【導(dǎo)讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 ***************** 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 89 攻擊防護(hù)配置 ? 需求說明： 隨著網(wǎng)絡(luò)攻擊問題日趨激烈，用戶需要對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行加固，提高網(wǎng)絡(luò)安全性，避免遭受 DDOS、非法報(bào)文入侵 ? 組網(wǎng)結(jié)構(gòu)： ? 組網(wǎng)說明： 1. 防火墻作為公網(wǎng)出口，工作在路由轉(zhuǎn)發(fā)模式 2. 防火墻公網(wǎng)出接口 處于 untrust 中， 3. 防火墻內(nèi)網(wǎng)接 口 ge2 處于 trust 中， 4. 防火墻 ge3 接口 處于 dmz 域中 連接公司服務(wù)器數(shù)據(jù)中心 5. 黑客通過非法手段獲取并控制互聯(lián)網(wǎng)中的設(shè)備使其成為肉雞，黑客操縱大量肉雞對(duì)某一網(wǎng)絡(luò)進(jìn)行大批量非法訪問造成 DDOS 并向服務(wù)器發(fā)送異常報(bào)文、病毒木馬感染數(shù)據(jù)中心的服務(wù)器和內(nèi)網(wǎng)中的合法用戶，造成服務(wù)器不能提網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 90 供正常的業(yè)務(wù)處理導(dǎo)致網(wǎng)絡(luò)癱瘓。 ? 防火墻配置步驟： 1. 配置防火墻公網(wǎng)出接口地址（通過手工配置或者動(dòng)態(tài)獲取根據(jù)實(shí)際客戶網(wǎng)絡(luò)環(huán)境而定）并加入 untrust 安全域中 2. 配置 ge2 接口 ip （內(nèi)網(wǎng)網(wǎng)關(guān)）并加入 trust 安全域中 3. 配置 ge3 接口 ip 并加入 dmz 安全域中 4. 配置策略允許內(nèi)網(wǎng)流量訪問外網(wǎng) 5. 配置 NAT 將內(nèi)網(wǎng) ip 地址映射為防火墻公網(wǎng)出接口地址 6. 基于 untrust 安全域配置攻擊防護(hù)功能 7. 攻擊防護(hù)具體配置 1) 進(jìn)入 WEB 設(shè)備管理界面【安全】 ?【攻擊防護(hù)】進(jìn)入攻擊防護(hù)列表界面。 2) 點(diǎn)擊【添加】按鈕，進(jìn)入到攻擊防護(hù)配置界面如下圖。 3) 選擇安全域 untrust，（一般將外網(wǎng)流量入防火墻的接口加入 untrust安全域中） 4) 配置 SYN Flood 攻擊類型（ 100 人網(wǎng)絡(luò)建議設(shè)置建議 1000，告警行為， 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 91 a) 閾值具體配置多少合理需要根據(jù)產(chǎn)品平臺(tái)、 licence 文件新建數(shù)有關(guān)，同時(shí)也和客戶的實(shí)際網(wǎng)絡(luò)環(huán)境流量類型強(qiáng)相關(guān)） 5) 配置 ICMP Flood 類型 （ 100 人網(wǎng)絡(luò)建議閾值 500800）丟棄行為） 6) 配置 UDP Flood 類型（ 100 人網(wǎng)絡(luò)建議 1000，根據(jù)客戶實(shí)際網(wǎng)絡(luò)配置閾值和行為，如果客戶流媒體、視頻流量居多閾值也要增大 ） 7) 配置 IP Flood 類型（ 100 人網(wǎng)絡(luò)建議 500800 丟棄行為 8) 配置掃描類型攻擊（閾值建議配置 1000，丟棄行為） 9) 配置異常報(bào)文，全部勾選 10) 開啟 SYN Cookie 功能 建議使用默認(rèn)閾值 1460 11) 最后點(diǎn)擊確認(rèn)按鈕，基于 untrust 安全域的攻擊防護(hù)功能配置完成 ******************************************************************************* ： 攻擊防護(hù)是基于源域進(jìn)行處理的，安全域一定要選擇正確 攻擊防護(hù)所有攻擊類型會(huì)產(chǎn)生相應(yīng)的日志信息和攻擊流量統(tǒng)計(jì)，客戶可以參考攻擊流量統(tǒng)計(jì)功能調(diào)整 Flood 閾值和行為勱作 ：關(guān)于 Flood 類型攻擊閾值和行為勱作要參照具體產(chǎn)品新建 數(shù)以及具體業(yè)務(wù)場(chǎng)景配置。 ******************************************************************************* 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 92 流量控制配置 ? 需求說明： 用戶有 2 條鏈路出口，要求針對(duì)內(nèi)網(wǎng)控制： 1. 正常情況下平均分配各 PC 帶寬，重點(diǎn)用戶的 PC 可以優(yōu)先保證最低帶寬； 2. 當(dāng)出口帶寬不夠用的情況下，優(yōu)先保證業(yè)務(wù)帶寬（具體用戶業(yè)務(wù)應(yīng)用），其次保證優(yōu)先級(jí)高的 PC，最后平均分配優(yōu)先級(jí)低的 PC； 3. 當(dāng)出口帶寬充足的情況下，充分使用未使用的帶寬分配給流量不夠的 PC，確保提高最大帶寬使用效率。 4. 