网络安全 频道

H3C SecPath F1000-C-G防火墙独家评测

  多出口智能链路负载均衡

  除了基础的安全防护功能, F1000系列防火墙在链路负载均衡上也有不俗的表现,能够为企业出口链路部署提供更优解决方案。很多企业为了保证出口链路的高可用性和访问效率,会租用两条线路,如一条电信线路,一条联通线路以实现多出口智能链路的负载均衡,F1000-C-G在丰富的链路选择算法的基础上,还可以按运营商地址选择链路,以保证最优访问体验,同时智能检测链路健康及拥塞情况,一旦某条链路发生故障或拥塞,能够秒级无缝切换到另一条可用链路上,从而解决多个ISP出口访问问题。管理员可以通过配置界面创建多条物理链路以实现多出口智能链路负载均衡,配置方法如下图所示:

多出口智能链路负载均衡

  用户访问控制

  H3C F1000-C-G防火墙支持针对每IP发起的连接数和带宽进行限制,防火墙可以根据连接发起方向和连接的类型进行限制,或者是IP报文的出站,入站方向进行限制,方式灵活,可以满足各种安全需求。一般企业内部用户较多,没有必要分别针对每个IP地址单独设置一个带宽或者是连接数,可以统一设置或者是分等级限制。

  限制每用户连接数的方法是:打开防火墙----会话管理----连接数限制,如下图所示:

多出口智能链路负载均衡

  选择“启用连接数限制功能”之后,即可创建相应的限制策略,创建成功后,点击“确定”按钮,使此策略生效。

  限制每用户带宽的方法:打开“深度安全防御”---“带宽管理”,首先我们需要定义带宽管理策略,例如,在此例中,我定义的IT部门的员工,每个IP 可以使用的带宽是上行带宽512kbps,下行带宽是1024kbps。如下图所示:

多出口智能链路负载均衡

  再切换到“带宽管理策略应用”选项卡,我们定义某些源IP地址来应用此策略,如下图所示:

多出口智能链路负载均衡

  应用举例:只允许企业内网用户访问www.sina.com.cn和www.163.com两个网站,其他网站一律不准访问。这种需求在F1000-C-G上实现起来很方便,我们只需要利用URL过滤功能就可轻松搞定,方法是,打开URL过滤节点,同时启用自定义URL过滤功能,如下图所示:

多出口智能链路负载均衡

  然后,我们切换到URL过滤策略选项卡,创建自定义URL规则,在此界面中,定义www.sina.com.cn和www.163.com两个网站所对应的规则,如下图所示:

多出口智能链路负载均衡

  最后,我们还需要应用此规则,切换到URL过滤策略应用选项卡,如下图所示:

多出口智能链路负载均衡

  当然,管理员可以根据需要进行较为详细的编辑,例如,希望此URL过滤策略只针对某些IP地址生效,在此为空,表示策略对任意IP均有效。下面,测试一下我们的劳动成果:

多出口智能链路负载均衡

  我们在内网访问www.sina.com.cn和www.163.com是正常的,但访问其他网站统统拒绝了,如下图所示:

多出口智能链路负载均衡

  另外,管理员还可以借助黑名单、白名单、时间等实现更为细微的控制。

多出口智能链路负载均衡

8
相关文章