应用控制及带宽管理实验

实验拓扑


图 1-1

注:此实验务必按照拓扑所示接口连接线缆,且运行前置环境中的 Win7-1、Win7-2、Windows Server 2003 三台虚拟机。防火墙内存务必配置为 2G 以上。实验步骤中防火墙的配置可在 “Web 控制台配置方法” 和 “命令行配置方法” 中任选一种。

实验需求

  1. 按照图示配置网络,使内网 PC 都能够接入互联网。
  2. 在 FW 上配置上网行为控制,使 Win7-1 所在网段不允许登录 QQ。
  3. 在 FW 上配置带宽管理,使 Win7-2 的上网带宽限制在 1Mbps 以内。

基础环境配置

  1. 配置交换机。

    步骤 1:在 SW 上创建 VLAN10、VLAN20 和 VLAN30,将连接 Win7-1 虚拟机的接口加入 VLAN10,连接 Win7-2 虚拟机的接口加入 VLAN20,连接防火墙的接口加入 VLAN30。

    [SW]vlan 10
[SW-vlan10]port g1/0/2
[SW-vlan10]vlan 20
[SW-vlan20]port g1/0/3
[SW-vlan20]vlan 30
[SW-vlan30]port g1/0/1

    步骤 2:在 SW 上为 VLAN10、VLAN20、VLAN30 创建三层接口并配置 IP 地址。

    [SW]interface vlan 10
[SW-Vlan-interface10]ip address 192.168.101.254 24
[SW]interface vlan 20
[SW-Vlan-interface20]ip address 192.168.103.254 24
[SW]interface vlan 30
[SW-Vlan-interface30]ip address 10.1.1.2 30

    步骤 3:在 SW 上配置缺省路由,下一跳指向防火墙。

    [SW]ip route-static 0.0.0.0 0 10.1.1.1

  2. 配置防火墙,使 Win7-1 和 Win7-2 可以访问互联网。

    步骤 1:在 FW 上配置接口和区域,将连接交换机的接口加入 Trust 区域,连接 Internet 的接口加入 Untrust 接口。并配置好 IP 地址。


    图 1-2

    步骤 2:在 FW 上配置缺省路由和去往两台虚拟机所在网段的静态路由。


    图 1-3

    步骤 3:在 FW 上创建 Win7-1、Win7-2 和防火墙公网口的 IP 地址对象组。


    图 1-4

    步骤 4:在 FW 上创建源地址转换 NAT 策略,使 Win7-1、Win7-2 可以上网,并同步自动创建安全策略。


    图 1-5

配置应用控制和带宽管理(防火墙 Web 控制台配置方法)

  1. 创建应用审计策略,禁止 Win7-1 所在网段的客户端登录 QQ。

    步骤 1:在防火墙 Web 控制台中点击 策略 - 应用审计,然后点击 新建 创建应用审计策略。


    图 1-6

    步骤 2:在新建策略的界面中设置类型为 “阻断”,源安全域为 Trust,目的安全域为 Untrust,源 IP 地址为 Win7-1 所在网段,应用选择 QQ。完成配置后点击 确定 完成配置。


    图 1-7

  2. 配置带宽管理,使 Win7-2 的上网带宽限制在 1Mbps 以内

    步骤 1:在防火墙 Web 控制台中点击 策略 - 带宽管理 - 接口带宽,然后点击 新建。在新建接口带宽界面选择接口为公网口,期望带宽参考公网的实际可用带宽。这里填写 500Mbps。完成后点击 确定 来完成配置。


    图 1-8

    步骤 2:点击 带宽通道,点击 新建 来创建一个限速 1Mbps 的通道。在弹出的新建带宽通道页面中设置总带宽为 1 M。完成后点击 确定 来完成配置。


    图 1-9

    步骤 3:点击 带宽策略,然后点击 新建 来创建一条针对 Win7-2 限速的策略。设置策略源安全域为 Trust,目的安全域为 Untrust,源地址对象组为 Win7-2 所在网段。然后下拉配置页面,将动作设置为限流,带宽通道设置为上一步创建的限速通道。完成配置后点击 确定 完成配置。(注:这里为了测试效果是针对所有应用限速,实际中建议选择特定的应用来针对应用限速)


    图 1-10


    图 1-11

配置应用控制和带宽管理(命令行配置方法)

  1. 创建应用审计策略,禁止 Win7-1 所在网段的客户端登录 QQ。策略动作为 deny,设置源区域为 Trust,目的区域为 Untrust,源 IP 地址为 Win7-1 所在网段,应用程序为 QQ。

    [FW]uapp-control 
[FW-uapp-control]policy name Deny_QQ deny
[FW-uapp-control-policy-Deny_QQ]source-address ipv4 VLAN10
[FW-uapp-control-policy-Deny_QQ]source-zone Trust
[FW-uapp-control-policy-Deny_QQ]destination-zone Untrust
[FW-uapp-control-policy-Deny_QQ]application app QQ

  2. 配置带宽管理,使 Win7-2 的上网带宽限制在 1Mbps 以内

    步骤 1:设置公网口最大可用带宽。带宽值参考公网实际可用带宽。这里填写 500Mbps。

    [FW]interface g1/0/2
[FW-GigabitEthernet1/0/2]bandwidth 500000

    步骤 2:创建限速 1Mbps 的带宽通道。将总带宽和每 IP 总带宽都设置为 1Mbps。

    [FW]traffic-policy
[FW-traffic-policy]profile name limit1m
[FW-traffic-policy-profile-limit1m]bandwidth total guaranteed 1000 
[FW-traffic-policy-profile-limit1m]bandwidth total maximum 1000 
[FW-traffic-policy-profile-limit1m]bandwidth total guaranteed per-ip 1000 
[FW-traffic-policy-profile-limit1m]bandwidth total maximum per-ip 1000

    步骤 3:创建带宽策略,对 Win7-2 的上网流量匹配限速 1Mbps 的带宽通道。设置源区域为 Trust,目的区域为 Untrust,源 IP 地址为 Win7-2 所在网段,匹配上一步创建的限速通道。

    [FW]traffic-policy
[FW-traffic-policy]rule name Limit_VLAN20
[FW-traffic-policy-rule-1-Limit_VLAN20]action qos profile limit1m 
[FW-traffic-policy-rule-1-Limit_VLAN20]source-address address-set VLAN20 
[FW-traffic-policy-rule-1-Limit_VLAN20]source-zone Trust 
[FW-traffic-policy-rule-1-Limit_VLAN20]destination-zone Untrust

效果测试

  1. 禁止登录 QQ 效果测试。

    步骤 1:在 Win7-1 上登录 QQ,发现无法登录。


    图 1-12

    步骤 2:在 Win7-2 上登录 QQ,可以登录,不受限制。


    图 1-13

  2. 带宽限速效果测试。

    步骤 1:在 Win7-2 上测试网速,网速限制在 1Mbps 以内。


    图 1-14

    步骤 2:在 Win7-1 上测试网速,网速没有受到限制。


    图 1-15



« DPI 内容安全实验
IP和TCP抓包分析实验 »

Copyright © 2015 Powered by MWeb,  Theme used GitHub CSS.

鄂ICP备18006549号-1

TOP