SifoWorksDU产品v.ppt

,SifoWorksDU产品配置,安装前环境调查,拓扑图SifoWorks分配的地址内网的网段和网关外网的网址和网关内部对外部需要发布的服务（NAT：是否需要配置地址转换）交换机或路由器有没有做访问控制,Sifoworks管理,登陆管理端MGT0管理口登陆方式：https:/172.16.0.1/默认的用户名和口令：admin/admin123,路由模式,拓扑,路由模式,说明防火墙有LAN、WAN两个区域；LAN的IP地址192.168.1.50；WAN的IP地址220.231.xx.xxx；防火墙到internet的下一跳网关是220.231.xx.xxx防火墙内网主机通过NAT访问internet。,路由模式,配置方法：配置物理接口IP地址配置静态路由配置NAT配置过滤规则,路由模式,分配物理接口IP地址,编辑ge/3接口为例,路由模式,分配物理接口IP地址,输入IP和掩码，然后点击“增加IP地址”按钮,路由模式,分配物理接口IP地址,路由模式,分配物理接口IP地址,路由模式,分配物理接口IP地址,路由模式,路由配置,路由模式,过滤规则,路由模式,过滤规则组,注：在规则组中增加新的规则,路由模式,增加过滤规则之一,路由模式,增加过滤规则之二,TM功能介绍,TM简介TM配置TM应用场景,TM简介每个zone在输入和输出方向都有最大带宽限制。在zone的每个方向上可以按照TM规则进行组的划分，可以在组内按照不同协议配置最大带宽和保证带宽。还可以对组内基于每个IP的按照不同协议配置最大带宽和保证带宽。提供匹配TM规则的流量信息的统计功能，在reporter中可以查看,TM配置,TM是在zone的基础上进行带宽限制的zone可以包含多个物理接口，可以包含桥接口，vlan接口，也可以包含ipsec接口。通过配置zoneobject选择不同的物理接口或逻辑接口，TM可以对通过物理接口，PPPoE，bridge，vlan，以及IPSEC进行流量管理。,基于物理接口,TM配置,TM配置,基于VLAN和bridge,2.配置基于zone的TM规则管理,TM配置,三种profileZoneprofileGroupprofilePeripprofileProfile包括总的最大带宽基于单个service的保证带宽，最大带宽除了配置的协议外所有协议的保证带宽和最大带宽可以在profile内配置schedule，在特定的时间段内对相应协议进行带宽限制。,TM配置,TM配置,Profile中service的保证带宽包含两种类型Dynamic当背景流量超过相应profile内总的最大带宽的情况下，保证带宽的流量可能无法得到保证。Static保证带宽不变，能够保证在不超过保证带宽的情况下得到足够带宽。Zoneprofile只能是staticGroupprofileDynamic或者staticPeripprofile只能是Dynamic,TM配置,Groupprofile与Peripprofile之间相互关系比如groupprofile和peripprofile都对FTP服务进行了带宽限制PeripprofileMBXFTP用户数目=groupprofileMBPeripprofileGBXFTP用户数目=groupprofileGB,TM规则优先级-自上而下带宽分配原则先到先得,具体应用场景,1.多网关情况把多网关配置成一个zone来限制下载或上传流量2.对时间有要求情况举个例子，周一至周五9:00-9:30是收邮件的高峰期可以在该时间段设置一条保证POP3服务的规则3.特殊ip特殊对待配置该ip分配相应带宽引用object中的address分配相应带宽使用AAA认证的方式（优点：无需指定相应IP,适用于地址不固定，如DHCP情况）,4.对一般服务的带宽限制引用port-base类型的service（优点：消耗资源较少）如HTTP,DNS5.对特殊服务的带宽限制引用application类型service(优点：带宽限制准确)如IM,P2P6.对无法识别协议或者不确定协议的带宽限制引用service中的other。这种情况会在实际情况中经常用到。举个例子，在校园网络环境中，要保证正常的服务带宽，如HTTP,FTP,DNS,POP3,SMTP等，其它协议带宽不关心，那么给other限制带宽，其它所有协议都被限制在该带宽范围下。