企业流控实施指南—UTMWALL流控策略设置详解目录第一部分标准流控策略..............................................................错误!未定义书签。1.1流控目标及策略..............................................................错误!未定义书签。1.2实施步骤.........................................................................错误!未定义书签。1.2.1初始设置................................................................错误!未定义书签。1.2.2总控策略................................................................错误!未定义书签。第二部分异常流量控制..............................................................错误!未定义书签。2.1流控目标及策略..............................................................错误!未定义书签。2.2实施步骤.........................................................................错误!未定义书签。第三部分QoS带宽控制..............................................................错误!未定义书签。3.1流控目标及策略..............................................................错误!未定义书签。3.2实施步骤.........................................................................错误!未定义书签。一台UTMWALL设备安装好后,其G2网卡IP为192.168.10.1,管理员PC的IP设置为192.168.10.2,在WEB浏览器中输入:8443,回车后忽略安全警告,在认证窗口中输入用户名adm,口令adm@12345,一切正确即可登陆WEBAdmin管理界面。1、执行初始设置,快速设置网卡IP及标准流控策略2、根据本单位关键应用的实际情况,新建、修改总控策略3、启用非关键应用流量对象的阻拦动作,调整各阈值图1UTMWALL流控策略设置流程图3、针对非关键应用,启用QoS功能,调整QoS对象的带宽值4、查看QoS状态及网络状态,确认流控效果是否有效3、调整总控策略中各会话对象的会话数等阈值第一部分标准流控策略1.1流控目标及策略确保各源IP的ping检测(ICMP)、DNS查询、WEB浏览、POP3收信、SMTP发信、FTP下载等关键应用的会话数充足,其余非关键应用的会话数均受到限制,使得带宽、会话不会被非关键应用的流量所占满。1.2实施步骤1.2.1初始设置1)点击左边主菜单的“系统管理>系统管理>初始设置”菜单项,或者点击右上角“设置”的快捷链接,出现“初始设置”界面,如下图2所示。图2“初始设置”界面2)根据实际网络环境设置运行方式、外网、内网、上网管理等参数,确保“总控策略”项为“标准流控策略”“网络审计”项为“启用”再点击“确定”按钮,系统将自动生成网卡、总控策略等十几种配置,可进一步查看并做修改。再将外网网线连接G1网卡,内网网线连接G2网卡,即可上线做转发及流控,管理员还可通过G2网卡在内网中继续管理设备。1.2.2总控策略在“初始设置”界面中点击“规则数:xx”链接,或者点击左边主菜单的“防火墙>总控策略”菜单项,出现“总控策略”界面,如下图3所示为标准流控策略,可以以此基础新建适合本单位关键应用的总控策略。图3“总控策略”界面1.2.2.1标准流控策略说明流量控制功能主要由“会话”对象、“流量”对象和“QoS”带宽对象构成,它们在“初始设置”后的标准流控策略中的具体内容为:流量对象:只是记录持续和上传流量,没有阻拦动作。会话对象:限制各源IP各应用的会话数,具体数值如图3中黑字所示。QoS对象:非关键应用的子策略中有,但需要启用QoS功能才能生效。下面详细讲解图3中标准流控策略中的各个子策略的作用,由于总控策略是按最后匹配的子策略优先执行的顺序,因此需要从下往上讲解。1)阻拦子策略第一行没有序号的策略为系统内置的缺省阻拦策略序号15的子策略用于阻拦某些服务器IP序号14的子策略用于阻拦某些来源IP策略说明:如果没有任何总控策略,则除了8443、6443端口的管理流量,所有流量均被阻拦,因此一开始只需新建通过策略;当已有通过策略,又想再阻拦某些源IP或目的IP,则可以通过在最后的、序号14和15的子策略来实现。操作提示:点击/右击“来源”列“...
