《SifoWorksDU产品v1》由会员分享,可在线阅读,更多相关《SifoWorksDU产品v1(49页珍藏版)》请在金锄头文库上搜索。
1、,SifoWorks DU产品配置,安装前环境调查,拓扑图 SifoWorks分配的地址 内网的网段和网关 外网的网址和网关 内部对外部需要发布的服务 (NAT:是否需要配置地址转换) 交换机或路由器有没有做访问控制,Sifoworks管理,登陆管理端MGT0管理口登陆方式:https:/172.16.0.1/默认的用户名和口令:admin / admin123,路由模式,拓扑,路由模式,说明防火墙有LAN、WAN两个区域;LAN的IP地址192.168.1.50;WAN的IP地址220.231.xx.xxx;防火墙到internet的下一跳网关是220.231.xx.xxx 防火墙内网主机通
2、过NAT访问internet。,路由模式,配置方法:配置物理接口IP地址配置静态路由配置NAT配置过滤规则,路由模式,分配物理接口IP地址,编辑ge/3接口为例,路由模式,分配物理接口IP地址,输入IP和掩码,然后点击“增加IP地址”按钮,路由模式,分配物理接口IP地址,路由模式,分配物理接口IP地址,路由模式,分配物理接口IP地址,路由模式,路由配置,路由模式,过滤规则,路由模式,过滤规则组,注:在规则组中增加新的规则,路由模式,增加过滤规则之一,路由模式,增加过滤规则之二,TM功能介绍,TM简介TM配置TM应用场景,TM简介每个zone在输入和输出方向都有最大带宽限制。在zone的每个方向
3、上可以按照TM规则进行组的划分,可以在组内按照不同协议配置最大带宽和保证带宽。还可以对组内基于每个IP的按照不同协议配置最大带宽和保证带宽。提供匹配TM规则的流量信息的统计功能,在reporter中可以查看,TM配置,TM是在zone的基础上进行带宽限制的 zone可以包含多个物理接口,可以包含桥接口,vlan接口,也可以包含ipsec接口。通过配置zone object选择不同的物理接口或逻辑接口,TM 可以对通过物理接口,PPPoE,bridge,vlan,以及IPSEC进行流量管理。,基于物理接口,TM配置,TM配置,基于VLAN和bridge,2.配置基于zone的TM规则管理,TM配
4、置,三种profile Zone profile Group profile Per ip profileProfile包括总的最大带宽基于单个service 的保证带宽,最大带宽除了配置的协议外所有协议的保证带宽和最大带宽可以在profile内配置schedule,在特定的时间段内对相应协议进行带宽限制。,TM配置,TM配置,Profile 中service 的保证带宽包含两种类型 Dynamic 当背景流量超过相应profile内总的最大带宽的情况下,保证带宽的流量可能无法得到保证。 Static 保证带宽不变,能够保证在不超过保证带宽的情况下得到足够带宽。Zone profile 只能是
5、staticGroup profile Dynamic或者staticPerip profile 只能是Dynamic,TM配置,Group profile与Perip profile之间相互关系比如group profile和perip profile都对FTP服务进行了带宽限制Perip profile MB X FTP用户数目=group profile MB Perip profile GB X FTP用户数目=group profile GB,TM规则优先级-自上而下带宽分配原则先到先得,具体应用场景,1.多网关情况把多网关配置成一个zone来限制下载或上传流量2.对时间有要求情况举
6、个例子,周一至周五9:00-9:30是收邮件的高峰期可以在该时间段设置一条保证POP3服务的规则3.特殊ip特殊对待配置该ip分配相应带宽引用object中的address分配相应带宽使用AAA认证的方式(优点:无需指定相应IP,适用于地址不固定,如DHCP情况),4.对一般服务的带宽限制 引用port-base类型的service(优点:消耗资源较少)如HTTP,DNS5.对特殊服务的带宽限制 引用application类型service(优点:带宽限制准确)如IM,P2P6.对无法识别协议或者不确定协议的带宽限制引用service中的other。这种情况会在实际情况中经常用到。举个例子,在
