带宽策略注意事项.xls

《带宽策略注意事项.xls》由会员分享，可在线阅读，更多相关《带宽策略注意事项.xls（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NGFW 4000 防火墙（V2.4.30版本）带宽策略操作：源 目的单一节点、单一IP地址单一节点、多IP地址对象子网对象（首尾地址定义方式）单一节点、单一IP地址对象可以可以可以单一节点、多IP地址对象不行不行不行子网对象（首尾地址定义方式）不行不行不行子网对象（掩码定义方式）可以可以可以子网对象（掩码长度定义方式）可以可以可以注意：对象中定义的对象组和负载均衡组都无法参与带宽策略配置。实例测试：在进行简单的带宽配置后，发现问题现象：在对FTP协议20、21端口进行带宽限制后，并没起什么作用。通过防火墙实时监控进行观察发现，在进行FTP数据传输时，并不是使用20、21端口进行数据传输的。分

2、析：由于大部分FTP服务器都是采用PASV模式的，在该模式下，在客户端发起传输请求后，使用一个大于1024的端口连接服务器的1024以上的某一个端口，然后再使用该动态端口进行数据传输的。结论：根据实际应用，不能只对标准的FTP协议20、21端口进行带宽管理，主要是由于在数据传输的时候，可能使用的是动态分配的端口进行的，因此在进行此操作是就比较困难了。所以如果不能找出服务应用的端口范围，那么就只能对该服务地址的所有端口进行操作了。（如下图）FTP客户端：192.168.7.239FTP服务器：192.168.7.201透明模式ETH0ETH2推广：由于很多应用中（例如：HTTP协议下载）进行数据

3、传输时都是动态分配端口的，因此在进行带宽策略操作时，多使用实时监控观察分析，根据具体的实际情况进行适当的策略部署。子网对象（掩码定义方式）子网对象（掩码长度定义方式）可以可以不行不行不行不行可以可以可以可以发现问题现象：在对FTP协议20、21端口进行带宽限制后，并没起什么作用。通过防火墙实时监控进行观察发现，在进行FTP数据传输时，并不是使用20、21端口进行数据传输的。分析：由于大部分FTP服务器都是采用PASV模式的，在该模式下，在客户端发起传输请求后，使用一个大于1024的端口连接服务器的1024以上的某一个端口，然后再使用该动态端口进行数据传输的。结论：根据实际应用，不能只对标准的FTP协议20、21端口进行带宽管理，主要是由于在数据传输的时候，可能使用的是动态分配的端口进行的，因此在进行此操作是就比较困难了。所以如果不能找出服务应用的端口范围，那么就只能对该服务地址的所有端口进行操作了。（如下图）FTP客户端：192.168.7.239FTP服务器：192.168.7.201透明模式ETH0ETH2推广：由于很多应用中（例如：HTTP协议下载）进行数据传输时都是动态分配端口的，因此在进行带宽策略操作时，多使用实时监控观察分析，根据具体的实际情况进行适当的策略部署。