,具体应用场景,7.根据实际情况合理划分带宽需要根据实际情况合理划分带宽，否则非但不能解决网络拥塞，合理利用网络带宽问题，而且可能会影响某些用户的正常服务。举个例子，管理员对某zone设置FTP的带宽限制GroupprofileFTPMB300KGB200KPeripprofileFTPMB150GB100K由于带宽分配是根据先到先得原理来分配，后来的用户可能无法分配到相应保证带宽，这样就造成了只有2个用户可以享受到通常的FTP服务。因此要使带宽得到合理的利用，充分利用TM模块的带宽管理，首先要了解那些用户的那些服务需要保障，用户的数量，网络流量状况（可以借助report模块）,具体应用场景,Anti-Dos功能介绍,Antidos全局配置界面,Antidos全局概念(1),在GlobalSetting中，Anti-DOS分为两个模式.Stop：停止Anti-DOS的防护DefenseMode：当达到规则中的阈值之后，直接丢弃后面的数据包，同时也会记录logLog:设置一个总体开关。其中当打开log开关的时候，可以选择每秒产生多少次logOthersAttack:对这些攻击勾选，可以正常防护,Antidos全局概念(2),Syncookie：选中SYNCookie后，启动SYNCookie防护。SYNCookie防护分为两种模式：AlwaysON和IntelligentDefense。当选中AlwaysON，则对所有的数据包均进行SYNCookie验证。如果选中IntelligentDefense，则需要先判断该数据包匹配到哪一条规则。然后在该规则对应的profile中定义了SYNCookie智能防御的两个阈值。其中，当SessionRate超过高阈值，开启SYNCookie防护。当SessionRate低于低阈值，关闭SYNCookie。,Antidosrule配置界面（1）,Antidosrule配置界面（2）,ProfileUI配置,黑白名单UI配置,黑白名单功能,白名单的主机发出的数据流，将不受Anti-DOS模块的限制。但是要受到ACL的限制黑名单的主机发出的数据流，全部丢弃。,Report（1）,ReportSessionnumber,ReportSessionRate,ReportPacketRate,ReportTopN,ReportSourceIPstastic,应用场景,Connectionattack:是将服务器上可用的连接数占满直至无法正常响应。连接耗尽攻击使用真实的IP地址与服务器建立连接。攻击者操控了大量的傀儡主机或者使用代理服务器来发起大规模的连接。当连接数达到一定规模，超过了服务器的能力时，正常的连接请求将无法建立。解决办法:在ProfileSetting中，针对特定的DestinationNetwork/IPAddress配置SessionNumber，来限制针对目的地址的连接。同时结合超时配置，加快TCP/UDP的TimeOut时间，可以有效降低ConnectionFlood攻击。,应用场景,ICMP/UDPFlood当ICMP/UDP回应请求用很多请求使得受害者超负荷运行，以至于受害者耗尽所有资源来进行响应，直至再也无法处理有效的网络信息流时，通常就发生了ICMP/UPD泛滥.解决办法：在规则中配置servicetype为ICMP/UDP，在profilesetting中，设置总量和单IP的PPS。无论是单IP的PPS还是总量的PPS超过阈值，均认为产生一个ICMP/UDPFlood攻击,应用场景,LandAttack/PingofDeath/TeardropLandAttack:攻击者发送含有受害者IP地址的欺骗性SYN数据包，并将该地址作为目的和源IP地址时,系统通过向自己发送SYN-ACK数据包来进行响应，同时创建一个空的连接，该连接将会一直保持到空闲超时为止。向系统堆积过多的这种空连接会耗尽系统资源。PingofDeath:过大的ICMP数据包会引发一系列不利的系统反应，如拒绝服务（DOS）、系统崩溃、死机以及重新启动.Teardrop:利用了IP数据包碎片的重组。解决办法：全局otherattack里勾选相应攻击类型。,谢谢,