當(dāng)帶寬與業(yè)務(wù)流量需求沖突情況下，優(yōu)先將帶寬資源自動(dòng)分配給業(yè)務(wù)需求（需要防火墻能夠識(shí)別用戶業(yè)務(wù)流量，一旦用戶產(chǎn)生業(yè)務(wù)流量時(shí)，設(shè)備能夠自動(dòng)將流量最大限度的分配給業(yè)務(wù)需求，優(yōu)先保證業(yè)務(wù)的順暢），當(dāng)業(yè)務(wù)流量不再使用或流量不大的情況下，將多余的帶寬自動(dòng)分配給其他帶寬需求； 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 93 ? 組網(wǎng)結(jié)構(gòu)： 聯(lián) 通 網(wǎng)防 火 墻二 層 交 換 機(jī)g e 1 : 1 0 . 1 . 1 . 1 / 2 4用 戶 1 : 1 0 . 1 . 1 . 1 0 0 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 1 . 1用 戶 a : 1 0 . 1 . 2 . 1 0 0 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 2 . 1用 戶 B : 1 0 . 1 . 3 . 1 0 1 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 3 . 1網(wǎng) 絡(luò) 1網(wǎng) 絡(luò) 2網(wǎng) 絡(luò) 3電 信 網(wǎng)二 層 交 換 機(jī)二 層 交 換 機(jī)用 戶 2 : 1 0 . 1 . 1 . 1 0 1 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 1 . 1用 戶 3 : 1 0 . 1 . 1 . 1 0 2 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 1 . 1用 戶 b : 1 0 . 1 . 2 . 1 0 1 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 2 . 1用 戶 c : 1 0 . 1 . 2 . 1 0 2 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 2 . 1用 戶 A : 1 0 . 1 . 3 . 1 0 0 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 3 . 1用 戶 C : 1 0 . 1 . 3 . 1 0 2 / 2 4網(wǎng) 關(guān) : 1 0 . 1 . 3 . 1g e 2 : 1 0 . 1 . 2 . 1 / 2 4g e 3 : 1 0 . 1 . 3 . 1 / 2 4g e 4 : 1 1 4 . 2 5 4 . 1 1 4 . 1 0 0 / 2 4網(wǎng) 關(guān) : 1 1 4 . 2 5 4 . 1 1 4 . 1g e 5 : 1 2 4 . 1 2 7 . 1 2 4 . 1 0 0 / 2 4網(wǎng) 關(guān) : 1 2 4 . 1 2 7 . 1 2 4 . 1 ? 組網(wǎng)說明： 1. 防火墻工作在路由模式，位于公網(wǎng)出口，即邊界處。 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 94 2. 用戶的聯(lián)通網(wǎng)公網(wǎng)地址為 ，掩 碼為 ，公網(wǎng)網(wǎng)關(guān)地址為 ；用戶的電信網(wǎng)公網(wǎng)地址為 ，掩碼為，公網(wǎng)網(wǎng)關(guān)地址為 。 3. 防火墻下聯(lián) 3 個(gè)二層交換機(jī)，接入不同的內(nèi)網(wǎng)網(wǎng)絡(luò)。防火墻連接網(wǎng)絡(luò) 1 的內(nèi)網(wǎng)地址為 ，掩碼為 ；連接網(wǎng)絡(luò) 2 的內(nèi)網(wǎng)地址 ，掩碼為 ；連接網(wǎng)絡(luò) 3 的內(nèi)網(wǎng)地址 ，掩碼為 。 4. 每個(gè)網(wǎng)絡(luò)內(nèi)的用戶的網(wǎng)關(guān)地址分別指向 防火墻的內(nèi)網(wǎng)地址。例如：用戶 1 的IP 地址為 ，掩碼為 ，網(wǎng)關(guān)地址為 ；用戶 b 的IP 地址為 ，掩碼為 ，網(wǎng)關(guān)地址為 ；用戶 C 的IP 地址為 ，掩碼為 ，網(wǎng)關(guān)地址為 。 ? 防火墻配置步驟： 1. 點(diǎn)擊【網(wǎng)絡(luò)】 ?【接口】，配置連接聯(lián)通網(wǎng)和電信網(wǎng)的公網(wǎng)接口及 IP 地址。 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 95 2. 點(diǎn)擊【網(wǎng)絡(luò)】 ?【接口】，配置內(nèi)網(wǎng)接口及 IP 地址，即連接網(wǎng)絡(luò) 網(wǎng)絡(luò) 2和網(wǎng)絡(luò) 3 的接口。 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 96 3. 點(diǎn)擊【路由】 ?【 ISP 路由】， 配置 ISP 路由。 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 97 ******************************************************************************* ：【對(duì)稱路由】字段勾選以保證來回路徑一致。 ISP 路由中的【 ISP 名稱】中若沒有 ISP 網(wǎng)段信息可以選擇對(duì) ISP 信息進(jìn)行導(dǎo)出自定義。 ******************************************************************************* 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 98 4. 