7、校园网络环境中,要保证正常的服务带宽,如HTTP,FTP,DNS,POP3,SMTP等,其它协议带宽不关心,那么给other限制带宽,其它所有协议都被限制在该带宽范围下。,具体应用场景,7.根据实际情况合理划分带宽需要根据实际情况合理划分带宽,否则非但不能解决网络拥塞,合理利用网络带宽问题,而且可能会影响某些用户的正常服务。举个例子,管理员对某zone设置FTP的带宽限制Group profile FTP MB 300K GB 200KPerip profile FTP MB 150 GB 100K由于带宽分配是根据先到先得原理来分配,后来的用户可能无法分配到相应保证带宽,这样就造成了只有2个
8、用户可以享受到通常的FTP服务。因此要使带宽得到合理的利用,充分利用TM模块的带宽管理,首先要了解那些用户的那些服务需要保障,用户的数量,网络流量状况(可以借助report模块),具体应用场景,Anti-Dos功能介绍,Antidos 全局 配置界面,Antidos 全局概念(1),在Global Setting中,Anti-DOS分为两个模式.Stop:停止Anti-DOS的防护 Defense Mode:当达到规则中的阈值之后,直接丢弃后面的数据包,同时也会记录log Log:设置一个总体开关。其中当打开log开关的时候,可以选择每秒产生多少次log Others Attack:对这些攻击
9、勾选,可以正常防护,Antidos 全局概念(2),Syn cookie:选中SYN Cookie后,启动SYN Cookie防护。SYN Cookie防护分为两种模式:Always ON和Intelligent Defense。当选中Always ON,则对所有的数据包均进行SYN Cookie验证。如果选中Intelligent Defense,则需要先判断该数据包匹配到哪一条规则。然后在该规则对应的profile中定义了SYN Cookie智能防御的两个阈值。其中,当Session Rate超过高阈值,开启SYN Cookie防护。当Session Rate低于低阈值,关闭SYN Coo
10、kie。,Antidos rule 配置界面(1),Antidos rule 配置界面(2),Profile UI配置,黑白名单UI 配置,黑白名单功能,白名单的主机发出的数据流,将不受Anti-DOS模块的限制。但是要受到ACL的限制 黑名单的主机发出的数据流,全部丢弃。,Report (1),Report Session number,Report Session Rate,Report Packet Rate,Report Top N,Report Source IP stastic,应用场景,Connection attack:是将服务器上可用的连接数占满直至无法正常响应。连接耗尽攻击
11、使用真实的IP地址与服务器建立连接。攻击者操控了大量的傀儡主机或者使用代理服务器来发起大规模的连接。当连接数达到一定规模,超过了服务器的能力时,正常的连接请求将无法建立。 解决办法:在Profile Setting中,针对特定的Destination Network/IP Address配置Session Number,来限制针对目的地址的连接。同时结合超时配置,加快TCP/UDP的Time Out时间,可以有效降低Connection Flood攻击。,应用场景,ICMP/UDP Flood当ICMP/UDP回应请求用很多请求使得受害者超负荷运行,以至于受害者耗尽所有资源来进行响应,直至再也
12、无法处理有效的网络信息流时,通常就发生了ICMP/UPD泛滥.解决办法:在规则中配置service type为ICMP/UDP,在profile setting中,设置总量和单IP的PPS。无论是单IP的PPS还是总量的PPS超过阈值,均认为产生一个ICMP/UDP Flood攻击,应用场景,Land Attack/Ping of Death/Teardrop Land Attack:攻击者发送含有受害者IP地址的欺骗性SYN数据包,并将该地址作为目的和源IP地址时 ,系统通过向自己发送SYN-ACK数据包来进行响应,同时创建一个空的连接,该连接将会一直保持到空闲超时为止。向系统堆积过多的这种空连接会耗尽系统资源。 Ping of Death:过大的ICMP数据包会引发一系列不利的系统反应,如拒绝服务(DOS)、系统崩溃、死机以及重新启动 . Teardrop:利用了IP数据包碎片的重组。 解决办法:全局other attack里勾选相应攻击类型。,谢 谢,
