香港某大学防火墙课件连线频率限制v.ppt

* 在設定頁面左邊最下面有一 [確認] 選項，其旁邊有一眼睛的圖示，滑鼠點選後會彈出一新網頁視窗，其內會顯示來源物件詳細的設定值(All、IP或網段)。 * 設定頁面參數說明： 1.來源：要觀察連線的發送主機，而在預設規則則是針對所有來源主機即ALL作限制。 2.而在每秒新連線速率的限制，提供以下三種協定： (1) TCP-NEW：單一主機每一秒鐘可產生 新 TCP 連線數，超過限制的連線數將會被丟棄。 而預設規則限制值為50條。 (2) UDP：單一主機每一秒鐘產生 新 UDP 連線數，超過的連線數將會被丟棄。 而預設規則限制值為50條。 (3) ICMP：單一主機每一秒鐘產生 新 ICMP 連線數，超過的連線數將會被丟棄。 而預設規則限制值為50條。 * 最大連線數政策 : 控管同時間可達最大的連線數目，也就是當某台電腦同時間建立的連線數超過一定量時，即針對該電腦作一定時間封鎖上網的動作 * * 最大連線數政策-設定頁說明 1.設定頁面在 [連線頻率限制] 下 [規則設定] 頁面中的右半邊，即上圖紅框中內。 2.其大致上跟新連線速率限制設定項目雷同，不一樣的是其多了封鎖期間，主要是因它不像新連線數是限制每秒單一主機的新連線數，其是針對每秒產生過多連線的主機作封鎖上網的動作，而封索期間的設定則是針對符合條件的主機作一定時間的封鎖。 3.此外跟新連線速率限制一樣最下面一行則是預設規則。 4.最後如果規則要刪除或停用的話只要用點選左邊數來第一個欄位內的框框，再點選最下面的的[確定]即可。 * 最大連線數政策– 參數說明: 1.來源：在同一規則中與新連線頻率限制共用同一來源選項。 2.而在最大連線數政策的限制，提供以下三種協定： (1) TCP-NEW：單一主機同時間可允許的 TCP-NEW 連線數, 超過此值時便依封鎖時間設定阻擋上網。而預設規則限制值為100條。 (2) TCP-EST ：單一主機同時間可允許的 TCP-EST 連線數, 超過此值時便依封鎖時間設定阻擋上網。而預設規則限制值為100條。 (3) UDP：單一主機同時間可允許的 已連結的 TCP 連線數, 超過此值時便依封鎖時間設定阻擋上網。 而預設規則限制值為100條。 (4) ICMP：單一主機同時間可允許的 UDP 連線數, 超過此值時便依封鎖時間設定阻擋上網。 而預設規則限制值為100條。 3.封鎖時間：若有任何主機違反該條規則上限值的設定，將會依照此值的時間間隔封鎖上網。 Note: TCP-NEW 代表尚未完成 TCP 三方交握 (TCP 3-Way Handshake) 的連線，而 TCP-EST 代表已完成 TCP 三方交握的連線 * * 啟動與停止 連線控管機制 的地方在 [MultiHoming] ? [參數設定] ? [系統服務]中。 連線頻率限制 這項目是針對新連線速率限制作服務的啟動/停止 。 動態主機封鎖 這項目是針對最大連線數限制作服務的啟動/停止 。 * 預設的封鎖政策符合大多數的環境，但如果PowerStation 是使用於下列的網路架構，則需要對某些主機提高門檻值 1.PowerStation 使用 ProxyARP 模式 2.大多主機是位於 Firewall 後方，並採用 NAT 模式 3.有部署使用 Web Proxy 主機 * 由上圖可以發現 PowerStation 是位於 Firewall(Router) 與 對外線路 Route r之間，使用 ProxyARP 佈署模式 (請參考0005-Proxy_ARP.ppt) 。 因此要確認位於FW/Router下的電腦上網經過FW/Router時有無作NAT的動作，如果有的話其所有對外連線，對 PowerStation 而言則會是NAT後的同一IP，且連線頻率限制是針對每一IP，所以設限可能會造成內部人員部份無法上網，甚至導至全部無法上網。 * 1.大多的主機位於 Firewall 後面，內部電腦來源位址皆被 Firewall 偽裝成同一對外IP (一般內部電腦如不是Server的話，其 Firewall NAT後的IP，皆為同一個對外IP) 2.由連線頻率限制是針對每一IP，所以以上情況如設定限制，可能導至內部使用者部份無法上網，甚至全部無法上網。 * 如果內部有佈署 Web Proxy 主機，這樣大多上網的使用者都是利用 Proxy 存取網路資源。 此時所有利用 Proxy 主機存取網頁的連線，對PowerStation而言，所有連線的來源位址皆為Web Proxy 主機 的 IPj位址， 所以在設定連線頻率限制時，要注意到將該IP限制放寬，以免導至透過該 Web Proxy 主機上網的來源電腦皆無法上網或部份能上網。 除此之外如