點(diǎn)擊【網(wǎng)絡(luò)】 ?【安全域】， 綁定外網(wǎng)接口和內(nèi)網(wǎng)接口的安全域。 5. 點(diǎn)擊【對(duì)象】 ?【地址】，配置地址對(duì)象。 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 99 6. 把內(nèi)網(wǎng)地址對(duì)象添加到地址組對(duì)象中。 7. 點(diǎn)擊【安全】 ?【安全策略】，配置允許內(nèi)網(wǎng)訪問外網(wǎng)的安全策略 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 100 8. 點(diǎn)擊【安全】 ?【 NAT】，在【源 NAT】中配置源 NAT 策略，對(duì)內(nèi)網(wǎng) IP 地址進(jìn)行轉(zhuǎn)換 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 101 9. 點(diǎn)擊【行為管理】 ?【 QoS】，配置 QoS 線路 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 102 添加成功后， QoS 線路詳細(xì)配置如下圖所示： 10. 選中 line root 下剛才添加的 QoS 線路，點(diǎn)擊【添加虛擬 QoS】配置虛擬 QoS。 類似地，添加其他虛擬 QoS 成功后，如下圖所示： 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 103 ******************************************************************************* ： QoS 時(shí)，在上行 /下行方向最多添加 4 個(gè)虛擬 QoS； QoS 之間是串行的關(guān)系，所以，數(shù)據(jù)流量會(huì)串行通過全部的虛擬 QoS，各個(gè)虛擬QoS 內(nèi)的流控規(guī)則對(duì)流量進(jìn)行限制； 3. 數(shù)據(jù)流量匹配最小帶寬流控規(guī)則為準(zhǔn)則，即數(shù)據(jù)包經(jīng)過前面的虛擬 QoS，匹配一個(gè)保證帶寬小的流控規(guī)則，再經(jīng)過后面的虛擬 QoS，匹配一個(gè)保證帶寬大的流控規(guī)則，數(shù)據(jù)包仍然被限制在最小的流控規(guī)則帶寬下。 ******************************************************************************* 11. 配置調(diào)度類 在虛擬 QoS“特 殊用戶”下添加調(diào)度類，為特殊用戶分配足夠的保證帶寬，如下網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 104 圖所示： 類似地，添加其他的重點(diǎn)個(gè)別 PC 的調(diào)度類，配置成功后，虛擬 QoS“特殊用戶”下的調(diào)度類如下圖所示： ******************************************************************************* ： ； ； ：對(duì)于相同深 度的調(diào)度類之間，配置的參數(shù)相同時(shí)，多余的帶寬根網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 105 據(jù)調(diào)度類的優(yōu)先級(jí)來分配，高級(jí)優(yōu)先分配到多余帶寬，中級(jí)次之，低級(jí)最后進(jìn)行分配。（ 4）調(diào)度類優(yōu)先級(jí)默認(rèn)值為：高級(jí)。 ******************************************************************************* 在虛擬 QoS“業(yè)務(wù)應(yīng)用”下配置調(diào)度類，保證用戶業(yè)務(wù)應(yīng)用的帶寬。例如，配置HTTP 業(yè)務(wù)應(yīng)用流調(diào)度類，提供其保證帶寬，如下圖所示： 類似地，配置業(yè)務(wù)應(yīng)用調(diào)度類，配置成功后，如下圖所示： 12. 點(diǎn)擊 【對(duì)象】 ?【地址】，添加地址對(duì)象，流控規(guī)則中需要引用，如果已經(jīng)添加過，可跳過此步驟。添加地址對(duì)象如下圖所示： 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 106 13. 點(diǎn)擊【行為管理】 ?【 QoS】，配置流控規(guī)則 ******************************************************************************* ： ，是從父調(diào)度類向子調(diào)度類方向配置，即對(duì)某調(diào)度類配置流控規(guī)則時(shí)，該調(diào)度類下至少有一個(gè)子調(diào)度類； ，丌能越級(jí)，即必須有父調(diào)度類向直接連接的子調(diào)度類配置； ，流控規(guī)則功能才生效，才能限流成功。 ******************************************************************************* 網(wǎng)神信息技術(shù)（北京）股份有限公司 功能配置及維護(hù)手冊(cè) 107 ? 可以通過內(nèi)網(wǎng)地址來識(shí)別用戶，從而提供保證帶寬，流控規(guī)則配置如下圖所示： 由于，用戶的 IP 地址也可能更換，所以，也可以通過源用戶認(rèn)證來識(shí)別用戶，本例選擇【本地認(rèn)證】的方式。 ? 點(diǎn)擊【用戶認(rèn)證】 ?【認(rèn)證用戶】，先添加認(rèn)證用戶，