天清汉马USG防火墙-快速安装指南
flood每主机报文速率限制(源IP)配置为100/S,动作选择syn cookie;勾选启用防扫描,启用TCP协议扫描和UDP协议扫描,扫描识别阈值为1000,主机抑制时长为20s,配置提交。
4、 进入策略>安全防护>攻击防护:策略,地址类型选择IPV4,入接口选择vlan20,源地址选
择any,目的地址选择内网地址,服务选择any,时间表选择always,安全防护选择配置的攻击防护表scan-flood。
5、 进入策略>安全防护>Dos防护, Dos防护下勾选需要防护的攻击类型,点击确定使得配置
生效。
6、 进入策略>安全防护>ARP攻击防护:ARP表,找到设备学习到的服务器192.168.11.11的
ARP表,点击
按钮,将IP和MAC的关系进行绑定。(若已知服务器的MAC也可以在
北京启明星辰信息技术有限公司
21
天清汉马USG防火墙-快速安装指南
IP-MAC绑定配置界面手动添加绑定关系)
7、 进入策略>安全防护>ARP攻击防护:主动保护列表,接口选择vlan10,启用接口保护,将
服务器的IP和MAC填入保护列表中,点击提交。
8、 进入策略>安全防护>ARP攻击防护:配置,勾选启用防ARP欺骗,并启用主动保护。
北京启明星辰信息技术有限公司
22
天清汉马USG防火墙-快速安装指南
2.2.8 应用控制案例
? 案例描述:
某企业出口带宽为10Mbps,要求对应用及用户上网行为进行精细控制,具体要求如下: 1、 为了使公司出口带宽合理利用,给各个部门分配一定的带宽:研发-2M,测试-5M,行政-3M,
同时,根据业务类型对流量进行限制和保证,在研发部,电子邮件应用保证1 M,P2P下载应用限制为0.5 M。
2、 上班时间拒绝内网用户登录QQ应用。
3、 若用户发帖关键字包含“暴力、反动”则阻断此次发帖行为。
案例拓扑
? 配置步骤:
1、 照上述拓扑进行组网,并作基本网络配置,包括VLAN划分,以及IP地址配置,配置路由、
防火墙等策略保证网络可正常通信。
2、 进入对象>地址对象>地址节点,配置创建研发部地址对象,地址配置为192.168.10.0/24,
配置提交。
3、 按照上述方法配置添加如下地址对象:
研发部:成员包含192.168.10.0/24网段 测试部:成员包含192.168.11.0/24网段 行政部:成员包含192.168.12.0/24网段
内网用户:成员包含192.168.10.0/24、192.168.11.0/24和192.168.12.0/24网段
北京启明星辰信息技术有限公司
23
天清汉马USG防火墙-快速安装指南
4、 进入策略>流量控制>线路设置,点击新建,接口配置为vlan20,配置带宽入和出都为
10000Kbps
5、 进入策略>流量控制>流控策略,在线路策略公司下,点击新建,源地址配置为研发部,目
的地址为any,应用为any,服务为any,时间为always,带宽配置为2000Kbps。
6、 按照上述方法,分别添加测试部、行政部的流控策略,测试部带宽配置为5000Kbps,行政
部带宽配置为3000Kbps。
7、 进入策略>流量控制>流控策略,在流控策略研发部下,点击新建,源地址配置为研发部,
目的地址为any,应用选择电子邮件,带宽保证配置为1000Kbps。
北京启明星辰信息技术有限公司
24
天清汉马USG防火墙-快速安装指南
8、 按照上述方法,创建P2P下载策略,对P2P下载带宽限制到500Kbps
9、 进入对象>时间对象>周期时间,点击新建,添加循环日期,点击提交新建一条工作时间对
象。
10、 进入策略>应用控制>应用控制策略,地址对象配置为内网用户,应用选择QQ,应用行为
配置为登录,其他参数配置为any,时间配置为工作时间,处理动作为拒绝,点击提交。
北京启明星辰信息技术有限公司
25