《带宽策略注意事项.xls》由会员分享,可在线阅读,更多相关《带宽策略注意事项.xls(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、NGFW 4000 防火墙(V2.4.30版本)带宽策略操作:源 目的单一节点、单一IP地址单一节点、多IP地址对象子网对象(首尾地址定义方式)单一节点、单一IP地址对象可以可以可以单一节点、多IP地址对象不行不行不行子网对象(首尾地址定义方式)不行不行不行子网对象(掩码定义方式)可以可以可以子网对象(掩码长度定义方式)可以可以可以注意:对象中定义的对象组和负载均衡组都无法参与带宽策略配置。实例测试:在进行简单的带宽配置后,发现问题现象:在对FTP协议20、21端口进行带宽限制后,并没起什么作用。通过防火墙实时监控进行观察发现,在进行FTP数据传输时,并不是使用20、21端口进行数据传输的。分
2、析:由于大部分FTP服务器都是采用PASV模式的,在该模式下,在客户端发起传输请求后,使用一个大于1024的端口连接服务器的1024以上的某一个端口,然后再使用该动态端口进行数据传输的。结论:根据实际应用,不能只对标准的FTP协议20、21端口进行带宽管理,主要是由于在数据传输的时候,可能使用的是动态分配的端口进行的,因此在进行此操作是就比较困难了。所以如果不能找出服务应用的端口范围,那么就只能对该服务地址的所有端口进行操作了。(如下图)FTP客户端:192.168.7.239FTP服务器:192.168.7.201透明模式ETH0ETH2推广:由于很多应用中(例如:HTTP协议下载)进行数据
3、传输时都是动态分配端口的,因此在进行带宽策略操作时,多使用实时监控观察分析,根据具体的实际情况进行适当的策略部署。子网对象(掩码定义方式)子网对象(掩码长度定义方式)可以可以不行不行不行不行可以可以可以可以发现问题现象:在对FTP协议20、21端口进行带宽限制后,并没起什么作用。通过防火墙实时监控进行观察发现,在进行FTP数据传输时,并不是使用20、21端口进行数据传输的。分析:由于大部分FTP服务器都是采用PASV模式的,在该模式下,在客户端发起传输请求后,使用一个大于1024的端口连接服务器的1024以上的某一个端口,然后再使用该动态端口进行数据传输的。结论:根据实际应用,不能只对标准的FTP协议20、21端口进行带宽管理,主要是由于在数据传输的时候,可能使用的是动态分配的端口进行的,因此在进行此操作是就比较困难了。所以如果不能找出服务应用的端口范围,那么就只能对该服务地址的所有端口进行操作了。(如下图)FTP客户端:192.168.7.239FTP服务器:192.168.7.201透明模式ETH0ETH2推广:由于很多应用中(例如:HTTP协议下载)进行数据传输时都是动态分配端口的,因此在进行带宽策略操作时,多使用实时监控观察分析,根据具体的实际情况进行适当的策略部署。