【導讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 ***************** 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 89 攻擊防護配置 ? 需求說明： 隨著網(wǎng)絡攻擊問題日趨激烈，用戶需要對網(wǎng)絡環(huán)境進行加固，提高網(wǎng)絡安全性，避免遭受 DDOS、非法報文入侵 ? 組網(wǎng)結構： ? 組網(wǎng)說明： 1. 防火墻作為公網(wǎng)出口，工作在路由轉發(fā)模式 2. 防火墻公網(wǎng)出接口 處于 untrust 中， 3. 防火墻內網(wǎng)接 口 ge2 處于 trust 中， 4. 防火墻 ge3 接口 處于 dmz 域中 連接公司服務器數(shù)據(jù)中心 5. 黑客通過非法手段獲取并控制互聯(lián)網(wǎng)中的設備使其成為肉雞，黑客操縱大量肉雞對某一網(wǎng)絡進行大批量非法訪問造成 DDOS 并向服務器發(fā)送異常報文、病毒木馬感染數(shù)據(jù)中心的服務器和內網(wǎng)中的合法用戶，造成服務器不能提網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 90 供正常的業(yè)務處理導致網(wǎng)絡癱瘓。 ? 防火墻配置步驟： 1. 配置防火墻公網(wǎng)出接口地址（通過手工配置或者動態(tài)獲取根據(jù)實際客戶網(wǎng)絡環(huán)境而定）并加入 untrust 安全域中 2. 配置 ge2 接口 ip （內網(wǎng)網(wǎng)關）并加入 trust 安全域中 3. 配置 ge3 接口 ip 并加入 dmz 安全域中 4. 配置策略允許內網(wǎng)流量訪問外網(wǎng) 5. 配置 NAT 將內網(wǎng) ip 地址映射為防火墻公網(wǎng)出接口地址 6. 基于 untrust 安全域配置攻擊防護功能 7. 攻擊防護具體配置 1) 進入 WEB 設備管理界面【安全】 ?【攻擊防護】進入攻擊防護列表界面。 2) 點擊【添加】按鈕，進入到攻擊防護配置界面如下圖。 3) 選擇安全域 untrust，（一般將外網(wǎng)流量入防火墻的接口加入 untrust安全域中） 4) 配置 SYN Flood 攻擊類型（ 100 人網(wǎng)絡建議設置建議 1000，告警行為， 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 91 a) 閾值具體配置多少合理需要根據(jù)產(chǎn)品平臺、 licence 文件新建數(shù)有關，同時也和客戶的實際網(wǎng)絡環(huán)境流量類型強相關） 5) 配置 ICMP Flood 類型 （ 100 人網(wǎng)絡建議閾值 500800）丟棄行為） 6) 配置 UDP Flood 類型（ 100 人網(wǎng)絡建議 1000，根據(jù)客戶實際網(wǎng)絡配置閾值和行為，如果客戶流媒體、視頻流量居多閾值也要增大 ） 7) 配置 IP Flood 類型（ 100 人網(wǎng)絡建議 500800 丟棄行為 8) 配置掃描類型攻擊（閾值建議配置 1000，丟棄行為） 9) 配置異常報文，全部勾選 10) 開啟 SYN Cookie 功能 建議使用默認閾值 1460 11) 最后點擊確認按鈕，基于 untrust 安全域的攻擊防護功能配置完成 ******************************************************************************* ： 攻擊防護是基于源域進行處理的，安全域一定要選擇正確 攻擊防護所有攻擊類型會產(chǎn)生相應的日志信息和攻擊流量統(tǒng)計，客戶可以參考攻擊流量統(tǒng)計功能調整 Flood 閾值和行為勱作 ：關于 Flood 類型攻擊閾值和行為勱作要參照具體產(chǎn)品新建 數(shù)以及具體業(yè)務場景配置。 ******************************************************************************* 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 92 流量控制配置 ? 需求說明： 用戶有 2 條鏈路出口，要求針對內網(wǎng)控制： 1. 正常情況下平均分配各 PC 帶寬，重點用戶的 PC 可以優(yōu)先保證最低帶寬； 2. 當出口帶寬不夠用的情況下，優(yōu)先保證業(yè)務帶寬（具體用戶業(yè)務應用），其次保證優(yōu)先級高的 PC，最后平均分配優(yōu)先級低的 PC； 3. 當出口帶寬充足的情況下，充分使用未使用的帶寬分配給流量不夠的 PC，確保提高最大帶寬使用效率。 4. 