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配多种分配方式•FirstAlive根据健康检查状况,永远把流量转向第一个保持存活的服务器•LastRTT根据健康检查的ping获得的RTT来判断将流量传到哪台服务器•LastSession按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配健康检查TCP•通过不传数据的空连接来检测Ping•Ping包HTTP•Get一个内容然后进行匹配不同的保持方式(Persistence)——Cookie•None•HTTPCookie•SSL不同的保持方式(Persistence)——SSL根据SSLID来分配流量只能在支持SSLoffload功能中使用Diagnosedebugapplicationvs7SSLOffload•仅FG110CFG310BFG620BFG3016BFG3600AFG3810AFG5002A支持•两种模式客户端到FG加密,FG到Server不加密客户端到FG加密,FG到Server加密•客户端到FG加密采用的是FG颁发的证书,而非服务器颁发•目前build141可以正常工作,MR1不可以,可以支持Firefox,IE6.0不可以。HTTPmultiplex(多路复用)一HTTPmultiplex(多路复用)二如果选中没有选中Vdom的资源限制全局的资源每个虚拟域的资源修改恢复出厂值POST三种处理方式•Normal正常允许•Block阻断POST动作•Comfort对于Post采用定时发送数据包的方式保持连接Block阻断方式禁止Post动作Comfort方式Comfort模式查看http进程的动作:>Diagdebugapphttp-1:<000.000000>[2]:10.156.0.19:3362-->192.168.181.3:80:[CLTRDRDY]Event-HTTP_REQUEST_EVENT<000.000000>[2]:10.156.0.19:3362-->192.168.181.3:80:[CLTRDRDY]HTTP_REQUEST_STATE<000.000000>[2]:10.156.0.19:3362-->192.168.181.3:80:[LOOPEND]Event-BUFFER_EVENT<000.000000>[2]:10.156.0.19:3362-->192.168.181.3:80:[LOOPEND]HTTP_REQUEST_BUFFER_STATE抓包分析:设置comfort的时间间隔和数量AMCBypass•测试过build92和141均无法支持AMC-CX4,无法切换到正常模式,只能停留在Bypass模式上configsystemamcsetsw1asm-cx4setwatchdog-recovery[enable|disable}setwatchdog-recovery-periodEndAMC诊断工具•DiagnoseSSL内容扫描与监测两种模式可以选•URLFiltering(URL过滤)•tolimitHTTPScontentfilteringtoURLfiltering•only.Selectthisoptio...