當帶寬與業(yè)務流量需求沖突情況下，優(yōu)先將帶寬資源自動分配給業(yè)務需求（需要防火墻能夠識別用戶業(yè)務流量，一旦用戶產(chǎn)生業(yè)務流量時，設備能夠自動將流量最大限度的分配給業(yè)務需求，優(yōu)先保證業(yè)務的順暢），當業(yè)務流量不再使用或流量不大的情況下，將多余的帶寬自動分配給其他帶寬需求； 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 93 ? 組網(wǎng)結構： 聯(lián) 通 網(wǎng)防 火 墻二 層 交 換 機g e 1 : 1 0 . 1 . 1 . 1 / 2 4用 戶 1 : 1 0 . 1 . 1 . 1 0 0 / 2 4網(wǎng) 關 : 1 0 . 1 . 1 . 1用 戶 a : 1 0 . 1 . 2 . 1 0 0 / 2 4網(wǎng) 關 : 1 0 . 1 . 2 . 1用 戶 B : 1 0 . 1 . 3 . 1 0 1 / 2 4網(wǎng) 關 : 1 0 . 1 . 3 . 1網(wǎng) 絡 1網(wǎng) 絡 2網(wǎng) 絡 3電 信 網(wǎng)二 層 交 換 機二 層 交 換 機用 戶 2 : 1 0 . 1 . 1 . 1 0 1 / 2 4網(wǎng) 關 : 1 0 . 1 . 1 . 1用 戶 3 : 1 0 . 1 . 1 . 1 0 2 / 2 4網(wǎng) 關 : 1 0 . 1 . 1 . 1用 戶 b : 1 0 . 1 . 2 . 1 0 1 / 2 4網(wǎng) 關 : 1 0 . 1 . 2 . 1用 戶 c : 1 0 . 1 . 2 . 1 0 2 / 2 4網(wǎng) 關 : 1 0 . 1 . 2 . 1用 戶 A : 1 0 . 1 . 3 . 1 0 0 / 2 4網(wǎng) 關 : 1 0 . 1 . 3 . 1用 戶 C : 1 0 . 1 . 3 . 1 0 2 / 2 4網(wǎng) 關 : 1 0 . 1 . 3 . 1g e 2 : 1 0 . 1 . 2 . 1 / 2 4g e 3 : 1 0 . 1 . 3 . 1 / 2 4g e 4 : 1 1 4 . 2 5 4 . 1 1 4 . 1 0 0 / 2 4網(wǎng) 關 : 1 1 4 . 2 5 4 . 1 1 4 . 1g e 5 : 1 2 4 . 1 2 7 . 1 2 4 . 1 0 0 / 2 4網(wǎng) 關 : 1 2 4 . 1 2 7 . 1 2 4 . 1 ? 組網(wǎng)說明： 1. 防火墻工作在路由模式，位于公網(wǎng)出口，即邊界處。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 94 2. 用戶的聯(lián)通網(wǎng)公網(wǎng)地址為 ，掩 碼為 ，公網(wǎng)網(wǎng)關地址為 ；用戶的電信網(wǎng)公網(wǎng)地址為 ，掩碼為，公網(wǎng)網(wǎng)關地址為 。 3. 防火墻下聯(lián) 3 個二層交換機，接入不同的內網(wǎng)網(wǎng)絡。防火墻連接網(wǎng)絡 1 的內網(wǎng)地址為 ，掩碼為 ；連接網(wǎng)絡 2 的內網(wǎng)地址 ，掩碼為 ；連接網(wǎng)絡 3 的內網(wǎng)地址 ，掩碼為 。 4. 每個網(wǎng)絡內的用戶的網(wǎng)關地址分別指向 防火墻的內網(wǎng)地址。例如：用戶 1 的IP 地址為 ，掩碼為 ，網(wǎng)關地址為 ；用戶 b 的IP 地址為 ，掩碼為 ，網(wǎng)關地址為 ；用戶 C 的IP 地址為 ，掩碼為 ，網(wǎng)關地址為 。 ? 防火墻配置步驟： 1. 點擊【網(wǎng)絡】 ?【接口】，配置連接聯(lián)通網(wǎng)和電信網(wǎng)的公網(wǎng)接口及 IP 地址。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 95 2. 點擊【網(wǎng)絡】 ?【接口】，配置內網(wǎng)接口及 IP 地址，即連接網(wǎng)絡 網(wǎng)絡 2和網(wǎng)絡 3 的接口。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 96 3. 點擊【路由】 ?【 ISP 路由】， 配置 ISP 路由。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 97 ******************************************************************************* ：【對稱路由】字段勾選以保證來回路徑一致。 ISP 路由中的【 ISP 名稱】中若沒有 ISP 網(wǎng)段信息可以選擇對 ISP 信息進行導出自定義。 ******************************************************************************* 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 98 4. 點擊【網(wǎng)絡】 ?【安全域】， 綁定外網(wǎng)接口和內網(wǎng)接口的安全域。 5. 點擊【對象】 ?【地址】，配置地址對象。 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 99 6. 把內網(wǎng)地址對象添加到地址組對象中。 7. 點擊【安全】 ?【安全策略】，配置允許內網(wǎng)訪問外網(wǎng)的安全策略 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 100 8. 點擊【安全】 ?【 NAT】，在【源 NAT】中配置源 NAT 策略，對內網(wǎng) IP 地址進行轉換 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 101 9. 點擊【行為管理】 ?【 QoS】，配置 QoS 線路 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 102 添加成功后， QoS 線路詳細配置如下圖所示： 10. 選中 line root 下剛才添加的 QoS 線路，點擊【添加虛擬 QoS】配置虛擬 QoS。 類似地，添加其他虛擬 QoS 成功后，如下圖所示： 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 103 ******************************************************************************* ： QoS 時，在上行 /下行方向最多添加 4 個虛擬 QoS； QoS 之間是串行的關系，所以，數(shù)據(jù)流量會串行通過全部的虛擬 QoS，各個虛擬QoS 內的流控規(guī)則對流量進行限制； 3. 數(shù)據(jù)流量匹配最小帶寬流控規(guī)則為準則，即數(shù)據(jù)包經(jīng)過前面的虛擬 QoS，匹配一個保證帶寬小的流控規(guī)則，再經(jīng)過后面的虛擬 QoS，匹配一個保證帶寬大的流控規(guī)則，數(shù)據(jù)包仍然被限制在最小的流控規(guī)則帶寬下。 ******************************************************************************* 11. 配置調度類 在虛擬 QoS“特 殊用戶”下添加調度類，為特殊用戶分配足夠的保證帶寬，如下網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 104 圖所示： 類似地，添加其他的重點個別 PC 的調度類，配置成功后，虛擬 QoS“特殊用戶”下的調度類如下圖所示： ******************************************************************************* ： ； ； ：對于相同深 度的調度類之間，配置的參數(shù)相同時，多余的帶寬根網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 105 據(jù)調度類的優(yōu)先級來分配，高級優(yōu)先分配到多余帶寬，中級次之，低級最后進行分配。（ 4）調度類優(yōu)先級默認值為：高級。 ******************************************************************************* 在虛擬 QoS“業(yè)務應用”下配置調度類，保證用戶業(yè)務應用的帶寬。例如，配置HTTP 業(yè)務應用流調度類，提供其保證帶寬，如下圖所示： 類似地，配置業(yè)務應用調度類，配置成功后，如下圖所示： 12. 點擊 【對象】 ?【地址】，添加地址對象，流控規(guī)則中需要引用，如果已經(jīng)添加過，可跳過此步驟。添加地址對象如下圖所示： 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 106 13. 點擊【行為管理】 ?【 QoS】，配置流控規(guī)則 ******************************************************************************* ： ，是從父調度類向子調度類方向配置，即對某調度類配置流控規(guī)則時，該調度類下至少有一個子調度類； ，丌能越級，即必須有父調度類向直接連接的子調度類配置； ，流控規(guī)則功能才生效，才能限流成功。 ******************************************************************************* 網(wǎng)神信息技術（北京）股份有限公司 功能配置及維護手冊 107 ? 可以通過內網(wǎng)地址來識別用戶，從而提供保證帶寬，流控規(guī)則配置如下圖所示： 由于，用戶的 IP 地址也可能更換，所以，也可以通過源用戶認證來識別用戶，本例選擇【本地認證】的方式。 ? 點擊【用戶認證】 ?【認證用戶】，先添加認證用戶，